Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

DiMinas

[Arquivado] Log do HijackThis

Por , em Tópicos Arquivados (Seguranca & Malwares)

Recommended Posts

DiMinas    6

DiMinas
Postado
Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:41:49, on 22/9/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\system32\sysmgr.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\Arquivos de programas\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Administrador\Meus documentos\Downloads\HiJackThis.exe

C:\HiJackThis\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Click On Informática

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [netmon] C:\WINDOWS\system\dllcache.exe

O4 - HKLM\..\Run: [Microsoft® System Manager] C:\WINDOWS\system32\sysmgr.exe

O4 - HKLM\..\Run: [Wiirvice] C:\WINDOWS\System32\winin2.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://imagem.caixa.gov.br/cab/gbpdist.cab

O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehCef.dll (file missing)

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Programador de LiveUpdate automático (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Arquivos de programas\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Arquivos de programas\Symantec\LiveUpdate\LuComServer_3_4.EXE

O24 - Desktop Component 0: (no name) - http://baixaki.ig.com.br/imagens/wpapers/BXK41420_dscf1523800.jpg

 

--

End of file - 5529 bytes

Compartilhar este post

Link para o post
Compartilhar em outros sites

Power Max    54

Power Max
Postado

:thumbsup: Olá DiMinas!

 

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

 

Faça o download do ComboFix

 

1) Desabilite o seu anti-vírus temporariamente;

 

2) Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

 

3) A janela de “NEGAÇÃO DE GARANTIA DO SOFTWARE” abrir-se-á. Clique em “SIM” para continuar.

 

4) Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console antes de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

 

Clique sobre “SIM” e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

 

Quando a janela “INSTALANDO O CONSOLE DE RECUPERAÇÃO” aparecer clique em “OK”, depois clique sobre “SIM” para aceitar a licença EULA.

 

Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que “O CONSOLE DE RECUPERAÇÃO FOI INSTALADO COM SUCESSO”.

 

Clique sobre “SIM” para continuar a varredura.

 

5) O ComboFix iniciará o AUTOSCAN (aguarde).

 

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

 

Ao término do processo a máquina será reiniciada para a emissão do relatório.

 

6) Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log dele estará em C:\ComboFix.txt.

 

7) Reabilite o seu anti-vírus;

 

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO ou caso os virus ou malwares bloqueiem a execução do Combofix, baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Neste caso, nomeie-o como Kombofix durante o salvamento e não após salvá-lo!

 

Em último caso, se não for possível executar o Combofix no Modo Normal do Windows, tente utilizar o ComboFix em MODO SEGURO (reiniciando o computador e pressionando a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização e escolha a opção Modo Seguro na tela que se apresenta) e repita o procedimento;

 

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

* Se por algum motivo você precisar parar ou sair do ComboFix, tecle "N".

* Se perder a conexão com a internet, reinicie o computador. Caso o problema persista, abra Conexões de Rede no Painel de Controle, clique com o botão direito do mouse sobre a sua conexão com a internet e em "Reparar";

 

Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC depois disto.

 

Ficamos no aguardo.

Compartilhar este post

Link para o post
Compartilhar em outros sites

DiMinas    6

DiMinas
Postado

Combo Fix

ComboFix 09-09-22.02 - Administrador 22/09/2009 21:46.1.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.223.99 [GMT -3:00]

Executando de: C:\ComboFix.exe

 

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

ADS - drivers: deleted 208 bytes in 1 streams.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\~WRD0002.tmp

c:\windows\Installer\2a38e.msi

c:\windows\Installer\2a394.msi

c:\windows\Installer\2a39a.msi

c:\windows\system32\drivers\sysdrv32.sys

c:\windows\system32\msvcrt2.dll

c:\windows\system32\sysmgr.exe

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_SYSDRV32

-------\Service_sysdrv32

 

 

(((((((((((((((( Arquivos/Ficheiros criados de 2009-08-23 to 2009-09-23 ))))))))))))))))))))))))))))

.

 

2009-09-23 00:27 . 2009-09-23 00:32 3318250 ----a-r- C:\ComboFix.exe

2009-09-12 12:05 . 2009-09-12 12:05 45568 ----a-w- c:\windows\system32\winin2.exe

2009-08-31 12:01 . 2009-08-31 12:01 71680 ----a-w- c:\windows\system32\01.scr

2009-08-31 11:53 . 2009-08-31 11:54 71680 ----a-w- c:\windows\system32\25.scr

2009-08-31 10:46 . 2009-08-31 10:46 71680 ----a-w- c:\windows\system32\54.scr

2009-08-31 09:33 . 2009-08-31 09:33 71680 ----a-w- c:\windows\system32\20.scr

2009-08-30 02:05 . 2009-08-30 02:05 71680 ----a-w- c:\windows\system32\60.scr

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-05 09:32 . 2009-04-12 20:48 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2007-04-16 15:53 . 2004-08-04 03:45 1081344 --sha-r- c:\windows\system32\iczoglwh.dll

2009-02-17 14:23 . 2009-02-17 16:34 3168 --sh--r- c:\windows\system32\DirectX\Dinput\desktop.inf.dat

2009-02-17 14:23 . 2009-02-17 14:19 1623040 --sh--r- c:\windows\system32\DirectX\Dinput\dxdiag32.exe

.

 

------- Sigcheck -------

 

[-] 2004-11-28 16:36 . AB3D62010AF342203FFA60C2D94DBC68 . 8704 . . [1] . . c:\windows\system32\sfcfiles.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"Wiirvice"="c:\windows\System32\winin2.exe" [2009-09-12 45568]

"PCTVOICE"="pctspk.exe" - c:\windows\system32\pctspk.exe [2004-01-30 180224]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0Partizan

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\eMule\\emule.exe"=

"c:\\Program Files\\Hasbro Sports\\Grand Prix 3\\GP3.ICD"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\WINDOWS\\System32\\60.scr"=

"c:\\WINDOWS\\System32\\20.scr"=

"c:\\WINDOWS\\System32\\54.scr"=

"c:\\WINDOWS\\System32\\25.scr"=

"c:\\WINDOWS\\System32\\01.scr"=

"c:\\WINDOWS\\System32\\winin2.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6356:TCP"= 6356:TCP:drxkkovs

 

R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\GbpKm.sys [26/12/2008 09:13 31296]

R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [5/12/2007 12:25 52800]

R3 Avgfwdx;Avgfwdx;c:\windows\system32\drivers\avgfwdx.sys [8/9/2008 16:50 23296]

S2 kjzrthckr;vfrpbt;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 00:45 14336]

S2 nkvckgny;Boot Microsoft;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 00:45 14336]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

kjzrthckr

nkvckgny

.

.

------- Scan Suplementar -------

.

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - hxxps://imagem.caixa.gov.br/cab/gbpdist.cab

FF - ProfilePath - c:\documents and settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\9x0dcngl.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://g1.globo.com/

FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

FF - plugin: c:\arquivos de programas\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\arquivos de programas\Windows Live\Photo Gallery\NPWLPG.dll

 

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

- - - - ORFÃOS REMOVIDOS - - - -

 

HKLM-Run-netmon - c:\windows\system\dllcache.exe

HKLM-Run-Microsoft® System Manager - c:\windows\system32\sysmgr.exe

HKLM-Run-Cmaudio - cmicnfg.cpl

ShellExecuteHooks-{E37CB5F0-51F5-4395-A808-5FA49E399003} - c:\arquivos de programas\GbPlugin\gbiehCef.dll

SafeBoot-dllcache

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-22 22:02

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

c:\windows\system32\winin2.exe [1912] 0xFFB26698

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kjzrthckr]

"ServiceDll"="c:\windows\system32\iczoglwh.dll"

--

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nkvckgny]

"ServiceDll"="c:\windows\system32\iczoglwh.dll"

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

@DACL=(02 0000)

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'explorer.exe'(2112)

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Symantec\LiveUpdate\AluSchedulerSvc.exe

c:\arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

c:\windows\system32\rundll32.exe

.

**************************************************************************

.

Tempo para conclusão: 2009-09-23 22:07 - Máquina reiniciou

ComboFix-quarantined-files.txt 2009-09-23 01:07

 

Pré-execução: 11 pasta(s) 30.344.212.480 bytes disponíveis

Pós execução: 15 pasta(s) 30.334.652.416 bytes disponíveis

 

150 --- E O F --- 2008-04-11 17:05

 

HijackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:16:43, on 22/9/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\HiJackThis\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Wiirvice] C:\WINDOWS\System32\winin2.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://imagem.caixa.gov.br/cab/gbpdist.cab

O23 - Service: Programador de LiveUpdate automático (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Arquivos de programas\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Arquivos de programas\Symantec\LiveUpdate\LuComServer_3_4.EXE

O24 - Desktop Component 0: (no name) - http://baixaki.ig.com.br/imagens/wpapers/BXK41420_dscf1523800.jpg

 

--

End of file - 4416 bytes

Compartilhar este post

Link para o post
Compartilhar em outros sites

Power Max    54

Power Max
Postado

:seta: Abra o HijackThis, clique em Do a system scan only, marque as entradas abaixo e clique em Fix checked:

 

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

 

O4 - HKLM\..\Run: [Wiirvice] C:\WINDOWS\System32\winin2.exe

_____________________________

 

:seta: Selecione todo o texto abaixo dentro do Quote (caixa branca abaixo) e copie para o Bloco de Notas. Salve-o como CFScript.txt

 

File::

C:\WINDOWS\System32\winin2.exe

c:\windows\system32\01.scr

c:\windows\system32\25.scr

c:\windows\system32\54.scr

c:\windows\system32\20.scr

c:\windows\system32\60.scr

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000000

 

* Arraste o CFScript.txt para o ComboFix conforme a imagem abaixo:

 

CFScript.gif

 

Se solicitado pressione "Enter" para iniciar o processo de remoção;

 

Não use o mouse nem o teclado quando o ComboFix estiver rodando.

 

Quando terminar, será gerado um log, que estará em C:\ComboFix.txt

 

Obs: Se o Combofix não reiniciar seu computador automaticamente, faça-o manualmente.

_____________________________

 

:seta: Vá no menu: Iniciar > Painel de Controle > Firewall do Windows > clique na aba Exceções > selecione estas entradas abaixo e clique no botão Excluir. Confirme a exclusão clicando no botão Sim (é preciso repetir este procedimento para excluir cada uma destas entradas abaixo. Lembrando que é provável que o nome delas não apareça exatamente desta forma abaixo, podendo estar mais curto contendo só o nome principal destas entradas (o qual está em negrito):

 

"c:\\WINDOWS\\System32\\60.scr"=

"c:\\WINDOWS\\System32\\20.scr"=

"c:\\WINDOWS\\System32\\54.scr"=

"c:\\WINDOWS\\System32\\25.scr"=

"c:\\WINDOWS\\System32\\01.scr"=

"c:\\WINDOWS\\System32\\winin2.exe"=

_____________________________

 

:seta: Acesse o site VirSCAN e envie estes arquivos destacados em vermelho para serem analizados (um de cada vez) e anote o endereço com o resultado do escaneamento de cada um destes arquivos e poste os links destes resultados em sua próxima resposta:

 

c:\windows\system32\iczoglwh.dll

c:\windows\system32\DirectX\Dinput\dxdiag32.exe

c:\windows\system32\DirectX\Dinput\desktop.inf.dat

_____________________________

 

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

 

- Faça o download do Malwarebytes Anti-Malware.

* Faça a instalação dando um duplo clique em "mbam-setup.exe";

*Selecione a linguagem Português (Brasil)

*Selecione apenas a caixa: "Atualizar MalwareBytes'Anti-Malware"

*Se alguma atualização existir, o download será automático

*Não faça ainda scan!!!

*Reinicie o PC em Modo de Segurança (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a opção Modo Seguro ou Modo de Segurança).

* Se não possível executar o computador em Modo Seguro, faça o escaneamento no modo normal

*Execute o programa MalwareBytes'Anti-Malware e clique na aba: "Verificação", selecione a opção "Verificação completa"

*Clique no botão: "Verificar"

* Marque todas as partes do computador que você deseja escanear e clique no botão: “Iniciar verificação”

*Ao término do scan, clique em "OK" > "Mostrar Resultados"

*Selecione todas as entradas e clique em "Remover Selecionados"

*Após a remoção poderá ser interrogado se deseja remover objetos da memória. Clique "SIM"

*Um log será apresentado com o resultado das ações

*Alguns malwares são rebeldes e necessitam de uma reinicialização para a remoção. Caso isto seja solicitado, clique para reiniciar o PC.

*Ao término do processo, reinicie o PC em Modo Normal.

* Depois de alguns dias, se o seu computador estiver funcionando normalmente sem estes arquivos que foram excluidos pelo Malwarebytes Anti-malware, abra (execute) o Malwarebytes Anti-malware, clique na aba: Quarentena e clique no botão: Remover tudo.

*Execute novamente o programa Malwarebytes Anti-malware e clique na aba “Logs”, dê um duplo clique com o mouse sobre o log mais recente, selecione o log completo e copie-o.

 

Poste este log gerado pelo Malwarebytes Anti-Malware juntamente com um novo log do Hijackthis, poste também os links com o resultado do escaneamento dos arquivos no site VirSCAN, e também o novo log do Combofix que estará em C:\ComboFix.txt e nos diga como está o seu computador depois de seguir estes procedimentos acima.

 

Ficamos no aguardo de sua resposta.

Compartilhar este post

Link para o post
Compartilhar em outros sites

DiMinas    6

DiMinas
Postado

Boa Noite Antônio,

 

Agarrei nessa parte:

Vá no menu: Iniciar > Painel de Controle > Firewall do Windows > clique na aba Exceções > selecione estas entradas abaixo e clique no botão Excluir. Confirme a exclusão clicando no botão Sim (é preciso repetir este procedimento para excluir cada uma destas entradas abaixo. Lembrando que é provável que o nome delas não apareça exatamente desta forma abaixo, podendo estar mais curto contendo só o nome principal destas entradas (o qual está em negrito):

 

"c:\\WINDOWS\\System32\\60.scr"=

"c:\\WINDOWS\\System32\\20.scr"=

"c:\\WINDOWS\\System32\\54.scr"=

"c:\\WINDOWS\\System32\\25.scr"=

"c:\\WINDOWS\\System32\\01.scr"=

"c:\\WINDOWS\\System32\\winin2.exe"=

 

Não aparece essas entradas.

 

imagemfu.jpg

 

OBS.:

Já possuo Malwarebytes instalado, preciso de um novo download?

Compartilhar este post

Link para o post
Compartilhar em outros sites

Power Max    54

Power Max
Postado
Boa Noite Antônio,

 

Agarrei nessa parte:

Não aparece essas entradas.

Tudo bem, se elas não aparecem não tem problema. Mas tem uma entrada ai meio suspeita que é esta:

 

drxkkovs

 

Você sabe do que se trata? Caso não saiba seria bom removê-la das exceções do firewall.

__________________________________

 

OBS.:

Já possuo Malwarebytes instalado, preciso de um novo download?

Não, neste caso é só atualizá-lo (fazer um update) e fazer uma Verificação Completa com ele removendo os problemas que ele encontrar. E siga também o restante das dicas que te passei.

 

Fico na espera.

Compartilhar este post

Link para o post
Compartilhar em outros sites

DiMinas    6

DiMinas
Postado

Bom dia Antônio Vieira,

 

O link do VirScan me parece que está errado, pois é um endereço para download do ComboFix. Mas googlando cheguei lá.

 

 

c:\windows\system32\iczoglwh.dll

Arquivo não econtrado

 

c:\windows\system32\DirectX\Dinput\dxdiag32.exe

http://virscan.org/report/e8541b64f8b1bb1cbd8e955aa9dfd4d2.html

 

c:\windows\system32\DirectX\Dinput\desktop.inf.dat

http://virscan.org/report/e9c180fb0b01d83a68e54c0837d25ccd.html

 

 

Aguarde o resultado do Malwarebytes Anti-Malware.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Power Max    54

Power Max
Postado
O link do VirScan me parece que está errado, pois é um endereço para download do ComboFix. Mas googlando cheguei lá.

Realmente o link dele estava errado, mas já corrigi. :thumbsup:

_________________________________________

 

Só que quanto aos links com o resultado do escaneamento, parece que este segundo que você postou está errado, pois no resultado está constando que o arquivo que foi analizado foi o 1.html e não o dxdiag32.exe, que seria o certo. Envie o o dxdiag32.exe novamente para análize, por gentileza.

 

E quanto ao primeiro, o c:\windows\system32\iczoglwh.dll, vá no menu: Iniciar » Painel de Controle » Opções de Pasta » Na Aba: Modo de Exibição » Marque a opção "Mostrar pastas e arquivos ocultos" e desmarque a opção Ocultar arquivos protegidos do sistema operacional (recomendado) >> clique no botão Aplicar e no botão OK.

 

Depois disto tente enviá-lo novamente para análize no VirSCAN.

 

E fico no aguardo também do restante dos procedimentos que te passei.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Power Max    54

Power Max
Postado
Não consigo acessar o link de download e nem atualizar o MalwareBytes.

:seta: Então faça o escaneamento com o Malwarebytes desatualizado mesmo. E depois disto siga aqueles procedimentos que te indiquei com o Combofix e o Hijackthis e poste os logs deles.

Compartilhar este post

Link para o post
Compartilhar em outros sites

DiMinas    6

DiMinas
Postado

Hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:16:17, on 27/9/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\pctspk.exe

C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\Arquivos de programas\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\Arquivos de programas\Microsoft\Search Enhancement

 

Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\HiJackThis\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

 

http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

 

http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

 

http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

 

http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Facilitador de Leitor de Link Adobe PDF -

 

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de

 

programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -

 

C:\Arquivos de programas\Arquivos

 

comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} -

 

C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search

 

Helper\SearchHelper.dll

O2 - BHO: Auxiliar de Conexão do Windows Live -

 

{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de

 

programas\Arquivos comuns\Microsoft Shared\Windows

 

Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper -

 

{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de

 

programas\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar -

 

{21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de

 

programas\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de

 

programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

 

(User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

 

(User 'Default user')

O8 - Extra context menu item: Add to Windows &Live Favorites -

 

http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar para o Microsoft Excel -

 

res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Incluir no Blog -

 

{219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de

 

programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer -

 

{219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de

 

programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

 

C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

 

C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger -

 

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de

 

programas\Messenger\msmsgs.exe

O14 - IERESET.INF:

 

SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) -

 

https://imagem.caixa.gov.br/cab/gbpdist.cab

O23 - Service: Programador de LiveUpdate automático (Automatic

 

LiveUpdate Scheduler) - Symantec Corporation - C:\Arquivos de

 

programas\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Arquivos de

 

programas\Symantec\LiveUpdate\LuComServer_3_4.EXE

O24 - Desktop Component 0: (no name) -

 

http://baixaki.ig.com.br/imagens/wpapers/BXK41420_dscf1523800.jpg

 

--

End of file - 4385 bytes

 

 

 

ComboFix

ComboFix 09-09-25.01 - Administrador 27/09/2009 19:26.3.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.223.9 [GMT -3:00]

Executando de: C:\ComboFix.exe

.

 

(((((((((((((((( Arquivos/Ficheiros criados de 2009-08-27 to 2009-09-27 ))))))))))))))))))))))))))))

.

 

2009-09-23 00:27 . 2009-09-27 22:22 3321356 ----a-r- C:\ComboFix.exe

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-05 09:32 . 2009-04-12 20:48 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2007-04-16 15:53 . 2004-08-04 03:45 1081344 --sha-r- c:\windows\system32\iczoglwh.dll

2009-02-17 14:23 . 2009-02-17 16:34 3168 --sh--r- c:\windows\system32\DirectX\Dinput\desktop.inf.dat

2009-02-17 14:23 . 2009-02-17 14:19 1623040 --sh--r- c:\windows\system32\DirectX\Dinput\dxdiag32.exe

.

 

------- Sigcheck -------

 

[-] 2004-11-28 16:36 . AB3D62010AF342203FFA60C2D94DBC68 . 8704 . . [1] . . c:\windows\system32\sfcfiles.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"PCTVOICE"="pctspk.exe" - c:\windows\system32\pctspk.exe [2004-01-30 180224]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0Partizan

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\eMule\\emule.exe"=

"c:\\Program Files\\Hasbro Sports\\Grand Prix 3\\GP3.ICD"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Sync\\WindowsLiveSync.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6356:TCP"= 6356:TCP:drxkkovs

 

R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\GbpKm.sys [26/12/2008 09:13 31296]

R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [5/12/2007 12:25 52800]

R3 Avgfwdx;Avgfwdx;c:\windows\system32\drivers\avgfwdx.sys [8/9/2008 16:50 23296]

S2 kjzrthckr;vfrpbt;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 00:45 14336]

S2 nkvckgny;Boot Microsoft;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 00:45 14336]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

kjzrthckr

nkvckgny

.

.

------- Scan Suplementar -------

.

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - hxxps://imagem.caixa.gov.br/cab/gbpdist.cab

FF - ProfilePath - c:\documents and settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\9x0dcngl.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://g1.globo.com/

FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

FF - plugin: c:\arquivos de programas\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\arquivos de programas\Windows Live\Photo Gallery\NPWLPG.dll

 

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-27 19:36

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kjzrthckr]

"ServiceDll"="c:\windows\system32\iczoglwh.dll"

--

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nkvckgny]

"ServiceDll"="c:\windows\system32\iczoglwh.dll"

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

@DACL=(02 0000)

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'explorer.exe'(2132)

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Tempo para conclusão: 2009-09-27 19:40

ComboFix-quarantined-files.txt 2009-09-27 22:39

ComboFix2.txt 2009-09-25 00:39

ComboFix3.txt 2009-09-23 01:07

 

Pré-execução: 14 pasta(s) 30.291.992.576 bytes disponíveis

Pós execução: 15 pasta(s) 30.288.429.056 bytes disponíveis

 

102 --- E O F --- 2008-04-11 17:05

 

 

Malwarebytes

Malwarebytes' Anti-Malware 1.34

Versão do banco de dados: 1769

Windows 5.1.2600 Service Pack 2

 

27/9/2009 19:10:20

mbam-log-2009-09-27 (19-10-20).txt

 

Tipo de Verificação: Completa (C:\|)

Objetos verificados: 84264

Tempo decorrido: 39 minute(s), 9 second(s)

 

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 0

Ítens do Registro infectados: 0

Pastas infectadas: 1

Arquivos infectados: 25

 

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

 

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

 

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

 

Valores do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Ítens do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Pastas infectadas:

E:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 (Trojan.Conficker.H) -> Quarantined and deleted successfully.

 

Arquivos infectados:

E:\autorun.inf (Trojan.Conficker.H) -> Quarantined and deleted successfully.

E:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Trojan.Conficker.H) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\sysdrv32.sys.vir (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP1\A0000011.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP1\A0001011.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP1\A0001040.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP1\A0001046.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP12\A0016524.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP2\A0002046.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP2\A0002052.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP2\A0003052.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP3\A0003064.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP3\A0004064.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP3\A0005064.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP3\A0006064.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP4\A0007064.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP4\A0008064.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP4\A0008070.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP4\A0009070.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP4\A0009076.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP4\A0009100.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP4\A0009106.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP5\A0010106.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP5\A0011106.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{FCC151BA-E63A-4D75-A29F-C85922BD6814}\RP6\A0012106.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Power Max    54

Power Max
Postado

:thumbsup: Vários problemas foram removidos do seu PC.

 

:seta: Siga as dicas deste tutorial:

http://www.babooforum.com.br/forum/Como-remover-o-Virus-Downadup-Conficker-e-Kido-t680958.html

 

Obs: Se os malwares bloquearem o download das ferramentas indicadas no tutorial acima, tente baixá-las em um destes web proxys abaixo:

 

http://www.hrmovie.com/

http://anonymouse.org/anonwww.html

http://texasproxy.com/p.php?q=&hl=0

 

Depois disto nos diga se outros problemas foram removidos e como está o seu PC depois disto.

Compartilhar este post

Link para o post
Compartilhar em outros sites

DiMinas    6

DiMinas
Postado

Não consegui seguir esta última dica.

Consegui acessar o site da Microsoft, mas as ferramentas na hora que eu baixo e executo fala que o win32 não é válido.

No momento que baixei o ComboFix, mesmo desabilitando o Avira, o ComboFix acusava a presença de um anti-vírus, então desinstalei o Avira. Agora estou reinstalando novamente.

Mas a máquina deu uma boa melhorada.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Power Max    54

Power Max
Postado

Não consegui seguir esta última dica.

Consegui acessar o site da Microsoft, mas as ferramentas na hora que eu baixo e executo fala que o win32 não é válido.

No momento que baixei o ComboFix, mesmo desabilitando o Avira, o ComboFix acusava a presença de um anti-vírus, então desinstalei o Avira. Agora estou reinstalando novamente.

Mas a máquina deu uma boa melhorada.

Mas nenhuma daquelas ferramentas do tutorial você conseguiu executar? Tente executar pelo menos uma delas, se for possível. Se não for possível executá-las no modo normal do Windows tente executá-las no Modo Seguro.

 

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

 

- Faça o download do FindyKill e salve-o no desktop (área de trabalho):

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

 

- Dê um duplo clique sobre o ícone do instalador do FindyKill que estará no desktop.

- Será aberta uma tela onde você deve escolher a linguagem de mais fácil entendimento para você. Caso seja o português que você tenha mais facilidade, digite P e tecle a tecla Enter.

- Na tela que abrir, pressione a tecla digite 2 e tecle a tecla Enter para remover as infecções > Clique em Ok > clique em Ok novamente.

● Será apresentado uma mensagem que seu computador será desligado. Aguarde e espere-o reiniciar;

● Ao reiniciar o PC a ferramenta será executada automaticamente. Apenas aguarde, sem mover o mouse ou usar o teclado. Seja paciente, o escaneamento pode demorar.

● Será aberto o log no bloco de notas automaticamente. O log também estará em C:\FindyKill.txt

 

Poste o relatório dele que estará em C:\FindyKill.txt em sua próxima resposta e nos diga como está o PC depois destes procedimentos. Ficamos no aguardo.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Mário Monteiro    179

Mário Monteiro
Postado

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos Tópicos Arquivados (Seguranca & Malwares)
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito