[Resolvido!] Log Hijackthis para análise

medin · Novembro 6, 2009

Olá

Boa noite

meu pc esta muito lento

está aki o log do hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:55:00, on 6/11/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\DAEMON Tools\daemon.exe

C:\Arquivos de programas\SlySoft\AnyDVD\AnyDVDtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

C:\Documents and Settings\Usuario\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Hijack\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.garena.com/portal/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.amd.com/blizzard

R3 - URLSearchHook: Softonic VLC BR Toolbar - {d9e9b38c-886d-466d-b41c-afe634ac74ec} - C:\Arquivos de programas\Softonic_VLC_BR\tbSoft.dll

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Arquivos de programas\Ask.com\GenericAskToolbar.dll

O2 - BHO: Softonic VLC BR Toolbar - {d9e9b38c-886d-466d-b41c-afe634ac74ec} - C:\Arquivos de programas\Softonic_VLC_BR\tbSoft.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Arquivos de programas\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: Softonic VLC BR Toolbar - {d9e9b38c-886d-466d-b41c-afe634ac74ec} - C:\Arquivos de programas\Softonic_VLC_BR\tbSoft.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Arquivos de programas\Ask.com\GenericAskToolbar.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Arquivos de programas\Orbitdownloader\GrabPro.dll

O3 - Toolbar: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Arquivos de programas\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Arquivos de programas\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [AnyDVD] C:\Arquivos de programas\SlySoft\AnyDVD\AnyDVDtray.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [systemExplorer] "C:\Arquivos de programas\System Explorer\SystemExplorer.exe" /TRAY

O4 - Global Startup: Orbit.lnk = C:\Arquivos de programas\Orbitdownloader\orbitdm.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Link to &MidpX - C:\Arquivos de programas\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{7BAA2A66-EFC8-46E0-A0F9-3F043BD52128}: NameServer = 200.202.193.75 200.222.0.34

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Arquivos de programas\WinPcap\rpcapd.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: plasservice (ZeppelinService) - ParetoLogic Inc. - C:\Arquivos de programas\Arquivos comuns\ParetoLogic\PLAS\plasservice.exe

--

End of file - 8735 bytes

medin · Novembro 7, 2009

Mais um loG

Malwarebytes' Anti-Malware 1.41

Versão do banco de dados: 2775

Windows 5.1.2600 Service Pack 3

6/11/2009 21:10:07

mbam-log-2009-11-06 (21-10-07).txt

Tipo de Verificação: Completa (C:\|D:\|)

Objetos verificados: 180079

Tempo decorrido: 1 hour(s), 0 minute(s), 50 second(s)

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 0

Ítens do Registro infectados: 0

Pastas infectadas: 0

Arquivos infectados: 13

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

Valores do Registro infectados:

(Nenhum ítem malicioso foi detectado)

Ítens do Registro infectados:

(Nenhum ítem malicioso foi detectado)

Pastas infectadas:

(Nenhum ítem malicioso foi detectado)

Arquivos infectados:

D:\System Volume Information\_restore{F537752D-1C9B-459C-AF1A-FE1EEB3006E3}\RP16\A0044626.dll (Malware.Packer.T) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{F537752D-1C9B-459C-AF1A-FE1EEB3006E3}\RP16\A0044644.dll (Malware.Packer.T) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{F537752D-1C9B-459C-AF1A-FE1EEB3006E3}\RP16\A0044667.dll (Malware.Packer.T) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{F537752D-1C9B-459C-AF1A-FE1EEB3006E3}\RP16\A0044691.dll (Malware.Packer.T) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{F537752D-1C9B-459C-AF1A-FE1EEB3006E3}\RP16\A0043479.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{F537752D-1C9B-459C-AF1A-FE1EEB3006E3}\RP16\A0043570.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{F537752D-1C9B-459C-AF1A-FE1EEB3006E3}\RP16\A0043546.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.

D:\Warcraft III\warcraft3 keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{F537752D-1C9B-459C-AF1A-FE1EEB3006E3}\RP16\A0039942.com (Trojan.Gamania) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{F537752D-1C9B-459C-AF1A-FE1EEB3006E3}\RP16\A0042461.com (Trojan.Gamania) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{F537752D-1C9B-459C-AF1A-FE1EEB3006E3}\RP16\A0042478.com (Trojan.Gamania) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{F537752D-1C9B-459C-AF1A-FE1EEB3006E3}\RP16\A0042369.com (Trojan.Gamania) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{F537752D-1C9B-459C-AF1A-FE1EEB3006E3}\RP12\A0036923.bat (Worm.Magania) -> Quarantined and deleted successfully.

Power Max · Novembro 7, 2009

:thumbsup: Olá medin!

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

Faça o download de ToolBar S&D

*Salve-o no desktop (área de trabalho).

*Reinicie o PC em Modo de Segurança (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a opção Modo Seguro ou Modo de Segurança).

*Execute o programa, e à seguir, aperte o "p" --> Enter --> Ok.

*Digite o dois! ( 2 ) --> Aperte Enter --> Aguarde!

*Terminando, o relatório estará em C:\ToolBar SD\TB_1.txt

_____________________________________

:seta: Faça uma atualização (update) do seu antivirus Avast. Depois disto faça o seguinte:

Escaneamento no boot com o Avast:

Uma ótima opção é agendar um escaneamento no boot. Para isso, faça o seguinte: clique com o botão direito do mouse sobre o símbolo do Avast (aquele ´´a`` azul que fica rodando ao lado do relógio do Windows e escolha a opção: Iniciar o Antivírus Avast! - Quando a tela principal do Avast aparecer, clique com o botão esquerdo do mouse sobre aquela setinha virada para cima que fica no canto superior esquerdo da tela do Avast e escolha a opção: Agendar escaneamento no boot... - Selecione então as opções: Escanear todos os discos locais, Escanear o conteúdo dos arquivos, Opções avançadas - Solicitar ação. - E aí clique em Agendar. E confirme a reinicialização do computador, então o Avast fará um escaneamento completo do seu computador e a medida em que ele for achando os vírus escolha a opção de desinfectar estes arquivos contaminados ou vá enviando eles para a quarentena. E no caso dos arquivos terem sido enviados para a quarentena, depois de algumas semanas, se o seu computador estiver funcionando normalmente sem estes arquivos que foram para a quarentena, você pode ir na quarentena e excluí-los definitivamente.

_____________________________________

:seta: Depois disto siga, por gentileza, as dicas deste tutorial para fazer um escaneamento de seu PC pelo Nod32 Online:

'>http://dicasetutoriaisparapc.blogspot.com/2008/09/tutorial-do-antivirus-nod32-online.html"]Tutorial do antivirus Nod32 Online

Após o término do escaneamento será gerado um relatório (log) que estará no seguinte local do seu computador:

C:\Arquivos de programas\Eset\Eset Online Scanner\log.txt

Na sua próxima resposta poste este log do Nod32 Online juntamente com um novo log do Hijackthis e o log que estará em C:\ToolBar SD\TB_1.txt e nos diga, por gentileza, como está o seu PC após seguir estes procedimentos.

Ficamos no aguardo de sua resposta.

medin · Novembro 7, 2009

Antonio Vieira Sobrinho

:joia: obrigado pela assistência quem você tem me dado ate agora .

Ate agora não puder testar o computador devida-mente pra ver se ainda esta legando .

Ai estão os logs

log do Nod32 online

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)

# OnlineScanner.ocx=1.0.0.6211

# api_version=3.0.2

# EOSSerial=c24ecc36d34d69429c99bcf47244cb5e

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2009-11-07 10:07:39

# local_time=2009-11-07 08:07:39 (-0300, Hora oficial do Brasil)

# country="Brazil"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=512 16777215 100 0 0 0 0 0

# compatibility_mode=769 16775141 100 98 0 192993183 0 0

# compatibility_mode=8192 67108863 100 0 0 0 0 0

# scanned=92536

# found=9

# cleaned=9

# scan_time=5253

C:\Arquivos de programas\DAEMON Tools\SetupDTSB.exe Win32/Adware.WhenU.SaveNow application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Arquivos de programas\Need for Speed Underground 2\rld-nu2k.exe probably a variant of Win32/Agent trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Documents and Settings\Usuario\Dados de aplicativos\64 Flag Bind\Bat Name Option.exe a variant of Win32/TrojanDownloader.Swizzor.NCU trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Documents and Settings\Usuario\Dados de aplicativos\64 Flag Bind\shim load mags bits.exe a variant of Win32/TrojanDownloader.Swizzor.NCW trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Documents and Settings\Usuario\Desktop\ \Server\l2 Pan\system.exe a variant of Win32/Packed.Themida application (deleted - quarantined) 00000000000000000000000000000000 C

C:\Documents and Settings\Usuario\Meus documentos\Downloads\vdownloader_setup.exe a variant of Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C

D:\aqui\vdownloader.zip a variant of Win32/Adware.ADON application (deleted - quarantined) 00000000000000000000000000000000 C

D:\L2\SysTextures\Teste System\System\L2.bin a variant of Win32/Packed.Themida application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

D:\Program Files\Emtec.No\Javascriptfhplusdemo\Uninstall\gendel32.ex_ Win32/HackTool.Gendel.A trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

Hijackthis LOG

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:25:06, on 7/11/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\ParetoLogic\PLAS\plasservice.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\DAEMON Tools\daemon.exe

C:\Arquivos de programas\SlySoft\AnyDVD\AnyDVDtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\System Explorer\SystemExplorer.exe

C:\Arquivos de programas\Orbitdownloader\orbitdm.exe

C:\Arquivos de programas\Orbitdownloader\orbitnet.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Documents and Settings\Usuario\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

D:\Fraps\fraps.exe

C:\Arquivos de programas\Windows Media Player\wmplayer.exe

C:\WINDOWS\system32\NOTEPAD.EXE