[Resolvido!] Log Hijackthis para análise

medin · Novembro 12, 2009

Log do Combo fix

ComboFix 09-11-11.02 - Usuario 12/11/2009 12:51.1.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.1023.552 [GMT -2:00]

Executando de: c:\documents and settings\Usuario\Meus documentos\Downloads\ComboFix.exe

AV: avast! antivirus 4.8.1335 [VPS 091107-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-10-12 to 2009-11-12 ))))))))))))))))))))))))))))

.

2009-11-11 16:10 . 2009-11-11 16:10 -------- d-----w- C:\PenClean

2009-11-09 00:19 . 2009-11-09 00:19 -------- d-----w- c:\arquivos de programas\Norton Security Scan

2009-11-08 18:23 . 2009-11-08 20:11 -------- d-----w- c:\windows\BDOSCAN8

2009-11-08 13:06 . 2009-11-08 13:06 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

2009-11-08 12:04 . 2008-12-11 10:38 159600 ----a-w- c:\windows\system32\drivers\pctgntdi.sys

2009-11-08 12:03 . 2009-04-03 13:18 130936 ----a-w- c:\windows\system32\drivers\PCTCore.sys

2009-11-08 12:03 . 2008-12-18 14:16 73840 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys

2009-11-08 12:03 . 2009-11-08 13:02 -------- d-----w- c:\arquivos de programas\Arquivos comuns\PC Tools

2009-11-08 12:03 . 2008-12-10 13:36 64392 ----a-w- c:\windows\system32\drivers\pctplsg.sys

2009-11-08 12:03 . 2009-11-08 13:02 -------- d-----w- c:\arquivos de programas\Spyware Doctor

2009-11-08 12:03 . 2009-11-08 12:03 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\PC Tools

2009-11-08 12:03 . 2009-11-08 12:03 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\PC Tools

2009-11-07 20:29 . 2008-04-13 13:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys

2009-11-07 20:29 . 2008-04-13 13:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys

2009-11-07 20:19 . 2009-11-07 20:36 -------- d-----w- C:\TopGamesEspecial

2009-11-07 19:28 . 2009-11-07 19:28 -------- d-----w- c:\arquivos de programas\ESET

2009-11-07 17:31 . 2009-11-07 17:33 -------- d-----w- C:\ToolBar SD

2009-11-07 01:32 . 2009-11-07 17:38 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Jump Poll Poke Mp3

2009-11-07 01:28 . 2009-11-07 21:11 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\64 Flag Bind

2009-11-07 01:28 . 2009-11-07 01:28 -------- d-----w- c:\arquivos de programas\64 Flag Bind

2009-11-06 21:52 . 2009-11-08 18:07 -------- d-----w- C:\Hijack

2009-11-06 15:00 . 2009-11-06 21:48 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\SystemExplorer

2009-11-06 15:00 . 2009-11-06 15:00 -------- d-----w- c:\arquivos de programas\System Explorer

2009-11-01 17:56 . 2009-11-01 18:05 -------- d-----w- c:\arquivos de programas\Postal2

2009-10-24 22:20 . 2009-10-24 22:20 -------- d-----w- c:\arquivos de programas\Kwyshell

2009-10-21 13:10 . 2009-10-21 13:10 -------- d-----w- c:\arquivos de programas\WinPcap

2009-10-21 13:10 . 2009-10-21 13:10 -------- d-----w- c:\arquivos de programas\BitAnalyzer

2009-10-21 02:32 . 2009-10-21 02:32 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Yahoo!

2009-10-21 02:32 . 2009-10-21 02:32 -------- d-----w- c:\arquivos de programas\CCleaner

2009-10-21 00:47 . 2009-10-21 00:47 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Malwarebytes

2009-10-21 00:47 . 2009-09-10 16:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-10-21 00:47 . 2009-10-21 00:47 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2009-10-21 00:47 . 2009-09-10 16:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-10-21 00:47 . 2009-11-06 22:00 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2009-10-21 00:34 . 2009-10-21 00:56 34848 --sha-w- c:\windows\system32\drivers\fidbox.dat

2009-10-21 00:34 . 2009-10-21 00:56 2080 --sha-w- c:\windows\system32\drivers\fidbox2.dat

2009-10-20 22:39 . 2009-10-20 22:39 -------- d-----w- c:\arquivos de programas\ParetoLogic

2009-10-20 22:21 . 2009-10-20 22:39 -------- d-----w- c:\arquivos de programas\Arquivos comuns\ParetoLogic

2009-10-20 17:17 . 2009-10-20 17:17 -------- d-----r- C:\F1

2009-10-20 17:01 . 2009-10-20 17:01 -------- d-----r- C:\JGE

2009-10-20 15:37 . 2009-10-20 15:37 -------- d-----w- c:\windows\system32\wbem\Repository

2009-10-19 17:23 . 2009-10-19 17:23 -------- d-----w- c:\windows\Logs

2009-10-19 17:22 . 2009-10-19 17:22 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys

2009-10-19 17:22 . 2009-10-19 17:22 22328 ----a-w- c:\documents and settings\Usuario\Dados de aplicativos\PnkBstrK.sys

2009-10-19 17:21 . 2009-10-19 17:21 107832 ----a-w- c:\windows\system32\PnkBstrB.exe

2009-10-19 17:21 . 2009-10-19 17:21 66872 ----a-w- c:\windows\system32\PnkBstrA.exe

2009-10-19 17:21 . 2009-10-19 17:21 2250024 ----a-w- c:\windows\system32\pbsvc.exe

2009-10-19 17:16 . 2009-10-20 15:42 -------- d-----w- c:\arquivos de programas\Ubisoft

2009-10-19 17:00 . 2009-10-19 17:00 271360 ----a-w- c:\windows\system32\drivers\atksgt.sys

2009-10-19 17:00 . 2009-10-19 17:00 18048 ----a-w- c:\windows\system32\drivers\lirsgt.sys

2009-10-19 16:54 . 2009-10-19 16:54 -------- d-----w- c:\windows\system32\AGEIA

2009-10-19 16:54 . 2009-10-19 16:54 -------- d-----w- c:\arquivos de programas\AGEIA Technologies

2009-10-19 16:53 . 2009-10-19 16:54 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Wise Installation Wizard

2009-10-19 16:29 . 2009-10-19 16:29 -------- d-----w- c:\arquivos de programas\Playlogic

2009-10-19 16:18 . 2009-10-22 00:08 -------- d-----w- C:\MyWorks

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-11-12 14:26 . 2009-09-26 20:24 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Orbit

2009-11-11 18:33 . 2009-10-11 17:06 -------- d-----w- c:\arquivos de programas\Garena

2009-11-11 16:40 . 2009-06-30 00:48 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\TEMP

2009-11-09 17:26 . 2009-09-26 20:24 -------- d-----w- c:\arquivos de programas\Orbitdownloader

2009-11-08 16:44 . 2009-07-16 17:56 -------- d-----w- c:\arquivos de programas\DAEMON Tools

2009-11-07 20:57 . 2009-07-28 20:45 -------- d-----w- c:\arquivos de programas\Need for Speed Underground 2

2009-11-07 01:26 . 2009-07-03 23:18 -------- d-----w- c:\arquivos de programas\Circle Dvelopement

2009-11-07 01:26 . 2009-07-03 23:18 -------- d-----w- c:\arquivos de programas\Messenger Plus! Live

2009-11-02 17:34 . 2009-07-28 23:03 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\DVD Shrink

2009-10-21 02:32 . 2009-10-08 02:13 -------- d-----w- c:\arquivos de programas\Yahoo!

2009-10-21 02:32 . 2009-10-08 02:13 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Yahoo! Companion

2009-10-21 01:28 . 2008-04-14 12:00 76414 ----a-w- c:\windows\system32\perfc016.dat

2009-10-21 01:28 . 2008-04-14 12:00 465986 ----a-w- c:\windows\system32\perfh016.dat

2009-10-21 00:56 . 2009-10-21 00:34 1484 --sha-w- c:\windows\system32\drivers\fidbox.idx

2009-10-21 00:56 . 2009-10-21 00:34 1268 --sha-w- c:\windows\system32\drivers\fidbox2.idx

2009-10-20 15:42 . 2009-06-29 17:34 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2009-10-19 16:28 . 2009-06-29 21:52 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\CyberLink

2009-10-19 16:28 . 2009-06-29 18:42 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\CyberLink

2009-10-19 16:19 . 2009-06-29 18:42 -------- d-----w- c:\arquivos de programas\CyberLink

2009-10-11 16:47 . 2009-08-22 19:57 -------- d-----w- c:\arquivos de programas\Typle2.0v

2009-10-11 16:32 . 2009-07-31 05:11 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Skype

2009-10-11 16:31 . 2009-10-11 16:31 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\VSRevoGroup

2009-10-11 16:31 . 2009-07-31 05:13 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\skypePM

2009-10-11 16:26 . 2009-10-07 00:14 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Browzar(2)

2009-10-11 16:25 . 2009-10-09 19:21 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Macromedia

2009-10-11 16:25 . 2009-10-09 20:06 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help

2009-10-11 16:25 . 2009-06-29 18:35 -------- d-----w- c:\arquivos de programas\Microsoft Works

2009-10-09 20:13 . 2009-06-30 06:19 -------- d-----w- c:\arquivos de programas\MSBuild

2009-10-09 19:18 . 2009-10-09 19:18 -------- d-----w- c:\arquivos de programas\Macromedia

2009-10-09 19:08 . 2009-06-29 18:11 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe

2009-10-09 18:06 . 2009-10-09 18:06 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Corel

2009-10-09 18:06 . 2009-06-29 17:32 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield

2009-10-09 18:04 . 2009-10-09 18:04 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Corel

2009-10-09 18:04 . 2009-10-09 17:58 -------- d-----w- c:\arquivos de programas\Corel

2009-09-26 20:24 . 2009-09-26 20:24 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\GrabPro

2009-08-23 01:21 . 2009-08-23 01:21 8854 ----a-r- c:\documents and settings\Usuario\Dados de aplicativos\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\Uninstall_Project64__9559F7CA5E344237A2D9D856464AD727.exe

2009-08-23 01:21 . 2009-08-23 01:21 40960 ----a-r- c:\documents and settings\Usuario\Dados de aplicativos\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\NewShortcut1_9559F7CA5E344237A2D9D856464AD727.exe

2009-08-23 01:21 . 2009-08-23 01:21 40960 ----a-r- c:\documents and settings\Usuario\Dados de aplicativos\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\ARPPRODUCTICON.exe

2009-04-05 18:44 . 2009-06-29 18:44 30482616 ----a-w- c:\arquivos de programas\Globalink Translator portable.exe

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AnyDVD"="c:\arquivos de programas\SlySoft\AnyDVD\AnyDVDtray.exe" [2009-06-12 2952128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-04-01 1368064]

"avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"DAEMON Tools"="c:\arquivos de programas\DAEMON Tools\daemon.exe" [2005-12-10 133016]

"Malwarebytes Anti-Malware (reboot)"="c:\arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Orbit.lnk - c:\arquivos de programas\Orbitdownloader\orbitdm.exe [2009-9-26 1719568]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]

@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]

@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=

"c:\\Arquivos de programas\\Orbitdownloader\\orbitdm.exe"=

"c:\\Arquivos de programas\\Orbitdownloader\\orbitnet.exe"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [8/11/2009 10:03 130936]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [29/6/2009 16:09 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29/6/2009 16:09 20560]

R2 ZeppelinService;plasservice;c:\arquivos de programas\Arquivos comuns\ParetoLogic\PLAS\plasservice.exe [18/2/2009 14:40 587216]

S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\Usuario\CONFIG~1\Temp\BEI1.tmp --> c:\docume~1\Usuario\CONFIG~1\Temp\BEI1.tmp [?]

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [25/1/2007 15:31 42000]

S3 sdAuxService;PC Tools Auxiliary Service;c:\arquivos de programas\Spyware Doctor\pctsAuxs.exe [8/11/2009 10:03 348752]

--- =Outros Serviços/Drivers Na Memória ---

*NewlyCreated* - MBR

*NewlyCreated* - PROCEXP113

*Deregistered* - mbr

*Deregistered* - PROCEXP113

.

Conteúdo da pasta 'Tarefas Agendadas'

.

------- Scan Suplementar -------

.

mWindow Title =

uInternet Connection Wizard,ShellNext = hxxp://www.amd.com/blizzard

IE: &Download by Orbit - c:\arquivos de programas\Orbitdownloader\orbitmxt.dll/201

IE: &Grab video by Orbit - c:\arquivos de programas\Orbitdownloader\orbitmxt.dll/204

IE: Do&wnload selected by Orbit - c:\arquivos de programas\Orbitdownloader\orbitmxt.dll/203

IE: Down&load all by Orbit - c:\arquivos de programas\Orbitdownloader\orbitmxt.dll/202

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

IE: Link to &MidpX - c:\arquivos de programas\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm

TCP: {7BAA2A66-EFC8-46E0-A0F9-3F043BD52128} = 200.202.193.75 200.222.0.34

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Usuario\Dados de aplicativos\Mozilla\Firefox\Profiles\54ojful1.default\

FF - prefs.js: browser.search.selectedEngine - Ask.com

FF - prefs.js: browser.startup.homepage - hxxp://br.ask.com?o=14784&l=dis

FF - prefs.js: keyword.URL - hxxp://supertoolbar.ask.com/redirect?client=ff&src=kw&tb=VD&o=14782&locale=en_US&q=

FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\np-mswmp.dll

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

- - - - ORFÃOS REMOVIDOS - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-11-12 12:56

Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe catchme.sys >>UNKNOWN [0x8678BEB0]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> 0x8678beb0

Warning: possible MBR rootkit infection !

user & kernel MBR OK

Use "Recovery Console" command "fixmbr" to clear infection !

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]

"ImagePath"="\??\c:\docume~1\Usuario\CONFIG~1\Temp\BEI1.tmp"

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]

"6140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(796)

c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3464)

c:\arquivos de programas\SlySoft\AnyDVD\ADvdDiscHlp.dll

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Tempo para conclusão: 2009-11-12 12:58

ComboFix-quarantined-files.txt 2009-11-12 14:58

Pré-execução: 7.328.866.304 bytes disponíveis

Pós execução: 7.652.102.144 bytes disponíveis

- - End Of File - - 6BFEB31A225E7EE5BEE3E2DA847D55D1

Log do hijackjthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:00:37, on 12/11/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\ParetoLogic\PLAS\plasservice.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\DAEMON Tools\daemon.exe

C:\Arquivos de programas\SlySoft\AnyDVD\AnyDVDtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Orbitdownloader\orbitdm.exe

C:\Arquivos de programas\Orbitdownloader\orbitnet.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Usuario\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Arquivos de programas\CyberLink\PowerDVD\PowerDVD.exe

C:\Documents and Settings\Usuario\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Hijack\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.amd.com/blizzard

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O1 - Hosts: 64.16.193.26 l2authd.lineage2.com

O1 - Hosts: 216.107.250.194 update.nprotect.com

O1 - Hosts: 216.107.250.194 nprotect.lineage2.com

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Arquivos de programas\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Arquivos de programas\Orbitdownloader\GrabPro.dll

O3 - Toolbar: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Arquivos de programas\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Arquivos de programas\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [AnyDVD] C:\Arquivos de programas\SlySoft\AnyDVD\AnyDVDtray.exe

O4 - Global Startup: Orbit.lnk = C:\Arquivos de programas\Orbitdownloader\orbitdm.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Link to &MidpX - C:\Arquivos de programas\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7BAA2A66-EFC8-46E0-A0F9-3F043BD52128}: NameServer = 200.202.193.75 200.222.0.34

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Arquivos de programas\WinPcap\rpcapd.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: plasservice (ZeppelinService) - ParetoLogic Inc. - C:\Arquivos de programas\Arquivos comuns\ParetoLogic\PLAS\plasservice.exe

--

End of file - 8565 bytes

Power Max · Novembro 13, 2009

:seta: Durante a instalação do Combofix você instalou o Console de Recuperação?

Caso não tenha instalado ele, siga as instruções no site abaixo para instalá-lo:

http://www.bleepingcomputer.com/combofix/pt/como-usar-o-combofix#manual_recovery

__________________________________

:seta: Siga os procedimentos nesta sequência em que eles estão:

:seta: Faça o download do Lop S&D no endereço abaixo:

http://eric.71.mespages.googlepages.com/LopSD.exe

# Temporariamente desative seus programas de proteção (Antivirus, etc.) para não interferirem com a ferramenta.

# Dê um Duplo-Clique com o botão esquerdo do mouse no ícone do Lop S&D que estará no desktop (área de trabalho).

Se utiliza o Windows Vista, dê clique direito do mouse no LopSD.exe e escolha 'Executar como administrador'.

# Irá surgir uma janela, tecle P de Português e dê enter.

# Pressione agora o numero "2 - Remocao + Hosts" pressionando a tecla "2" e dê ENTER.

# A ferramenta irá rodar para que a infecção possa ser removida.

# No final será gerado um log que estará em C:\lopR.txt

______________________________________

:seta: Faça o download desta ferramenta abaixo:

http://lop.com/new_uninstall.exe

Obs: Note que este desinstalador é detectado como trojan por diversos antivírus. Se isso acontecer, desabilite temporariamente o seu antivírus e volte a ativá-lo quando terminar o procedimento. O arquivo é perfeitamente seguro.

Dê um duplo clique neste desinstalador que você baixou acima > Clique em Ok > Clique em Ok novamente > aparecerão alguns números em uma tela, digite estes números no campo em branco e depois disto clique no botão UNINSTALL > clique em Ok > clique em Ok novamente >aí é só ir seguindo os passos que este desinstalador vai te passando.

______________________________________

:seta: Faça o download do HostsXpert.zip:

http://www.funkytoad.com/download/HostsXpert.zip

• Extraia (unzip) HostsXpert.zip para uma pasta permanente do seu drive (exemplo C:\HostsXpert)

• Duplo clique em HostsXpert.exe para executar o programa.

• Se disponivel, clique em "Make Hosts Writable?" (estará no canto superior direito).

• Clique em "Restore Microsoft's Hosts file" e depois clique em "OK".

• Clique no X para sair do programa.

______________________________________

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

Faça o download de ToolBar S&D

*Salve-o no desktop (área de trabalho).

*Reinicie o PC em Modo de Segurança (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a opção Modo Seguro ou Modo de Segurança).

*Execute o programa, e à seguir, aperte o "p" --> Enter --> Ok.

*Digite o dois! ( 2 ) --> Aperte Enter --> Aguarde!

*Terminando, o relatório estará em C:\ToolBar SD\TB_1.txt

______________________________________

:seta: Siga também as dicas destes tutoriais:

Tutorial do Panda Anti-RootKit

Tutorial do Sophos Anti-RootKit

______________________________________

:seta: Selecione o texto abaixo dentro do Quote (caixa branca abaixo) e copie para o Bloco de notas. Salve-o no desktop (área de trabalho) com o nome de CFScript.txt

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000000

FireFox::

FireFox -: prefs.js: browser.search.selectedEngine - Ask.com

FireFox -: prefs.js: browser.startup.homepage - hxxp://br.ask.com?o=14784&l=dis

FireFox -: prefs.js: keyword.URL - hxxp://supertoolbar.ask.com/redirect?client=ff&src=kw&tb=VD&o=14782&locale=en_US&q=

Arraste o CFScript.txt para o ComboFix conforme a imagem abaixo:

Se solicitado pressione "Enter" para iniciar o processo de remoção;

Não use o mouse nem o teclado quando o ComboFix estiver rodando.

Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.

Obs: Se o Combofix não reiniciar seu computador automaticamente, faça-o manualmente.

______________________________________

:seta: Faça o download desta ferramenta no link abaixo e salve-a no desktop (área de trabalho):

http://www2.gmer.net/mbr/mbr.exe

Dê um duplo clique sobre ela e será gerado um log que estará na sua área de trabalho. Dê um duplo clique sobre este log (mbr.log) > copie o conteúdo dele e poste-o em sua próxima resposta juntamente com o log do Combofix que estará em C:\ComboFix.txt, o log que estará em C:\ToolBar SD\TB_1.txt, o log que estará em C:\lopR.txt e nos diga como está o seu PC depois disto.

medin · Novembro 13, 2009

Antonio vieira sobrinho

Como eu fico sabendo se eu tenho estalado o Console de Recuperação ?

Porque uma vez um cara usou o combo fix aqui no computador e istalou esse console de recuperação

Ae dessa vez que usei o combo fix não pediu pra estalar não .

O que eu faço pulo pro proximo passo q você me falou ou baixo o cosole de recuperação ?

Power Max · Novembro 13, 2009

Como eu fico sabendo se eu tenho estalado o Console de Recuperação ?

Porque uma vez um cara usou o combo fix aqui no computador e istalou esse console de recuperação

Ae dessa vez que usei o combo fix não pediu pra estalar não .

Caso você já tenha o Console de Recuperação instalado, na hora de iniciar o PC aparece uma tela parecida com esta abaixo perguntando se você quer iniciar pelo Windows ou pelo Console.

Windows%202003%20Recovery%20Console%20Boot.ini.jpg

Se esta tela não aparece quando você inicia o PC, então é porque ele não está instalado. Neste caso, é só seguir aquelas dicas do site que te passei para instalar ele.

medin · Novembro 13, 2009

Log do combo fix

ComboFix 09-11-11.02 - Usuario 13/11/2009 19:00.2.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.1023.571 [GMT -2:00]

Executando de: c:\documents and settings\Usuario\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Usuario\Desktop\CFScript.txt

AV: avast! antivirus 4.8.1335 [VPS 091107-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

* Criado um novo ponto de restauração

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-10-13 to 2009-11-13 ))))))))))))))))))))))))))))

.

2009-11-13 20:50 . 2009-11-13 20:50 -------- d-----w- c:\arquivos de programas\Sophos

2009-11-13 20:20 . 2009-11-13 20:25 -------- d-----w- C:\HostsXpert

2009-11-13 20:11 . 2009-11-13 20:17 -------- d-----w- C:\Lop SD

2009-11-13 17:27 . 2009-11-13 17:28 353485 ----a-w- C:\HostsXpert.zip

2009-11-11 16:10 . 2009-11-12 16:57 -------- d-----w- C:\PenClean