[Resolvido!] analise do hijackthis

[dal_rezende 0]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:18:47, on 24/12/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\tsnp2std.exe

C:\WINDOWS\vsnp2std.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Documents and Settings\Nome\Bluebirds\BlueBirds.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe

O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [bluebirds] C:\Documents and Settings\Nome\Bluebirds\BlueBirds.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

 

--

End of file - 5535 bytes

[Power Max 54]

:) Olá dal_rezende! Seja bem-vindo ao Fórum Imasters.

 

:seta: Abra o HijackThis, clique em Do a system scan only, marque as entradas abaixo e clique em Fix checked:

 

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

 

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

_________________________________

 

:seta: Siga também, por gentileza, as dicas deste tutorial para fazer uma limpeza de seu PC com o Malwarebytes:

 

'>http://dicasetutoriaisparapc.blogspot.com/2009/10/tutorial-do-malwarebytes-anti-malware.html"]Tutorial do Malwarebytes Anti-Malware

 

Na sua próxima resposta poste este log do Malwarebytes juntamente com um novo log do Hijackthis e nos diga como está o seu PC após este procedimento.

 

Ficamos no aguardo.

[dal_rezende 0]

:) Olá dal_rezende! Seja bem-vindo ao Fórum Imasters.

 

:seta: Abra o HijackThis, clique em Do a system scan only, marque as entradas abaixo e clique em Fix checked:

 

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

 

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

_________________________________

 

:seta: Siga também, por gentileza, as dicas deste tutorial para fazer uma limpeza de seu PC com o Malwarebytes:

 

'>http://dicasetutoriaisparapc.blogspot.com/2009/10/tutorial-do-malwarebytes-anti-malware.html"]Tutorial do Malwarebytes Anti-Malware

 

Na sua próxima resposta poste este log do Malwarebytes juntamente com um novo log do Hijackthis e nos diga como está o seu PC após este procedimento.

 

Ficamos no aguardo.

 

:) Olá dal_rezende! Seja bem-vindo ao Fórum Imasters.

 

:seta: Abra o HijackThis, clique em Do a system scan only, marque as entradas abaixo e clique em Fix checked:

 

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

 

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

_________________________________

 

:seta: Siga também, por gentileza, as dicas deste tutorial para fazer uma limpeza de seu PC com o Malwarebytes:

 

'>http://dicasetutoriaisparapc.blogspot.com/2009/10/tutorial-do-malwarebytes-anti-malware.html"]Tutorial do Malwarebytes Anti-Malware

 

Na sua próxima resposta poste este log do Malwarebytes juntamente com um novo log do Hijackthis e nos diga como está o seu PC após este procedimento.

 

Ficamos no aguardo.

 

 

Olá Antonio Vieira,obrigada pela sua atenção

 

 

Malwarebytes' Anti-Malware 1.42

Versão do banco de dados: 3415

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

24/12/2009 19:45:41

mbam-log-2009-12-24 (19-45-41).txt

 

Tipo de Verificação: Completa (C:\|D:\|E:\|G:\|)

Objetos verificados: 136227

Tempo decorrido: 20 minute(s), 18 second(s)

 

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 0

Ítens do Registro infectados: 0

Pastas infectadas: 0

Arquivos infectados: 0

 

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

 

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

 

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

 

Valores do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Ítens do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Pastas infectadas:

(Nenhum ítem malicioso foi detectado)

 

Arquivos infectados:

(Nenhum ítem malicioso foi detectado)

 

 

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:47:57, on 24/12/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\tsnp2std.exe

C:\WINDOWS\vsnp2std.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Documents and Settings\Nome\Bluebirds\BlueBirds.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe

O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [bluebirds] C:\Documents and Settings\Nome\Bluebirds\BlueBirds.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

 

--

End of file - 5392 bytes

 

 

Um abraço e estou aguardando o retorto..até já...Obrigada.

[Power Max 54]

:) Seus logs estão limpos. Como está o seu PC?

[dal_rezende 0]

Apenas para acrescentar,eu fui instalar um programa de keylloger e acabei pegando este virus

Acabei desisntalando dois programas suspeitos daqui..um deles era photoshop raw file 9 e ficou este arquivo,eu posso excluir este que sobrou este arquivo "snp2sxp-001",posso excluir tb?

 

exclui tb este attansic giga etthernet utility..achei suspeito. Isto foi antes de postar aqui,pois estava no desespero mesmo.

O tal programa FKmon algo parecido..é um keylloger..

[Power Max 54]

Apenas para acrescentar,eu fui instalar um programa de keylloger e acabei pegando este virus

O tal programa FKmon algo parecido..é um keylloger..

Você desinstalou este keylogger? Caso não tenha ainda desinstalado seria muito importante fazer isto.

___________________________________

 

Acabei desisntalando dois programas suspeitos daqui..um deles era photoshop raw file 9 e ficou este arquivo,eu posso excluir este que sobrou este arquivo "snp2sxp-001",posso excluir tb?

:seta: Para você saber se este arquivo é seguro ou está contaminado, é só você ir em um desses endereços abaixo e enviá-lo para análise:

http://virscan.org/

http://www.virustotal.com/

http://virusscan.jotti.org/

http://www.viruschief.com/

 

Nestes sites acima o arquivo será escaneado por vários antivírus ao mesmo tempo, o que dará uma certeza muito maior de que o arquivo seja seguro ou não.

_____________________________________

 

Depois nos diga, por gentileza, qual foi o resultado da análise do arquivo e como está seu PC atualmente.

[dal_rezende 0]

Apenas para acrescentar,eu fui instalar um programa de keylloger e acabei pegando este virus

O tal programa FKmon algo parecido..é um keylloger..

Você desinstalou este keylogger? Caso não tenha ainda desinstalado seria muito importante fazer isto.

___________________________________

 

Acabei desisntalando dois programas suspeitos daqui..um deles era photoshop raw file 9 e ficou este arquivo,eu posso excluir este que sobrou este arquivo "snp2sxp-001",posso excluir tb?

:seta: Para você saber se este arquivo é seguro ou está contaminado, é só você ir em um desses endereços abaixo e enviá-lo para análise:

http://virscan.org/

http://www.virustotal.com/

http://virusscan.jotti.org/

http://www.viruschief.com/

 

Nestes sites acima o arquivo será escaneado por vários antivírus ao mesmo tempo, o que dará uma certeza muito maior de que o arquivo seja seguro ou não.

_____________________________________

 

Depois nos diga, por gentileza, qual foi o resultado da análise do arquivo e como está seu PC atualmente.

 

Oi Antonia

Ainda estou triste porque ainda acusa i virus no pc

 

 

Avira AntiVir Personal

Report file date: sábado, 26 de dezembro de 2009 15:18

 

Scanning for 1473402 virus strains and unwanted programs.

 

Licensee : Avira AntiVir Personal - FREE Antivirus

Serial number : 0000149996-ADJIE-0000001

Platform : Windows XP

Windows version : (Service Pack 3) [5.1.2600]

Boot mode : Normally booted

Username : Nome

Computer name : DESKTOP

 

Version information:

BUILD.DAT : 9.0.0.418 21723 Bytes 2/12/2009 16:28:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 10/12/2009 19:41:53

AVSCAN.DLL : 9.0.3.0 40705 Bytes 27/2/2009 13:58:24

LUKE.DLL : 9.0.3.2 209665 Bytes 20/2/2009 14:35:49

LUKERES.DLL : 9.0.2.0 12033 Bytes 27/2/2009 13:58:52

VBASE000.VDF : 7.10.0.0 19875328 Bytes 6/11/2009 16:36:43

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 16:40:29

VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 16:40:30

VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 16:40:34

VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 16:40:35

VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 16:40:36

VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 16:40:37

VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 16:40:40

VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 16:40:40

VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 16:40:41

VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 16:40:41

VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 16:40:42

VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 16:40:43

VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 23:09:00

VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 01:44:46

VBASE015.VDF : 7.10.1.178 195584 Bytes 7/12/2009 18:44:05

VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 21:04:12

VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 21:04:01

VBASE018.VDF : 7.10.2.30 198144 Bytes 21/12/2009 10:59:25

VBASE019.VDF : 7.10.2.31 2048 Bytes 21/12/2009 11:00:04

VBASE020.VDF : 7.10.2.32 2048 Bytes 21/12/2009 11:00:08

VBASE021.VDF : 7.10.2.33 2048 Bytes 21/12/2009 11:00:10

VBASE022.VDF : 7.10.2.34 2048 Bytes 21/12/2009 11:00:10

VBASE023.VDF : 7.10.2.35 2048 Bytes 21/12/2009 11:00:12

VBASE024.VDF : 7.10.2.36 2048 Bytes 21/12/2009 11:00:13

VBASE025.VDF : 7.10.2.37 2048 Bytes 21/12/2009 11:00:14

VBASE026.VDF : 7.10.2.38 2048 Bytes 21/12/2009 11:00:15

VBASE027.VDF : 7.10.2.39 2048 Bytes 21/12/2009 11:00:15

VBASE028.VDF : 7.10.2.40 2048 Bytes 21/12/2009 11:00:16

VBASE029.VDF : 7.10.2.41 2048 Bytes 21/12/2009 11:00:18

VBASE030.VDF : 7.10.2.42 2048 Bytes 21/12/2009 11:00:19

VBASE031.VDF : 7.10.2.60 187392 Bytes 24/12/2009 09:39:03

Engineversion : 8.2.1.122

AEVDF.DLL : 8.1.1.2 106867 Bytes 22/11/2009 16:49:44

AESCRIPT.DLL : 8.1.3.4 586105 Bytes 23/12/2009 11:05:16

AESCN.DLL : 8.1.3.0 127348 Bytes 11/12/2009 21:04:24

AESBX.DLL : 8.1.1.1 246132 Bytes 22/11/2009 16:48:22

AERDL.DLL : 8.1.3.4 479605 Bytes 2/12/2009 01:50:01

AEPACK.DLL : 8.2.0.3 422261 Bytes 22/11/2009 16:47:08

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23/7/2009 12:59:39

AEHEUR.DLL : 8.1.0.189 2195833 Bytes 23/12/2009 11:04:28

AEHELP.DLL : 8.1.9.0 237943 Bytes 19/12/2009 04:47:43

AEGEN.DLL : 8.1.1.82 369014 Bytes 23/12/2009 11:01:21

AEEMU.DLL : 8.1.1.0 393587 Bytes 22/11/2009 16:42:16

AECORE.DLL : 8.1.9.1 180598 Bytes 11/12/2009 21:04:16

AEBB.DLL : 8.1.0.3 53618 Bytes 9/10/2008 17:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 11:47:59

AVPREF.DLL : 9.0.3.0 44289 Bytes 10/12/2009 19:41:53

AVREP.DLL : 8.0.0.3 155905 Bytes 20/1/2009 17:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 5/12/2008 13:32:09

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/3/2009 18:05:41

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/1/2009 13:37:08

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/1/2009 18:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2/2/2009 11:21:33

NETNT.DLL : 9.0.0.0 11521 Bytes 5/12/2008 13:32:10

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15/5/2009 18:39:58

RCTEXT.DLL : 9.0.73.0 86785 Bytes 10/12/2009 19:41:53

 

Configuration settings for the scan:

Jobname.............................: Complete system scan

Configuration file..................: c:\arquivos de programas\avira\antivir desktop\sysscan.avp

Logging.............................: low

Primary action......................: interactive

Secondary action....................: ignore

Scan master boot sector.............: on

Scan boot sector....................: on

Boot sectors........................: C:, D:,

Process scan........................: on

Scan registry.......................: on

Search for rootkits.................: on

Integrity checking of system files..: off

Scan all files......................: All files

Scan archives.......................: on

Recursion depth.....................: 20

Smart extensions....................: on

Macro heuristic.....................: on

File heuristic......................: medium

 

Start of the scan: sábado, 26 de dezembro de 2009 15:18

 

Starting search for hidden objects.

'22119' objects were checked, '0' hidden objects were found.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'iSpQVideoChat8.exe' - '1' Module(s) have been scanned

Scan process 'iexplore.exe' - '1' Module(s) have been scanned

Scan process 'iexplore.exe' - '1' Module(s) have been scanned

Scan process 'wuauclt.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'NMIndexStoreSvr.exe' - '1' Module(s) have been scanned

Scan process 'AWC.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'BlueBirds.exe' - '1' Module(s) have been scanned

Scan process 'NMBgMonitor.exe' - '1' Module(s) have been scanned

Scan process 'igfxsrvc.exe' - '1' Module(s) have been scanned

Scan process 'vsnp2std.exe' - '1' Module(s) have been scanned

Scan process 'tsnp2std.exe' - '1' Module(s) have been scanned

Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'jusched.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'igfxpers.exe' - '1' Module(s) have been scanned

Scan process 'hkcmd.exe' - '1' Module(s) have been scanned

Scan process 'igfxtray.exe' - '1' Module(s) have been scanned

Scan process 'MDM.EXE' - '1' Module(s) have been scanned

Scan process 'jqs.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

38 processes with 38 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

Master boot sector HD1

[iNFO] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

Boot sector 'D:\'

[iNFO] No virus was found!

 

Starting to scan executable files (registry).

The registry was scanned ( '56' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\pagefile.sys

[WARNING] The file could not be opened!

[NOTE] This file is a Windows system file.

[NOTE] This file cannot be opened for scanning.

Begin scan in 'D:\'

 

 

End of the scan: sábado, 26 de dezembro de 2009 15:26

Used time: 07:54 Minute(s)

 

The scan has been done completely.

 

1881 Scanned directories

122239 Files were scanned

0 Viruses and/or unwanted programs were found

0 Files were classified as suspicious

0 files were deleted

0 Viruses and unwanted programs were repaired

0 Files were moved to quarantine

0 Files were renamed

1 Files cannot be scanned

122238 Files not concerned

992 Archives were scanned

1 Warnings

1 Notes

22119 Objects were scanned with rootkit scan

0 Hidden objects were found

 

Quando eu coloco no pesquisa FKMON simplesmente trava e mostra uma mensagem do windons

[dal_rezende 0]

continuando..quando eu coloco no pesquisar em todo computador arquivos e pasta mostra esta mensagem ALERTA DE PREVENÇÃO DE EXECUÇÃO DE DADOS ajuda a proteger contra danos por vírus ou outra ameaça DO WINDONS,para proteger seu computador.

Espero retorno..Um abraço e obreigada mais uma vez..

[Power Max 54]

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

 

Faça o download do ComboFix

Salve-o no Desktop (área de trabalho).

* Desabilite as proteções residente de: antivírus, antispywares e firewall. ( Menos o do Windows! )

* Feche todas as janelas e execute a ferramenta.

* Ps: A execução, por comando, também é possível:

* Vá em Iniciar --> Executar --> Digite ou cole: "%userprofile%\desktop\Combofix.exe" /killall

Vá em Iniciar --> Executar --> Digite ou cole:

"%userprofile%\desktop\Combofix.exe" /killall

 

 

* Clique em Ok.

* Na solicitação: "Negação de garantia de software" --> Clique em Sim.

 

 

* Não possuindo o "'>http://support.microsoft.com/kb/307654/pt-br"]Console de Recuperação",aceite optar pela instalação do mesmo.

* Terminando,clique Sim ou Yes. --> Aguarde.

 

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

 

:!: Caso aconteça a notificação de: Aplicativo Win32 inválido ou alguma mensagem parecida com esta, delete a ferramenta ComboFix.exe e faça, novamente, seu download.

* Salve-a no Desktop,renomeada como: Kombo.exe

* Ps: Nomeie durante o salvamento,e não após salvá-la!

* Ps: Surgindo alguma mensagem de erro, rode o ComboFix.exe em "'>http://forum.imasters.com.br/index.php?/topic/278480-como-iniciar-em-modo-de-seguranca/"]Modo de Segurança". <-- Link!

* Ps: Na presença de atividades rootkit,teremos a seguinte janela de notificação:

 

 

* Ps: Anote essas detecções, e dê o OK. Neste caso poste estas detecções que você terá anotado em sua próxima resposta juntamente com os logs pedidos.

* Ps: Para completar as remoções, talvez haja necessidade da ferramenta reiniciar o computador. <-- Aguarde!

* Ps: Para evitar problemas, siga todas as recomendações propostas.

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

 

* Abrir-se-á a janela Auto Scan. --> Aguarde!

* Para finalizar remoções, o ComboFix poderá reiniciar o computador.

* Se houver necessidade, digite a opção ( 1 ) --> Aperte Enter! --> Aguarde a conclusão!

* Durante o scan, evite manusear o mouse ou teclado! <-- Importante!

* Caso, por algum motivo de força maior, precise parar ou sair do ComboFix,tecle "N" ou "2" --> Aperte Enter.

<><><><><><><><><><><><>

 

Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC depois disto.

 

Ficamos no aguardo.

[dal_rezende 0]

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

 

Faça o download do ComboFix

Salve-o no Desktop (área de trabalho).

* Desabilite as proteções residente de: antivírus, antispywares e firewall. ( Menos o do Windows! )

* Feche todas as janelas e execute a ferramenta.

* Ps: A execução, por comando, também é possível:

* Vá em Iniciar --> Executar --> Digite ou cole: "%userprofile%\desktop\Combofix.exe" /killall

Vá em Iniciar --> Executar --> Digite ou cole:

"%userprofile%\desktop\Combofix.exe" /killall

 

 

* Clique em Ok.

* Na solicitação: "Negação de garantia de software" --> Clique em Sim.

 

 

* Não possuindo o "'>http://support.microsoft.com/kb/307654/pt-br"]Console de Recuperação",aceite optar pela instalação do mesmo.

* Terminando,clique Sim ou Yes. --> Aguarde.

 

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

 

:!: Caso aconteça a notificação de: Aplicativo Win32 inválido ou alguma mensagem parecida com esta, delete a ferramenta ComboFix.exe e faça, novamente, seu download.

* Salve-a no Desktop,renomeada como: Kombo.exe

* Ps: Nomeie durante o salvamento,e não após salvá-la!

* Ps: Surgindo alguma mensagem de erro, rode o ComboFix.exe em "'>http://forum.imasters.com.br/index.php?/topic/278480-como-iniciar-em-modo-de-seguranca/"]Modo de Segurança". <-- Link!

* Ps: Na presença de atividades rootkit,teremos a seguinte janela de notificação:

 

 

* Ps: Anote essas detecções, e dê o OK. Neste caso poste estas detecções que você terá anotado em sua próxima resposta juntamente com os logs pedidos.

* Ps: Para completar as remoções, talvez haja necessidade da ferramenta reiniciar o computador. <-- Aguarde!

* Ps: Para evitar problemas, siga todas as recomendações propostas.

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

 

* Abrir-se-á a janela Auto Scan. --> Aguarde!

* Para finalizar remoções, o ComboFix poderá reiniciar o computador.

* Se houver necessidade, digite a opção ( 1 ) --> Aperte Enter! --> Aguarde a conclusão!

* Durante o scan, evite manusear o mouse ou teclado! <-- Importante!

* Caso, por algum motivo de força maior, precise parar ou sair do ComboFix,tecle "N" ou "2" --> Aperte Enter.

<><><><><><><><><><><><>

 

Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC depois disto.

 

Ficamos no aguardo.

 

 

 

Olá Antonio,primeiro me desculpe pois digitei seu nome errado entre outros erros de digitação

 

 

Antes de fazer seu procedimento ,eu consegui scan online do Panda e veja o que encontraram

 

 

Nível de perigo Baixo (8)

Cookie/Com.com Tracking Cookie Latente Mostrar + Info

1. c:\documents and settings\nome\cookies\nome@uol.com[1].txt

 

Cookie/Com.com Tracking Cookie Latente Mostrar + Info

1. c:\documents and settings\nome\cookies\nome@terra.com[3].txt

 

Cookie/YieldMa... Tracking Cookie Latente Mostrar + Info

1. c:\documents and settings\administrador\cooki...dministrador@ad.yieldmanager[2].txt

2. c:\documents and settings\nome\cookies\nome@ad.yieldmanager[1].txt

 

Cookie/Questio... Tracking Cookie Latente Mostrar + Info

1. c:\documents and settings\administrador\cooki...administrador@questionmarket[2].txt

 

Cookie/Com.com Tracking Cookie Latente Mostrar + Info

1. c:\documents and settings\nome\cookies\nome@ig.com[1].txt

 

Cookie/Com.com Tracking Cookie Latente Mostrar + Info

1. c:\documents and settings\administrador\cookies\administrador@com[1].txt

 

Cookie/FastCli... Tracking Cookie Latente Mostrar + Info

1. c:\documents and settings\administrador\cookies\administrador@fastclick[1].txt

 

Cookie/Atlas D... Tracking Cookie Latente Mostrar + Info

1. c:\documents and settings\administrador\cookies\administrador@atdmt[1].txt

 

 

 

Ficheiros suspeitos (4)

c:\windows\pev.exe Enviado

c:\system volume information\_restore{144ea07...ccf-b7fa9d0da222}\rp55\a0007350.exe Enviado

c:\system volume information\_restore{144ea07...a0007342.exe[32788r22fwjfw\pev.exe] Enviado

c:\!killbox\rrt.exe

 

 

 

Vulnerabilidades (37)

MS09-065 Alto + Info

MS09-032 Alto + Info

MS08-071 Alto + Info

MS09-046 Alto + Info

MS09-034 Alto + Info

MS09-059 Alto + Info

MS09-029 Alto + Info

MS09-026 Alto + Info

MS08-068 Alto + Info

MS08-067 Alto + Info

MS08-066 Alto + Info

MS09-042 Alto + Info

MS09-025 Alto + Info

MS09-015 Alto + Info

MS09-057 Alto + Info

MS09-041 Alto + Info

MS08-064 Alto + Info

MS09-056 Alto + Info

MS09-013 Alto + Info

MS08-063 Alto + Info

MS09-055 Alto + Info

MS09-022 Alto + Info

MS09-012 Alto + Info

MS08-032 Alto + Info

MS09-054 Alto + Info

MS09-038 Alto + Info

MS09-001 Alto + Info

MS08-061 Alto + Info

MS09-007 Alto + Info

MS08-030 Alto + Info

MS09-019 Alto + Info

MS09-006 Alto + Info

MS08-049 Alto + Info

MS09-072 Alto + Info

MS09-058 Alto + Info

MS08-037 Médio + Info

MS09-069 Alto + Info

[Power Max 54]

Alguns problemas foram detectados pelo Panda.

 

:seta: Fico então no aguardo do log do Combofix e um novo log do Hijackthis.

[dal_rezende 0]

Alguns problemas foram detectados pelo Panda.

 

:seta: Fico então no aguardo do log do Combofix e um novo log do Hijackthis.

 

O combofix já fiz uma vez e fiquei com receio de fazer novamente ..já que havia me esquecido de avisá-lo que meu windons xp não é registrado,infelizmente já vendem para gente assim mesmo.:(

então fui em busca de algum tópico e encontrei algo que vcs mesmos havia passado para um usuário então baixei sophos e acusou que estou problemas no Nircmd.exe

Quero saber se devo apagar o combofix que já fiz ou você posso faze-lo novamente?

 

O hijathis agora é este.Quero me desculpar antecipadamente pois nada entendo

 

 

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:09:07, on 31/12/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\tsnp2std.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

c:\Arquivos de programas\Sophos\AutoUpdate\ALsvc.exe

c:\Arquivos de programas\Sophos\AutoUpdate\ALMon.exe

C:\Arquivos de programas\Sophos\Sophos Anti-Virus\SAVAdminService.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKUS\S-1-5-21-1292428093-1614895754-1177238915-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrador')

O4 - HKUS\S-1-5-21-1292428093-1614895754-1177238915-500\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe" (User 'Administrador')

O4 - HKUS\S-1-5-21-1292428093-1614895754-1177238915-500\..\RunOnce: [NeroHomeFirstStart] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMFirstStart.exe (User 'Administrador')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Arquivos de programas\Sophos\AutoUpdate\ALMon.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8942.cab

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Sophos Anti-Virus status reporter (SAVAdminService) - Sophos Plc - C:\Arquivos de programas\Sophos\Sophos Anti-Virus\SAVAdminService.exe

O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Arquivos de programas\Sophos\Sophos Anti-Virus\SavService.exe

O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Arquivos de programas\Sophos\AutoUpdate\ALsvc.exe

 

--

End of file - 6283 bytes

 

 

 

Tb fiz uma busca na iniciação desabilitei igfxpers e jusched da iniciação e como recomendado desabilitei a restauração do sistema,porque li em alguns tópicos de vcs que é recomendável fazer isto...e no virus total sobre este arquivo Nircmd.exe veio este resultado

 

Antivírus Versão Última Atualização Resultado

a-squared 4.5.0.43 2009.12.30 -

AhnLab-V3 5.0.0.2 2009.12.30 -

AntiVir 7.9.1.122 2009.12.30 -

Antiy-AVL 2.0.3.7 2009.12.30 -

Authentium 5.2.0.5 2009.12.30 -

Avast 4.8.1351.0 2009.12.30 -

AVG 8.5.0.430 2009.12.30 -

BitDefender 7.2 2009.12.30 -

CAT-QuickHeal 10.00 2009.12.30 -

ClamAV 0.94.1 2009.12.30 -

Comodo 3417 2009.12.30 Application.Win32.Nircmd.~

DrWeb 5.0.1.12222 2009.12.30 -

eSafe 7.0.17.0 2009.12.29 -

eTrust-Vet 35.1.7206 2009.12.30 -

F-Prot 4.5.1.85 2009.12.30 -

F-Secure 9.0.15370.0 2009.12.30 -

Fortinet 4.0.14.0 2009.12.30 -

GData 19 2009.12.30 -

Ikarus T3.1.1.79.0 2009.12.30 -

Jiangmin 13.0.900 2009.12.30 -

K7AntiVirus 7.10.934 2009.12.30 -

Kaspersky 7.0.0.125 2009.12.30 -

McAfee 5847 2009.12.30 -

McAfee+Artemis 5847 2009.12.30 -

McAfee-GW-Edition 6.8.5 2009.12.30 -

Microsoft 1.5302 2009.12.30 -

NOD32 4730 2009.12.30 -

Norman 6.04.03 2009.12.30 -

nProtect 2009.1.8.0 2009.12.30 -

Panda 10.0.2.2 2009.12.30 -

PCTools 7.0.3.5 2009.12.30 -

Prevx 3.0 2009.12.30 -

Rising 22.28.02.04 2009.12.30 -

Sophos 4.49.0 2009.12.30 NirCmd

Sunbelt 3.2.1858.2 2009.12.30 -

Symantec 1.4.4.12 2009.12.30 -

TheHacker 6.5.0.3.121 2009.12.30 -

TrendMicro 9.120.0.1004 2009.12.30 -

VBA32 3.12.12.1 2009.12.30 -

ViRobot 2009.12.30.2116 2009.12.30 -

VirusBuster 5.0.21.0 2009.12.30 -

Informações adicionais

File size: 31232 bytes

MD5...: ae72e8619cb31d84da25e2435e55003c

SHA1..: 2ed893a9aa82da248b5f4344819fcf6ad2d28240

SHA256: eccf9f7bb602e25cf9383be7856318c1fa679c0c4a354966b0ed723da17e8d24

ssdeep: 768:8HfV0Q+ubR8EM/hIY/5UPkLVScwoUT+hhe88Znxbtk2:I+FCRFMyYVVScFUT

Yw86nRtJ

 

PEiD..: -

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x12af0

timedatestamp.....: 0x49ec5532 (Mon Apr 20 10:57:54 2009)

machinetype.......: 0x14c (I386)

 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0xc000 0x7000 0x6e00 7.88 61ac5157516e5e2e687d300707ddf5df

.rsrc 0x13000 0x1000 0x800 3.30 c926c07c18604758648052e6fadc348c

 

( 8 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess

> ADVAPI32.dll: RegCloseKey

> GDI32.dll: BitBlt

> msvcrt.dll: exit

> ole32.dll: CoInitialize

> SHELL32.dll: ShellExecuteA

> USER32.dll: GetDC

> WINMM.dll: mixerOpen

 

( 0 exports )

 

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: UPX compressed Win32 Executable (39.5%)

Win32 EXE Yoda's Crypter (34.3%)

Win32 Executable Generic (11.0%)

Win32 Dynamic Link Library (generic) (9.8%)

Generic Win/DOS Executable (2.5%)

packers (Kaspersky): PE_Patch.UPX, UPX

packers (F-Prot): UPX

sigcheck:

publisher....: NirSoft

copyright....: Copyright © 2003 - 2009 Nir Sofer

product......: NirCmd

description..: NirCmd

original name: NirCmd.exe

internal name: NirCmd

file version.: 2.35

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

 

Ah! antes fiquei desesperada e fui no regedit

e apaguei o tal de fkmon ,fk,tem mais o kelloger e olhwef.exe mas nada fiz pois fiquei com medo de piorar mais ainda.

Poderia me dar uma dica se pelo regedit poderia apagar tudo que for suspeito por lá?

 

 

Obrigada....

[Power Max 54]

Ah! antes fiquei desesperada e fui no regedit

e apaguei o tal de fkmon ,fk,tem mais o kelloger e olhwef.exe mas nada fiz pois fiquei com medo de piorar mais ainda.

Poderia me dar uma dica se pelo regedit poderia apagar tudo que for suspeito por lá?

:!: Só siga o que eu te falar, porque se você fizer procedimentos por conta própria não teremos como resolver o seu problema e você irá é prejudicar muito o seu PC.

______________________________________

 

O combofix já fiz uma vez e fiquei com receio de fazer novamente ..já que havia me esquecido de avisá-lo que meu windons xp não é registrado,infelizmente já vendem para gente assim mesmo.

O Combofix é um programa seguro e pode ser usado tanto em Windows pirata quanto em Windows original, pode usá-lo tranquilamente.

 

É só você seguir direitinho aqueles procedimentos que te passei para usá-lo e depois poste os logs que foram pedidos para serem analisados.

 

Fico na espera.

[dal_rezende 0]

Apenas para acrescentar,eu fui instalar um programa de keylloger e acabei pegando este virus

O tal programa FKmon algo parecido..é um keylloger..

Você desinstalou este keylogger? Caso não tenha ainda desinstalado seria muito importante fazer isto.

___________________________________

 

Acabei desisntalando dois programas suspeitos daqui..um deles era photoshop raw file 9 e ficou este arquivo,eu posso excluir este que sobrou este arquivo "snp2sxp-001",posso excluir tb?

:seta: Para você saber se este arquivo é seguro ou está contaminado, é só você ir em um desses endereços abaixo e enviá-lo para análise:

http://virscan.org/

http://www.virustotal.com/

http://virusscan.jotti.org/

http://www.viruschief.com/

 

Nestes sites acima o arquivo será escaneado por vários antivírus ao mesmo tempo, o que dará uma certeza muito maior de que o arquivo seja seguro ou não.

_____________________________________

 

Depois nos diga, por gentileza, qual foi o resultado da análise do arquivo e como está seu PC atualmente.

 

Oi Antonio

Ainda estou triste porque ainda acusa i virus no pc

 

 

Avira AntiVir Personal

Report file date: sábado, 26 de dezembro de 2009 15:18

 

Scanning for 1473402 virus strains and unwanted programs.

 

Licensee : Avira AntiVir Personal - FREE Antivirus

Serial number : 0000149996-ADJIE-0000001

Platform : Windows XP

Windows version : (Service Pack 3) [5.1.2600]

Boot mode : Normally booted

Username : Nome

Computer name : DESKTOP

 

Version information:

BUILD.DAT : 9.0.0.418 21723 Bytes 2/12/2009 16:28:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 10/12/2009 19:41:53

AVSCAN.DLL : 9.0.3.0 40705 Bytes 27/2/2009 13:58:24

LUKE.DLL : 9.0.3.2 209665 Bytes 20/2/2009 14:35:49

LUKERES.DLL : 9.0.2.0 12033 Bytes 27/2/2009 13:58:52

VBASE000.VDF : 7.10.0.0 19875328 Bytes 6/11/2009 16:36:43

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 16:40:29

VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 16:40:30

VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 16:40:34

VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 16:40:35

VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 16:40:36

VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 16:40:37

VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 16:40:40

VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 16:40:40

VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 16:40:41

VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 16:40:41

VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 16:40:42

VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 16:40:43

VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 23:09:00

VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 01:44:46

VBASE015.VDF : 7.10.1.178 195584 Bytes 7/12/2009 18:44:05

VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 21:04:12

VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 21:04:01

VBASE018.VDF : 7.10.2.30 198144 Bytes 21/12/2009 10:59:25

VBASE019.VDF : 7.10.2.31 2048 Bytes 21/12/2009 11:00:04

VBASE020.VDF : 7.10.2.32 2048 Bytes 21/12/2009 11:00:08

VBASE021.VDF : 7.10.2.33 2048 Bytes 21/12/2009 11:00:10

VBASE022.VDF : 7.10.2.34 2048 Bytes 21/12/2009 11:00:10

VBASE023.VDF : 7.10.2.35 2048 Bytes 21/12/2009 11:00:12

VBASE024.VDF : 7.10.2.36 2048 Bytes 21/12/2009 11:00:13

VBASE025.VDF : 7.10.2.37 2048 Bytes 21/12/2009 11:00:14

VBASE026.VDF : 7.10.2.38 2048 Bytes 21/12/2009 11:00:15

VBASE027.VDF : 7.10.2.39 2048 Bytes 21/12/2009 11:00:15

VBASE028.VDF : 7.10.2.40 2048 Bytes 21/12/2009 11:00:16

VBASE029.VDF : 7.10.2.41 2048 Bytes 21/12/2009 11:00:18

VBASE030.VDF : 7.10.2.42 2048 Bytes 21/12/2009 11:00:19

VBASE031.VDF : 7.10.2.60 187392 Bytes 24/12/2009 09:39:03

Engineversion : 8.2.1.122

AEVDF.DLL : 8.1.1.2 106867 Bytes 22/11/2009 16:49:44

AESCRIPT.DLL : 8.1.3.4 586105 Bytes 23/12/2009 11:05:16

AESCN.DLL : 8.1.3.0 127348 Bytes 11/12/2009 21:04:24

AESBX.DLL : 8.1.1.1 246132 Bytes 22/11/2009 16:48:22

AERDL.DLL : 8.1.3.4 479605 Bytes 2/12/2009 01:50:01

AEPACK.DLL : 8.2.0.3 422261 Bytes 22/11/2009 16:47:08

AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23/7/2009 12:59:39

AEHEUR.DLL : 8.1.0.189 2195833 Bytes 23/12/2009 11:04:28

AEHELP.DLL : 8.1.9.0 237943 Bytes 19/12/2009 04:47:43

AEGEN.DLL : 8.1.1.82 369014 Bytes 23/12/2009 11:01:21

AEEMU.DLL : 8.1.1.0 393587 Bytes 22/11/2009 16:42:16

AECORE.DLL : 8.1.9.1 180598 Bytes 11/12/2009 21:04:16

AEBB.DLL : 8.1.0.3 53618 Bytes 9/10/2008 17:32:40

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 11:47:59

AVPREF.DLL : 9.0.3.0 44289 Bytes 10/12/2009 19:41:53

AVREP.DLL : 8.0.0.3 155905 Bytes 20/1/2009 17:34:28

AVREG.DLL : 9.0.0.0 36609 Bytes 5/12/2008 13:32:09

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/3/2009 18:05:41

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/1/2009 13:37:08

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/1/2009 18:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2/2/2009 11:21:33

NETNT.DLL : 9.0.0.0 11521 Bytes 5/12/2008 13:32:10

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15/5/2009 18:39:58

RCTEXT.DLL : 9.0.73.0 86785 Bytes 10/12/2009 19:41:53

 

Configuration settings for the scan:

Jobname.............................: Complete system scan

Configuration file..................: c:\arquivos de programas\avira\antivir desktop\sysscan.avp

Logging.............................: low

Primary action......................: interactive

Secondary action....................: ignore

Scan master boot sector.............: on

Scan boot sector....................: on

Boot sectors........................: C:, D:,

Process scan........................: on

Scan registry.......................: on

Search for rootkits.................: on

Integrity checking of system files..: off

Scan all files......................: All files

Scan archives.......................: on

Recursion depth.....................: 20

Smart extensions....................: on

Macro heuristic.....................: on

File heuristic......................: medium

 

Start of the scan: sábado, 26 de dezembro de 2009 15:18

 

Starting search for hidden objects.

'22119' objects were checked, '0' hidden objects were found.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'iSpQVideoChat8.exe' - '1' Module(s) have been scanned

Scan process 'iexplore.exe' - '1' Module(s) have been scanned

Scan process 'iexplore.exe' - '1' Module(s) have been scanned

Scan process 'wuauclt.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'NMIndexStoreSvr.exe' - '1' Module(s) have been scanned

Scan process 'AWC.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'BlueBirds.exe' - '1' Module(s) have been scanned

Scan process 'NMBgMonitor.exe' - '1' Module(s) have been scanned

Scan process 'igfxsrvc.exe' - '1' Module(s) have been scanned

Scan process 'vsnp2std.exe' - '1' Module(s) have been scanned

Scan process 'tsnp2std.exe' - '1' Module(s) have been scanned

Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'jusched.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'igfxpers.exe' - '1' Module(s) have been scanned

Scan process 'hkcmd.exe' - '1' Module(s) have been scanned

Scan process 'igfxtray.exe' - '1' Module(s) have been scanned

Scan process 'MDM.EXE' - '1' Module(s) have been scanned

Scan process 'jqs.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

38 processes with 38 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

Master boot sector HD1

[iNFO] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

Boot sector 'D:\'

[iNFO] No virus was found!

 

Starting to scan executable files (registry).

The registry was scanned ( '56' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\pagefile.sys

[WARNING] The file could not be opened!

[NOTE] This file is a Windows system file.

[NOTE] This file cannot be opened for scanning.

Begin scan in 'D:\'

 

 

End of the scan: sábado, 26 de dezembro de 2009 15:26

Used time: 07:54 Minute(s)

 

The scan has been done completely.

 

1881 Scanned directories

122239 Files were scanned

0 Viruses and/or unwanted programs were found

0 Files were classified as suspicious

0 files were deleted

0 Viruses and unwanted programs were repaired

0 Files were moved to quarantine

0 Files were renamed

1 Files cannot be scanned

122238 Files not concerned

992 Archives were scanned

1 Warnings

1 Notes

22119 Objects were scanned with rootkit scan

0 Hidden objects were found

 

Quando eu coloco no pesquisa FKMON simplesmente trava e mostra uma mensagem do windons

[dal_rezende 0]

Apenas para acrescentar,eu fui instalar um programa de keylloger e acabei pegando este virus

O tal programa FKmon algo parecido..é um keylloger..

Você desinstalou este keylogger? Caso não tenha ainda desinstalado seria muito importante fazer isto.

___________________________________

 

Acabei desisntalando dois programas suspeitos daqui..um deles era photoshop raw file 9 e ficou este arquivo,eu posso excluir este que sobrou este arquivo "snp2sxp-001",posso excluir tb?

:seta: Para você saber se este arquivo é seguro ou está contaminado, é só você ir em um desses endereços abaixo e enviá-lo para análise:

http://virscan.org/

http://www.virustotal.com/

http://virusscan.jotti.org/

http://www.viruschief.com/

 

Nestes sites acima o arquivo será escaneado por vários antivírus ao mesmo tempo, o que dará uma certeza muito maior de que o arquivo seja seguro ou não.

_____________________________________

 

Depois nos diga, por gentileza, qual foi o resultado da análise do arquivo e como está seu PC atualmente.

 

 

 

Resultado do combofix

 

 

 

 

ComboFix 09-12-31.06 - Nome 02/01/2010 1:43.2.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.2038.1581 [GMT -2:00]

Executando de: c:\documents and settings\Nome\desktop\Combofix.exe

Comandos utilizados :: /killall

 

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

 

(((((((((((((((( Arquivos/Ficheiros criados de 2009-12-02 to 2010-01-02 ))))))))))))))))))))))))))))

.

 

2010-01-01 14:23 . 2010-01-01 14:23 -------- d-sh--w- c:\documents and settings\LocalService\PrivacIE

2010-01-01 14:23 . 2010-01-01 14:23 -------- d-sh--w- c:\documents and settings\LocalService\IECompatCache

2010-01-01 13:50 . 2010-01-01 14:25 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\TEMP

2009-12-31 20:51 . 2009-12-31 20:51 7168 ----a-w- c:\windows\system32\drivers\utmymjk3.sys

2009-12-31 18:20 . 2009-12-03 18:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-12-31 18:20 . 2009-12-31 18:20 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2009-12-31 18:20 . 2009-12-03 18:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-12-31 16:17 . 2009-12-31 16:17 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Sophos

2009-12-31 16:15 . 2009-12-31 16:15 -------- d-----w- C:\stdtsa

2009-12-30 15:42 . 2009-12-31 16:08 -------- d-----w- c:\documents and settings\Nome\DoctorWeb

2009-12-30 13:08 . 2009-12-30 13:08 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

2009-12-30 13:05 . 2009-12-30 14:16 -------- d-----w- c:\arquivos de programas\Windows Live Safety Center

2009-12-28 18:07 . 2010-01-01 13:51 -------- d-----w- c:\arquivos de programas\Panda Security

2009-12-26 10:55 . 2010-01-01 13:40 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\IObit

2009-12-26 10:55 . 2009-12-26 10:55 -------- d-----w- c:\arquivos de programas\IObit

2009-12-26 10:55 . 2009-11-04 18:49 635664 ----a-w- c:\documents and settings\Nome\Dados de aplicativos\IObit\Common\TB_Helper.exe

2009-12-25 02:50 . 2009-12-25 02:50 -------- d-sh--w- c:\documents and settings\Administrador\PrivacIE

2009-12-25 02:47 . 2009-12-25 02:47 -------- d-sh--w- c:\documents and settings\Administrador\IETldCache

2009-12-25 02:27 . 2009-12-25 02:27 -------- d-----w- c:\arquivos de programas\ToniArts

2009-12-25 02:17 . 2009-12-25 02:21 -------- d-----w- c:\windows\SxsCaPendDel

2009-12-21 05:59 . 2009-12-21 05:59 -------- d-----w- C:\LinhaDefensiva

2009-12-21 04:15 . 2009-12-21 04:15 2951802 ----a-w- c:\arquivos de programas\EClea2_0.exe

2009-12-21 03:54 . 2009-12-21 03:54 3326576 ----a-w- c:\arquivos de programas\ccsetup226.exe

2009-12-21 03:39 . 2009-12-21 03:39 -------- d-----w- c:\arquivos de programas\Marcos Velasco Security

2009-12-21 03:38 . 2009-12-21 03:38 1429991 ----a-w- c:\arquivos de programas\mvregclean59-br.zip

2009-12-21 01:58 . 2009-12-31 20:46 -------- d-----w- C:\!KillBox

2009-12-21 01:51 . 2009-12-21 01:51 93696 ----a-w- c:\arquivos de programas\KillBox.exe

2009-12-20 09:12 . 2009-12-20 09:12 178597 ----a-w- c:\arquivos de programas\51942_bankerfix_30.exe

2009-12-20 04:25 . 2009-12-20 04:26 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\FKMonitor

2009-12-19 06:12 . 2009-12-19 06:12 79488 ----a-w- c:\documents and settings\Nome\Dados de aplicativos\Sun\Java\jre1.6.0_17\gtapi.dll

2009-12-17 07:08 . 2009-12-17 07:08 282 ----a-w- c:\arquivos de programas\iSpQ8ClearLogins.reg

2009-12-07 23:39 . 2009-12-07 23:39 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\Malwarebytes

2009-12-07 23:39 . 2009-12-07 23:39 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2009-12-07 23:29 . 2009-12-07 23:29 -------- d-----w- c:\arquivos de programas\Trend Micro

2009-12-07 23:28 . 2009-12-07 23:28 812344 ----a-w- c:\arquivos de programas\HijackThisInstaller.exe

2009-12-03 06:43 . 2010-01-01 14:23 -------- d-----r- c:\documents and settings\LocalService\Favoritos

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-31 16:08 . 2009-11-25 06:15 -------- d-----w- c:\arquivos de programas\K-Lite Codec Pack

2009-12-24 13:11 . 2009-11-20 19:31 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2009-12-24 12:48 . 2009-11-20 18:24 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe

2009-12-21 23:21 . 2009-11-25 03:25 -------- d-----w- c:\arquivos de programas\Yahoo!

2009-12-20 09:32 . 2009-11-25 03:42 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Yahoo!

2009-12-10 19:41 . 2009-11-20 19:27 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-11-28 02:06 . 2009-11-28 02:06 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\Media Player Classic

2009-11-25 06:13 . 2009-11-25 06:13 24246400 ----a-w- c:\arquivos de programas\Arquivos comuns\K-Lite_Codec_Pack_544_Mega.exe

2009-11-25 03:58 . 2009-11-25 03:42 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\Yahoo!

2009-11-25 03:25 . 2009-11-25 03:25 388624 ----a-w- c:\arquivos de programas\Arquivos comuns\msgr10br.exe

2009-11-24 17:29 . 2009-11-20 19:33 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\Ahead

2009-11-23 00:58 . 2009-11-23 00:58 -------- d-----w- c:\arquivos de programas\nanoCom Corporation

2009-11-23 00:58 . 2009-11-23 00:58 8288858 ----a-w- c:\arquivos de programas\ispq8.exe

2009-11-22 23:35 . 2009-11-22 23:35 -------- d-----w- c:\arquivos de programas\Ares

2009-11-22 23:31 . 2009-11-22 23:31 2379745 ----a-w- c:\arquivos de programas\aresregular212_installer.exe

2009-11-22 18:24 . 2009-11-20 18:16 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-11-21 03:31 . 2009-11-21 03:31 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\CyberLink

2009-11-20 21:25 . 2009-11-20 21:25 -------- d-----w- c:\arquivos de programas\Microsoft

2009-11-20 21:25 . 2009-11-20 21:24 -------- d-----w- c:\arquivos de programas\Windows Live

2009-11-20 21:25 . 2009-11-20 21:25 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2009-11-20 21:23 . 2009-11-20 21:23 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

2009-11-20 21:20 . 2009-11-20 21:20 -------- d-----w- c:\arquivos de programas\Arquivos comuns\snp2std

2009-11-20 21:20 . 2009-11-20 21:20 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\InstallShield

2009-11-20 19:43 . 2009-11-20 19:43 -------- d-----w- c:\arquivos de programas\Realtek

2009-11-20 19:43 . 2009-11-20 19:43 315392 ----a-w- c:\windows\HideWin.exe

2009-11-20 19:43 . 2009-11-20 19:31 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield

2009-11-20 19:38 . 2009-11-20 19:38 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Adobe Systems

2009-11-20 19:38 . 2009-11-20 19:38 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe Systems Shared

2009-11-20 19:36 . 2009-11-20 19:36 -------- d-----w- c:\arquivos de programas\Microsoft.NET

2009-11-20 19:35 . 2009-11-20 19:35 -------- d-----w- c:\arquivos de programas\Microsoft Works

2009-11-20 19:33 . 2009-11-20 19:32 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Ahead

2009-11-20 19:33 . 2009-11-20 19:32 -------- d-----w- c:\arquivos de programas\PhotoScape

2009-11-20 19:32 . 2009-11-20 19:32 -------- d-----w- c:\arquivos de programas\Nero

2009-11-20 19:31 . 2009-11-20 19:31 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\CyberLink

2009-11-20 19:31 . 2009-11-20 19:31 -------- d-----w- c:\arquivos de programas\CyberLink

2009-11-20 19:31 . 2009-11-20 19:31 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-11-20 19:31 . 2009-11-20 19:31 -------- d-----w- c:\arquivos de programas\Java

2009-11-20 18:25 . 2009-11-20 18:25 -------- d-----w- c:\arquivos de programas\Intel

2009-11-20 18:21 . 2008-04-14 12:00 48628 ----a-w- c:\windows\system32\perfc016.dat

2009-11-20 18:21 . 2008-04-14 12:00 344380 ----a-w- c:\windows\system32\perfh016.dat

2009-11-20 18:17 . 2009-11-20 18:17 -------- d-----w- c:\arquivos de programas\microsoft frontpage

2009-11-20 18:16 . 2009-11-20 18:16 -------- d-----w- c:\arquivos de programas\Serviços on-line

2009-11-20 18:16 . 2009-11-20 18:16 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Serviços

2009-11-20 18:14 . 2009-11-20 18:14 21844 ----a-w- c:\windows\system32\emptyregdb.dat

2009-11-09 18:00 . 2009-11-25 06:15 85504 ----a-w- c:\windows\system32\ff_vfw.dll

2009-05-19 17:00 . 2009-12-21 03:39 5754 ----a-w- c:\arquivos de programas\historico.txt

2007-10-15 16:13 . 2009-12-21 03:39 1764 ----a-w- c:\arquivos de programas\leiame.txt

2002-11-22 00:20 . 2009-12-21 03:39 51 ----a-w- c:\arquivos de programas\Marcos Velasco Security.url

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 139264]

"Advanced SystemCare 3"="c:\arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" [2009-11-20 2335880]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-01-26 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-01-26 166424]

"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]

"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]

"tsnp2std"="c:\windows\tsnp2std.exe" [2007-01-05 258048]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]

2008-01-26 16:40 137752 ----a-r- c:\windows\system32\igfxpers.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2009-11-20 19:31 149280 ----a-w- c:\arquivos de programas\Java\jre6\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wscsvc"=2 (0x2)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Ares\\Ares.exe"=

"c:\\Arquivos de programas\\nanoCom Corporation\\iSpQ VideoChat\\iSpQVideoChat8.exe"=

 

S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [20/11/2009 17:49 38272]

S3 utmymjk3;AVZ Kernel Driver;c:\windows\system32\drivers\utmymjk3.sys [31/12/2009 18:51 7168]

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2010-01-02 c:\windows\Tasks\User_Feed_Synchronization-{4D6F6429-62DC-4CBF-815E-474393257D07}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 06:31]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com/

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-02 01:46

Windows 5.1.2600 Service Pack 3 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'explorer.exe'(940)

c:\windows\system32\ieframe.dll

.

Tempo para conclusão: 2010-01-02 01:48:55 - Máquina reiniciou

ComboFix-quarantined-files.txt 2010-01-02 03:48

ComboFix2.txt 2009-12-21 06:30

 

Pré-execução: 5.929.562.112 bytes disponíveis

Pós execução: 5.959.503.872 bytes disponíveis

 

- - End Of File - - 132EFED32EEB1FD952A40ACD5E6FE813

 

 

 

Resultado do hijackthis

 

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 02:02:37, on 2/1/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\tsnp2std.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8942.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

 

--

End of file - 4874 bytes

 

 

Estou perdida neste forum pois é a primeira vez que eu entro em um,me desculpe.

 

 

Obrigada desde de já e bom Ano Novo

[Power Max 54]

:) Olá! Um feliz Ano Novo de muita paz e felicidade para você.

__________________________

 

:seta: Selecione o texto abaixo dentro do Quote (caixa branca abaixo) e copie para o Bloco de notas. Salve-o como CFScript.txt

 

File::

c:\windows\system32\drivers\utmymjk3.sys

Folder::

c:\documents and settings\Nome\Dados de aplicativos\FKMonitor

C:\LinhaDefensiva

Driver::

utmymjk3

 

Arraste o CFScript.txt para o ComboFix conforme a imagem abaixo:

 

 

Se solicitado pressione "Enter" para iniciar o processo de remoção;

 

Não use o mouse nem o teclado quando o ComboFix estiver rodando.

 

Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.

 

Obs: Se o Combofix não reiniciar seu computador automaticamente, faça-o manualmente.

_____________________________________

 

:seta: Siga também as dicas destes tutoriais:

 

Tutorial do Findykill

 

'>http://dicasetutoriaisparapc.blogspot.com/2009/10/tutorial-do-bankerfix.html"]Tutorial do Bankerfix

 

Na sua próxima resposta poste o conteúdo do relatorio.txt do BankerFix que estará em C:\LinhaDefensiva\relatorio.txt juntamente com o log que estará em C:\FindyKill.txt, o log do Combofix que estará em ComboFix.txt e um novo log do Hijackthis e nos diga como está o seu PC depois disto.

 

Ficamos na espera.

[dal_rezende 0]

:) Olá! Um feliz Ano Novo de muita paz e felicidade para você.

__________________________

 

:seta: Selecione o texto abaixo dentro do Quote (caixa branca abaixo) e copie para o Bloco de notas. Salve-o como CFScript.txt

 

File::

c:\windows\system32\drivers\utmymjk3.sys

Folder::

c:\documents and settings\Nome\Dados de aplicativos\FKMonitor

C:\LinhaDefensiva

Driver::

utmymjk3

 

Arraste o CFScript.txt para o ComboFix conforme a imagem abaixo:

 

 

Se solicitado pressione "Enter" para iniciar o processo de remoção;

 

Não use o mouse nem o teclado quando o ComboFix estiver rodando.

 

Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.

 

Obs: Se o Combofix não reiniciar seu computador automaticamente, faça-o manualmente.

_____________________________________

 

:seta: Siga também as dicas destes tutoriais:

 

Tutorial do Findykill

 

'>http://dicasetutoriaisparapc.blogspot.com/2009/10/tutorial-do-bankerfix.html"]Tutorial do Bankerfix

 

Na sua próxima resposta poste o conteúdo do relatorio.txt do BankerFix que estará em C:\LinhaDefensiva\relatorio.txt juntamente com o log que estará em C:\FindyKill.txt, o log do Combofix que estará em ComboFix.txt e um novo log do Hijackthis e nos diga como está o seu PC depois disto.

 

Ficamos na espera.

 

 

 

Obrigada mais uma vez pela sua atenção

 

 

BankerFix 3.1 VALKYRIE - Removedor de Bankers

Linha Defensiva | http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

-------------------------------------------------------

Data: 2010-01-03 - 02:24

-------------------------------------------------------

Lista de Definição: 2009-10-26-1 | CORE: 2009-07-24-1

=======================================================

 

 

 

----- Fim -----------------------

 

 

ComboFix 09-12-31.06 - Nome 03/01/2010 1:41.3.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.2038.1626 [GMT -2:00]

Executando de: c:\documents and settings\Nome\Desktop\ComboFix.exe

 

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

 

(((((((((((((((( Arquivos/Ficheiros criados de 2009-12-03 to 2010-01-03 ))))))))))))))))))))))))))))

.

 

2010-01-01 14:23 . 2010-01-01 14:23 -------- d-sh--w- c:\documents and settings\LocalService\PrivacIE

2010-01-01 14:23 . 2010-01-01 14:23 -------- d-sh--w- c:\documents and settings\LocalService\IECompatCache

2010-01-01 13:50 . 2010-01-01 14:25 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\TEMP

2009-12-31 20:51 . 2009-12-31 20:51 7168 ----a-w- c:\windows\system32\drivers\utmymjk3.sys

2009-12-31 18:20 . 2009-12-03 18:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-12-31 18:20 . 2009-12-31 18:20 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2009-12-31 18:20 . 2009-12-03 18:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-12-31 16:17 . 2009-12-31 16:17 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Sophos

2009-12-31 16:15 . 2009-12-31 16:15 -------- d-----w- C:\stdtsa

2009-12-30 15:42 . 2009-12-31 16:08 -------- d-----w- c:\documents and settings\Nome\DoctorWeb

2009-12-30 13:08 . 2009-12-30 13:08 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

2009-12-30 13:05 . 2009-12-30 14:16 -------- d-----w- c:\arquivos de programas\Windows Live Safety Center

2009-12-28 18:07 . 2010-01-01 13:51 -------- d-----w- c:\arquivos de programas\Panda Security

2009-12-26 10:55 . 2010-01-01 13:40 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\IObit

2009-12-26 10:55 . 2009-12-26 10:55 -------- d-----w- c:\arquivos de programas\IObit

2009-12-26 10:55 . 2009-11-04 18:49 635664 ----a-w- c:\documents and settings\Nome\Dados de aplicativos\IObit\Common\TB_Helper.exe

2009-12-25 02:50 . 2009-12-25 02:50 -------- d-sh--w- c:\documents and settings\Administrador\PrivacIE

2009-12-25 02:47 . 2009-12-25 02:47 -------- d-sh--w- c:\documents and settings\Administrador\IETldCache

2009-12-25 02:27 . 2009-12-25 02:27 -------- d-----w- c:\arquivos de programas\ToniArts

2009-12-25 02:17 . 2009-12-25 02:21 -------- d-----w- c:\windows\SxsCaPendDel

2009-12-21 05:59 . 2009-12-21 05:59 -------- d-----w- C:\LinhaDefensiva

2009-12-21 04:15 . 2009-12-21 04:15 2951802 ----a-w- c:\arquivos de programas\EClea2_0.exe

2009-12-21 03:54 . 2009-12-21 03:54 3326576 ----a-w- c:\arquivos de programas\ccsetup226.exe

2009-12-21 03:39 . 2009-12-21 03:39 -------- d-----w- c:\arquivos de programas\Marcos Velasco Security

2009-12-21 03:38 . 2009-12-21 03:38 1429991 ----a-w- c:\arquivos de programas\mvregclean59-br.zip

2009-12-21 01:58 . 2009-12-31 20:46 -------- d-----w- C:\!KillBox

2009-12-21 01:51 . 2009-12-21 01:51 93696 ----a-w- c:\arquivos de programas\KillBox.exe

2009-12-20 09:12 . 2009-12-20 09:12 178597 ----a-w- c:\arquivos de programas\51942_bankerfix_30.exe

2009-12-20 04:25 . 2009-12-20 04:26 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\FKMonitor

2009-12-19 06:12 . 2009-12-19 06:12 79488 ----a-w- c:\documents and settings\Nome\Dados de aplicativos\Sun\Java\jre1.6.0_17\gtapi.dll

2009-12-17 07:08 . 2009-12-17 07:08 282 ----a-w- c:\arquivos de programas\iSpQ8ClearLogins.reg

2009-12-07 23:39 . 2009-12-07 23:39 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\Malwarebytes

2009-12-07 23:39 . 2009-12-07 23:39 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2009-12-07 23:29 . 2009-12-07 23:29 -------- d-----w- c:\arquivos de programas\Trend Micro

2009-12-07 23:28 . 2009-12-07 23:28 812344 ----a-w- c:\arquivos de programas\HijackThisInstaller.exe

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-31 16:08 . 2009-11-25 06:15 -------- d-----w- c:\arquivos de programas\K-Lite Codec Pack

2009-12-24 13:11 . 2009-11-20 19:31 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2009-12-24 12:48 . 2009-11-20 18:24 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe

2009-12-21 23:21 . 2009-11-25 03:25 -------- d-----w- c:\arquivos de programas\Yahoo!

2009-12-20 09:32 . 2009-11-25 03:42 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Yahoo!

2009-12-10 19:41 . 2009-11-20 19:27 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-11-28 02:06 . 2009-11-28 02:06 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\Media Player Classic

2009-11-25 06:13 . 2009-11-25 06:13 24246400 ----a-w- c:\arquivos de programas\Arquivos comuns\K-Lite_Codec_Pack_544_Mega.exe

2009-11-25 03:58 . 2009-11-25 03:42 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\Yahoo!

2009-11-25 03:25 . 2009-11-25 03:25 388624 ----a-w- c:\arquivos de programas\Arquivos comuns\msgr10br.exe

2009-11-24 17:29 . 2009-11-20 19:33 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\Ahead

2009-11-23 00:58 . 2009-11-23 00:58 -------- d-----w- c:\arquivos de programas\nanoCom Corporation

2009-11-23 00:58 . 2009-11-23 00:58 8288858 ----a-w- c:\arquivos de programas\ispq8.exe

2009-11-22 23:35 . 2009-11-22 23:35 -------- d-----w- c:\arquivos de programas\Ares

2009-11-22 23:31 . 2009-11-22 23:31 2379745 ----a-w- c:\arquivos de programas\aresregular212_installer.exe

2009-11-22 18:24 . 2009-11-20 18:16 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-11-21 03:31 . 2009-11-21 03:31 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\CyberLink

2009-11-20 21:25 . 2009-11-20 21:25 -------- d-----w- c:\arquivos de programas\Microsoft

2009-11-20 21:25 . 2009-11-20 21:24 -------- d-----w- c:\arquivos de programas\Windows Live

2009-11-20 21:25 . 2009-11-20 21:25 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2009-11-20 21:23 . 2009-11-20 21:23 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

2009-11-20 21:20 . 2009-11-20 21:20 -------- d-----w- c:\arquivos de programas\Arquivos comuns\snp2std

2009-11-20 21:20 . 2009-11-20 21:20 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\InstallShield

2009-11-20 19:43 . 2009-11-20 19:43 -------- d-----w- c:\arquivos de programas\Realtek

2009-11-20 19:43 . 2009-11-20 19:43 315392 ----a-w- c:\windows\HideWin.exe

2009-11-20 19:43 . 2009-11-20 19:31 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield

2009-11-20 19:38 . 2009-11-20 19:38 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Adobe Systems

2009-11-20 19:38 . 2009-11-20 19:38 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe Systems Shared

2009-11-20 19:36 . 2009-11-20 19:36 -------- d-----w- c:\arquivos de programas\Microsoft.NET

2009-11-20 19:35 . 2009-11-20 19:35 -------- d-----w- c:\arquivos de programas\Microsoft Works

2009-11-20 19:33 . 2009-11-20 19:32 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Ahead

2009-11-20 19:33 . 2009-11-20 19:32 -------- d-----w- c:\arquivos de programas\PhotoScape

2009-11-20 19:32 . 2009-11-20 19:32 -------- d-----w- c:\arquivos de programas\Nero

2009-11-20 19:31 . 2009-11-20 19:31 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\CyberLink

2009-11-20 19:31 . 2009-11-20 19:31 -------- d-----w- c:\arquivos de programas\CyberLink

2009-11-20 19:31 . 2009-11-20 19:31 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-11-20 19:31 . 2009-11-20 19:31 -------- d-----w- c:\arquivos de programas\Java

2009-11-20 18:25 . 2009-11-20 18:25 -------- d-----w- c:\arquivos de programas\Intel

2009-11-20 18:21 . 2008-04-14 12:00 48628 ----a-w- c:\windows\system32\perfc016.dat

2009-11-20 18:21 . 2008-04-14 12:00 344380 ----a-w- c:\windows\system32\perfh016.dat

2009-11-20 18:17 . 2009-11-20 18:17 -------- d-----w- c:\arquivos de programas\microsoft frontpage

2009-11-20 18:16 . 2009-11-20 18:16 -------- d-----w- c:\arquivos de programas\Serviços on-line

2009-11-20 18:16 . 2009-11-20 18:16 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Serviços

2009-11-20 18:14 . 2009-11-20 18:14 21844 ----a-w- c:\windows\system32\emptyregdb.dat

2009-11-09 18:00 . 2009-11-25 06:15 85504 ----a-w- c:\windows\system32\ff_vfw.dll

2009-05-19 17:00 . 2009-12-21 03:39 5754 ----a-w- c:\arquivos de programas\historico.txt

2007-10-15 16:13 . 2009-12-21 03:39 1764 ----a-w- c:\arquivos de programas\leiame.txt

2002-11-22 00:20 . 2009-12-21 03:39 51 ----a-w- c:\arquivos de programas\Marcos Velasco Security.url

.

 

((((((((((((((((((((((((((((( SnapShot@2010-01-02_03.46.33 )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-01-03 03:26 . 2010-01-03 03:26 16384 c:\windows\temp\Perflib_Perfdata_194.dat

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 139264]

"Advanced SystemCare 3"="c:\arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" [2009-11-20 2335880]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-01-26 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-01-26 166424]

"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]

"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]

"tsnp2std"="c:\windows\tsnp2std.exe" [2007-01-05 258048]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]

2008-01-26 16:40 137752 ----a-r- c:\windows\system32\igfxpers.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2009-11-20 19:31 149280 ----a-w- c:\arquivos de programas\Java\jre6\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wscsvc"=2 (0x2)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Ares\\Ares.exe"=

"c:\\Arquivos de programas\\nanoCom Corporation\\iSpQ VideoChat\\iSpQVideoChat8.exe"=

 

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [20/11/2009 17:49 38272]

S3 utmymjk3;AVZ Kernel Driver;c:\windows\system32\drivers\utmymjk3.sys [31/12/2009 18:51 7168]

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2010-01-03 c:\windows\Tasks\User_Feed_Synchronization-{4D6F6429-62DC-4CBF-815E-474393257D07}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 06:31]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com/

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-03 01:43

Windows 5.1.2600 Service Pack 3 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'explorer.exe'(2252)

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

.

Tempo para conclusão: 2010-01-03 01:44:36

ComboFix-quarantined-files.txt 2010-01-03 03:44

ComboFix2.txt 2010-01-02 03:48

ComboFix3.txt 2009-12-21 06:30

 

Pré-execução: 5.963.780.096 bytes disponíveis

Pós execução: 5.937.094.656 bytes disponíveis

 

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

 

- - End Of File - - 3C7612DEC072FBBDF7768426E3FB4CAC

 

 

Infelizmente deu problema com o texto do findykill,eu fiz e rodou tudo certo apenas não encontrei na pasta o texto e além de tudo não consegui desinstá-lo como pedia no tutorial.O que devo fazer?

 

 

Fiz o seguinte,fui no modo de segurança e refiz o procedimento e copiei e agora vou colar aqui,apenas por precaução,pois talvez nem encontre esta pasta

 

 

 

 

############################## | FindyKill V5.023 |

 

# User : Nome (Administradores) # DESKTOP

# Update on 31/12/2009 by El Desaparecido

# Start at: 03:05:13 | 3/1/2010

# Website : http://pagesperso-orange.fr/NosTools/index.html

# Contact : FindyKill.Contact@gmail.com

 

# Processador Intel Pentium II

# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3

# Internet Explorer 8.0.6001.18702

# Windows Firewall Status : Enabled

 

# C:\ # Disco fixo local # 39,06 Go (5,54 Go free) # NTFS

# D:\ # Disco fixo local # 259,02 Go (254,51 Go free) # NTFS

# E:\ # Disco CD-ROM # 0,38 Mo (0 Mo free) [bluebirds] # CDFS

# G:\ # Disco removível

 

############################## | Processos ativos |

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

################## | C: |

 

Supprimido ! E:\"autorun.inf"

 

################## | C:\WINDOWS |

 

 

################## | C:\WINDOWS\system32 |

 

 

################## | C:\WINDOWS\system32\drivers |

 

 

################## | C:\Documents and Settings\Nome\Dados de aplicativos |

 

 

################## | Supressão Outros ... |

 

################## | Temporary Internet Files |

 

 

################## | Registro / Chaves infeciosas |

 

 

################## | Estado / Serviços / Informações |

 

# Safe mode : OK

 

 

# Affichagem dos arquivos ocultos : OK

 

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )

# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )

# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )

# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

 

################## | PEH ... |

 

 

################## | Cracks / Keygens / Serials |

 

 

################## | ! Fim do relatório # FindyKill V5.023 ! |

Vou tentar desintalar agora,está bem?

Um abraço.

[dal_rezende 0]

:) Olá! Um feliz Ano Novo de muita paz e felicidade para você.

__________________________

 

:seta: Selecione o texto abaixo dentro do Quote (caixa branca abaixo) e copie para o Bloco de notas. Salve-o como CFScript.txt

 

File::

c:\windows\system32\drivers\utmymjk3.sys

Folder::

c:\documents and settings\Nome\Dados de aplicativos\FKMonitor

C:\LinhaDefensiva

Driver::

utmymjk3

 

Arraste o CFScript.txt para o ComboFix conforme a imagem abaixo:

 

 

Se solicitado pressione "Enter" para iniciar o processo de remoção;

 

Não use o mouse nem o teclado quando o ComboFix estiver rodando.

 

Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.

 

Obs: Se o Combofix não reiniciar seu computador automaticamente, faça-o manualmente.

_____________________________________

 

:seta: Siga também as dicas destes tutoriais:

 

Tutorial do Findykill

 

'>http://dicasetutoriaisparapc.blogspot.com/2009/10/tutorial-do-bankerfix.html"]Tutorial do Bankerfix

 

Na sua próxima resposta poste o conteúdo do relatorio.txt do BankerFix que estará em C:\LinhaDefensiva\relatorio.txt juntamente com o log que estará em C:\FindyKill.txt, o log do Combofix que estará em ComboFix.txt e um novo log do Hijackthis e nos diga como está o seu PC depois disto.

 

Ficamos na espera.

 

 

 

Obrigada mais uma vez pela sua atenção

 

 

BankerFix 3.1 VALKYRIE - Removedor de Bankers

Linha Defensiva | http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

-------------------------------------------------------

Data: 2010-01-03 - 02:24

-------------------------------------------------------

Lista de Definição: 2009-10-26-1 | CORE: 2009-07-24-1

=======================================================

 

 

 

----- Fim -----------------------

 

 

ComboFix 09-12-31.06 - Nome 03/01/2010 1:41.3.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.2038.1626 [GMT -2:00]

Executando de: c:\documents and settings\Nome\Desktop\ComboFix.exe

 

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

 

(((((((((((((((( Arquivos/Ficheiros criados de 2009-12-03 to 2010-01-03 ))))))))))))))))))))))))))))

.

 

2010-01-01 14:23 . 2010-01-01 14:23 -------- d-sh--w- c:\documents and settings\LocalService\PrivacIE

2010-01-01 14:23 . 2010-01-01 14:23 -------- d-sh--w- c:\documents and settings\LocalService\IECompatCache

2010-01-01 13:50 . 2010-01-01 14:25 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\TEMP

2009-12-31 20:51 . 2009-12-31 20:51 7168 ----a-w- c:\windows\system32\drivers\utmymjk3.sys

2009-12-31 18:20 . 2009-12-03 18:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-12-31 18:20 . 2009-12-31 18:20 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2009-12-31 18:20 . 2009-12-03 18:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-12-31 16:17 . 2009-12-31 16:17 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Sophos

2009-12-31 16:15 . 2009-12-31 16:15 -------- d-----w- C:\stdtsa

2009-12-30 15:42 . 2009-12-31 16:08 -------- d-----w- c:\documents and settings\Nome\DoctorWeb

2009-12-30 13:08 . 2009-12-30 13:08 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

2009-12-30 13:05 . 2009-12-30 14:16 -------- d-----w- c:\arquivos de programas\Windows Live Safety Center

2009-12-28 18:07 . 2010-01-01 13:51 -------- d-----w- c:\arquivos de programas\Panda Security

2009-12-26 10:55 . 2010-01-01 13:40 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\IObit

2009-12-26 10:55 . 2009-12-26 10:55 -------- d-----w- c:\arquivos de programas\IObit

2009-12-26 10:55 . 2009-11-04 18:49 635664 ----a-w- c:\documents and settings\Nome\Dados de aplicativos\IObit\Common\TB_Helper.exe

2009-12-25 02:50 . 2009-12-25 02:50 -------- d-sh--w- c:\documents and settings\Administrador\PrivacIE

2009-12-25 02:47 . 2009-12-25 02:47 -------- d-sh--w- c:\documents and settings\Administrador\IETldCache

2009-12-25 02:27 . 2009-12-25 02:27 -------- d-----w- c:\arquivos de programas\ToniArts

2009-12-25 02:17 . 2009-12-25 02:21 -------- d-----w- c:\windows\SxsCaPendDel

2009-12-21 05:59 . 2009-12-21 05:59 -------- d-----w- C:\LinhaDefensiva

2009-12-21 04:15 . 2009-12-21 04:15 2951802 ----a-w- c:\arquivos de programas\EClea2_0.exe

2009-12-21 03:54 . 2009-12-21 03:54 3326576 ----a-w- c:\arquivos de programas\ccsetup226.exe

2009-12-21 03:39 . 2009-12-21 03:39 -------- d-----w- c:\arquivos de programas\Marcos Velasco Security

2009-12-21 03:38 . 2009-12-21 03:38 1429991 ----a-w- c:\arquivos de programas\mvregclean59-br.zip

2009-12-21 01:58 . 2009-12-31 20:46 -------- d-----w- C:\!KillBox

2009-12-21 01:51 . 2009-12-21 01:51 93696 ----a-w- c:\arquivos de programas\KillBox.exe

2009-12-20 09:12 . 2009-12-20 09:12 178597 ----a-w- c:\arquivos de programas\51942_bankerfix_30.exe

2009-12-20 04:25 . 2009-12-20 04:26 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\FKMonitor

2009-12-19 06:12 . 2009-12-19 06:12 79488 ----a-w- c:\documents and settings\Nome\Dados de aplicativos\Sun\Java\jre1.6.0_17\gtapi.dll

2009-12-17 07:08 . 2009-12-17 07:08 282 ----a-w- c:\arquivos de programas\iSpQ8ClearLogins.reg

2009-12-07 23:39 . 2009-12-07 23:39 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\Malwarebytes

2009-12-07 23:39 . 2009-12-07 23:39 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2009-12-07 23:29 . 2009-12-07 23:29 -------- d-----w- c:\arquivos de programas\Trend Micro

2009-12-07 23:28 . 2009-12-07 23:28 812344 ----a-w- c:\arquivos de programas\HijackThisInstaller.exe

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-31 16:08 . 2009-11-25 06:15 -------- d-----w- c:\arquivos de programas\K-Lite Codec Pack

2009-12-24 13:11 . 2009-11-20 19:31 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2009-12-24 12:48 . 2009-11-20 18:24 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe

2009-12-21 23:21 . 2009-11-25 03:25 -------- d-----w- c:\arquivos de programas\Yahoo!

2009-12-20 09:32 . 2009-11-25 03:42 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Yahoo!

2009-12-10 19:41 . 2009-11-20 19:27 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-11-28 02:06 . 2009-11-28 02:06 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\Media Player Classic

2009-11-25 06:13 . 2009-11-25 06:13 24246400 ----a-w- c:\arquivos de programas\Arquivos comuns\K-Lite_Codec_Pack_544_Mega.exe

2009-11-25 03:58 . 2009-11-25 03:42 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\Yahoo!

2009-11-25 03:25 . 2009-11-25 03:25 388624 ----a-w- c:\arquivos de programas\Arquivos comuns\msgr10br.exe

2009-11-24 17:29 . 2009-11-20 19:33 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\Ahead

2009-11-23 00:58 . 2009-11-23 00:58 -------- d-----w- c:\arquivos de programas\nanoCom Corporation

2009-11-23 00:58 . 2009-11-23 00:58 8288858 ----a-w- c:\arquivos de programas\ispq8.exe

2009-11-22 23:35 . 2009-11-22 23:35 -------- d-----w- c:\arquivos de programas\Ares

2009-11-22 23:31 . 2009-11-22 23:31 2379745 ----a-w- c:\arquivos de programas\aresregular212_installer.exe

2009-11-22 18:24 . 2009-11-20 18:16 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-11-21 03:31 . 2009-11-21 03:31 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\CyberLink

2009-11-20 21:25 . 2009-11-20 21:25 -------- d-----w- c:\arquivos de programas\Microsoft

2009-11-20 21:25 . 2009-11-20 21:24 -------- d-----w- c:\arquivos de programas\Windows Live

2009-11-20 21:25 . 2009-11-20 21:25 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2009-11-20 21:23 . 2009-11-20 21:23 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

2009-11-20 21:20 . 2009-11-20 21:20 -------- d-----w- c:\arquivos de programas\Arquivos comuns\snp2std

2009-11-20 21:20 . 2009-11-20 21:20 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\InstallShield

2009-11-20 19:43 . 2009-11-20 19:43 -------- d-----w- c:\arquivos de programas\Realtek

2009-11-20 19:43 . 2009-11-20 19:43 315392 ----a-w- c:\windows\HideWin.exe

2009-11-20 19:43 . 2009-11-20 19:31 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield

2009-11-20 19:38 . 2009-11-20 19:38 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Adobe Systems

2009-11-20 19:38 . 2009-11-20 19:38 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe Systems Shared

2009-11-20 19:36 . 2009-11-20 19:36 -------- d-----w- c:\arquivos de programas\Microsoft.NET

2009-11-20 19:35 . 2009-11-20 19:35 -------- d-----w- c:\arquivos de programas\Microsoft Works

2009-11-20 19:33 . 2009-11-20 19:32 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Ahead

2009-11-20 19:33 . 2009-11-20 19:32 -------- d-----w- c:\arquivos de programas\PhotoScape

2009-11-20 19:32 . 2009-11-20 19:32 -------- d-----w- c:\arquivos de programas\Nero

2009-11-20 19:31 . 2009-11-20 19:31 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\CyberLink

2009-11-20 19:31 . 2009-11-20 19:31 -------- d-----w- c:\arquivos de programas\CyberLink

2009-11-20 19:31 . 2009-11-20 19:31 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-11-20 19:31 . 2009-11-20 19:31 -------- d-----w- c:\arquivos de programas\Java

2009-11-20 18:25 . 2009-11-20 18:25 -------- d-----w- c:\arquivos de programas\Intel

2009-11-20 18:21 . 2008-04-14 12:00 48628 ----a-w- c:\windows\system32\perfc016.dat

2009-11-20 18:21 . 2008-04-14 12:00 344380 ----a-w- c:\windows\system32\perfh016.dat

2009-11-20 18:17 . 2009-11-20 18:17 -------- d-----w- c:\arquivos de programas\microsoft frontpage

2009-11-20 18:16 . 2009-11-20 18:16 -------- d-----w- c:\arquivos de programas\Serviços on-line

2009-11-20 18:16 . 2009-11-20 18:16 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Serviços

2009-11-20 18:14 . 2009-11-20 18:14 21844 ----a-w- c:\windows\system32\emptyregdb.dat

2009-11-09 18:00 . 2009-11-25 06:15 85504 ----a-w- c:\windows\system32\ff_vfw.dll

2009-05-19 17:00 . 2009-12-21 03:39 5754 ----a-w- c:\arquivos de programas\historico.txt

2007-10-15 16:13 . 2009-12-21 03:39 1764 ----a-w- c:\arquivos de programas\leiame.txt

2002-11-22 00:20 . 2009-12-21 03:39 51 ----a-w- c:\arquivos de programas\Marcos Velasco Security.url

.

 

((((((((((((((((((((((((((((( SnapShot@2010-01-02_03.46.33 )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-01-03 03:26 . 2010-01-03 03:26 16384 c:\windows\temp\Perflib_Perfdata_194.dat

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 139264]

"Advanced SystemCare 3"="c:\arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" [2009-11-20 2335880]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-01-26 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-01-26 166424]

"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]

"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]

"tsnp2std"="c:\windows\tsnp2std.exe" [2007-01-05 258048]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]

2008-01-26 16:40 137752 ----a-r- c:\windows\system32\igfxpers.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2009-11-20 19:31 149280 ----a-w- c:\arquivos de programas\Java\jre6\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wscsvc"=2 (0x2)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Ares\\Ares.exe"=

"c:\\Arquivos de programas\\nanoCom Corporation\\iSpQ VideoChat\\iSpQVideoChat8.exe"=

 

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [20/11/2009 17:49 38272]

S3 utmymjk3;AVZ Kernel Driver;c:\windows\system32\drivers\utmymjk3.sys [31/12/2009 18:51 7168]

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2010-01-03 c:\windows\Tasks\User_Feed_Synchronization-{4D6F6429-62DC-4CBF-815E-474393257D07}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 06:31]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com/

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-03 01:43

Windows 5.1.2600 Service Pack 3 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'explorer.exe'(2252)

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

.

Tempo para conclusão: 2010-01-03 01:44:36

ComboFix-quarantined-files.txt 2010-01-03 03:44

ComboFix2.txt 2010-01-02 03:48

ComboFix3.txt 2009-12-21 06:30

 

Pré-execução: 5.963.780.096 bytes disponíveis

Pós execução: 5.937.094.656 bytes disponíveis

 

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

 

- - End Of File - - 3C7612DEC072FBBDF7768426E3FB4CAC

 

 

Infelizmente deu problema com o texto do findykill,eu fiz e rodou tudo certo apenas não encontrei na pasta o texto e além de tudo não consegui desinstá-lo como pedia no tutorial.O que devo fazer?

 

 

Fiz o seguinte,fui no modo de segurança e refiz o procedimento e copiei e agora vou colar aqui,apenas por precaução,pois talvez nem encontre esta pasta

 

 

 

 

############################## | FindyKill V5.023 |

 

# User : Nome (Administradores) # DESKTOP

# Update on 31/12/2009 by El Desaparecido

# Start at: 03:05:13 | 3/1/2010

# Website : http://pagesperso-orange.fr/NosTools/index.html

# Contact : FindyKill.Contact@gmail.com

 

# Processador Intel Pentium II

# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3

# Internet Explorer 8.0.6001.18702

# Windows Firewall Status : Enabled

 

# C:\ # Disco fixo local # 39,06 Go (5,54 Go free) # NTFS

# D:\ # Disco fixo local # 259,02 Go (254,51 Go free) # NTFS

# E:\ # Disco CD-ROM # 0,38 Mo (0 Mo free) [bluebirds] # CDFS

# G:\ # Disco removível

 

############################## | Processos ativos |

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

################## | C: |

 

Supprimido ! E:\"autorun.inf"

 

################## | C:\WINDOWS |

 

 

################## | C:\WINDOWS\system32 |

 

 

################## | C:\WINDOWS\system32\drivers |

 

 

################## | C:\Documents and Settings\Nome\Dados de aplicativos |

 

 

################## | Supressão Outros ... |

 

################## | Temporary Internet Files |

 

 

################## | Registro / Chaves infeciosas |

 

 

################## | Estado / Serviços / Informações |

 

# Safe mode : OK

 

 

# Affichagem dos arquivos ocultos : OK

 

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )

# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )

# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )

# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

 

################## | PEH ... |

 

 

################## | Cracks / Keygens / Serials |

 

 

################## | ! Fim do relatório # FindyKill V5.023 ! |

Vou tentar desintalar agora,está bem?

Um abraço.

 

 

Fui verificar lá na pasta não se encontra mais nada,portanto estou deduzindo que consegui desinstalar,certo?

 

Normalmente vem um aviso informando sobre o programa está ou foi desintalado..mas é o seguinte aquela hora que fiz na primeira vez realmente não tinha desintalado e o texto não estava por lá e o programa sim ali continuava,então refiz como informei acima todo processo no modo de segurança e inclusive a desintalação tb.

 

Deu esta confusão toda porque ainda estava por ali na área de trabalho o atalho da vacina,quer dizer ainda esta,posso excluir este atalho?(já que na pasta nada mais tem deste programa)

 

Agradeço e peço desculpas,estou te dando muito trabalho:(

[Power Max 54]

Infelizmente deu problema com o texto do findykill,eu fiz e rodou tudo certo apenas não encontrei na pasta o texto e além de tudo não consegui desinstá-lo como pedia no tutorial.O que devo fazer?

:) Pode deixar para desinstalar as ferramentas só no final do nosso trabalho, quando todos os problemas tiverem sido removidos.

_________________________________________

 

:) Um problema foi removido pelo Findykill.

_________________________________________

 

:!: Mas o seu log do Combofix está exatamente igual ao log anterior dele, o que mostra que você não fez este procedimento abaixo, faça ele novamente por gentileza:

 

:seta: Selecione o texto abaixo dentro do Quote (caixa branca abaixo) e copie para o Bloco de notas (para acessar o Bloco de notas é só ir no menu: Iniciar > Todos os programas > Acessórios > Bloco de notas). Salve-o como CFScript.txt

 

File::

c:\windows\system32\drivers\utmymjk3.sys

Folder::

c:\documents and settings\Nome\Dados de aplicativos\FKMonitor

C:\LinhaDefensiva

Driver::

utmymjk3

 

Arraste o CFScript.txt para o ComboFix conforme a imagem abaixo:

 

 

Se solicitado pressione "Enter" para iniciar o processo de remoção;

 

Não use o mouse nem o teclado quando o ComboFix estiver rodando.

 

Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.

 

Obs: Se o Combofix não reiniciar seu computador automaticamente, faça-o manualmente.

___________________________________

 

:seta: Depois disto siga as dicas deste tutorial:

 

'>http://dicasetutoriaisparapc.blogspot.com/2009/10/tutorial-do-usbfix.html"]Tutorial do USBFix

 

Poste o log do Usbfix que estará em C:\UsbFix.txt em sua próxima resposta juntamente com o log que estará em C:\ComboFix.txt e um novo log do Hijackthis e nos diga como está o PC após estes procedimentos.

 

Ficamos no aguardo.

[dal_rezende 0]

:) Olá! Um feliz Ano Novo de muita paz e felicidade para você.

__________________________

 

:seta: Selecione o texto abaixo dentro do Quote (caixa branca abaixo) e copie para o Bloco de notas. Salve-o como CFScript.txt

 

File::

c:\windows\system32\drivers\utmymjk3.sys

Folder::

c:\documents and settings\Nome\Dados de aplicativos\FKMonitor

C:\LinhaDefensiva

Driver::

utmymjk3

 

Arraste o CFScript.txt para o ComboFix conforme a imagem abaixo:

 

 

Se solicitado pressione "Enter" para iniciar o processo de remoção;

 

Não use o mouse nem o teclado quando o ComboFix estiver rodando.

 

Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.

 

Obs: Se o Combofix não reiniciar seu computador automaticamente, faça-o manualmente.

_____________________________________

 

:seta: Siga também as dicas destes tutoriais:

 

Tutorial do Findykill

 

'>http://dicasetutoriaisparapc.blogspot.com/2009/10/tutorial-do-bankerfix.html"]Tutorial do Bankerfix

 

Na sua próxima resposta poste o conteúdo do relatorio.txt do BankerFix que estará em C:\LinhaDefensiva\relatorio.txt juntamente com o log que estará em C:\FindyKill.txt, o log do Combofix que estará em ComboFix.txt e um novo log do Hijackthis e nos diga como está o seu PC depois disto.

 

Ficamos na espera.

 

 

 

Obrigada mais uma vez pela sua atenção

 

 

BankerFix 3.1 VALKYRIE - Removedor de Bankers

Linha Defensiva | http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

-------------------------------------------------------

Data: 2010-01-03 - 02:24

-------------------------------------------------------

Lista de Definição: 2009-10-26-1 | CORE: 2009-07-24-1

=======================================================

 

 

 

----- Fim -----------------------

 

 

ComboFix 09-12-31.06 - Nome 03/01/2010 1:41.3.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.2038.1626 [GMT -2:00]

Executando de: c:\documents and settings\Nome\Desktop\ComboFix.exe

 

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

 

(((((((((((((((( Arquivos/Ficheiros criados de 2009-12-03 to 2010-01-03 ))))))))))))))))))))))))))))

.

 

2010-01-01 14:23 . 2010-01-01 14:23 -------- d-sh--w- c:\documents and settings\LocalService\PrivacIE

2010-01-01 14:23 . 2010-01-01 14:23 -------- d-sh--w- c:\documents and settings\LocalService\IECompatCache

2010-01-01 13:50 . 2010-01-01 14:25 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\TEMP

2009-12-31 20:51 . 2009-12-31 20:51 7168 ----a-w- c:\windows\system32\drivers\utmymjk3.sys

2009-12-31 18:20 . 2009-12-03 18:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-12-31 18:20 . 2009-12-31 18:20 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2009-12-31 18:20 . 2009-12-03 18:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-12-31 16:17 . 2009-12-31 16:17 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Sophos

2009-12-31 16:15 . 2009-12-31 16:15 -------- d-----w- C:\stdtsa

2009-12-30 15:42 . 2009-12-31 16:08 -------- d-----w- c:\documents and settings\Nome\DoctorWeb

2009-12-30 13:08 . 2009-12-30 13:08 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

2009-12-30 13:05 . 2009-12-30 14:16 -------- d-----w- c:\arquivos de programas\Windows Live Safety Center

2009-12-28 18:07 . 2010-01-01 13:51 -------- d-----w- c:\arquivos de programas\Panda Security

2009-12-26 10:55 . 2010-01-01 13:40 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\IObit

2009-12-26 10:55 . 2009-12-26 10:55 -------- d-----w- c:\arquivos de programas\IObit

2009-12-26 10:55 . 2009-11-04 18:49 635664 ----a-w- c:\documents and settings\Nome\Dados de aplicativos\IObit\Common\TB_Helper.exe

2009-12-25 02:50 . 2009-12-25 02:50 -------- d-sh--w- c:\documents and settings\Administrador\PrivacIE

2009-12-25 02:47 . 2009-12-25 02:47 -------- d-sh--w- c:\documents and settings\Administrador\IETldCache

2009-12-25 02:27 . 2009-12-25 02:27 -------- d-----w- c:\arquivos de programas\ToniArts

2009-12-25 02:17 . 2009-12-25 02:21 -------- d-----w- c:\windows\SxsCaPendDel

2009-12-21 05:59 . 2009-12-21 05:59 -------- d-----w- C:\LinhaDefensiva

2009-12-21 04:15 . 2009-12-21 04:15 2951802 ----a-w- c:\arquivos de programas\EClea2_0.exe

2009-12-21 03:54 . 2009-12-21 03:54 3326576 ----a-w- c:\arquivos de programas\ccsetup226.exe

2009-12-21 03:39 . 2009-12-21 03:39 -------- d-----w- c:\arquivos de programas\Marcos Velasco Security

2009-12-21 03:38 . 2009-12-21 03:38 1429991 ----a-w- c:\arquivos de programas\mvregclean59-br.zip

2009-12-21 01:58 . 2009-12-31 20:46 -------- d-----w- C:\!KillBox

2009-12-21 01:51 . 2009-12-21 01:51 93696 ----a-w- c:\arquivos de programas\KillBox.exe

2009-12-20 09:12 . 2009-12-20 09:12 178597 ----a-w- c:\arquivos de programas\51942_bankerfix_30.exe

2009-12-20 04:25 . 2009-12-20 04:26 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\FKMonitor

2009-12-19 06:12 . 2009-12-19 06:12 79488 ----a-w- c:\documents and settings\Nome\Dados de aplicativos\Sun\Java\jre1.6.0_17\gtapi.dll

2009-12-17 07:08 . 2009-12-17 07:08 282 ----a-w- c:\arquivos de programas\iSpQ8ClearLogins.reg

2009-12-07 23:39 . 2009-12-07 23:39 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\Malwarebytes

2009-12-07 23:39 . 2009-12-07 23:39 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2009-12-07 23:29 . 2009-12-07 23:29 -------- d-----w- c:\arquivos de programas\Trend Micro

2009-12-07 23:28 . 2009-12-07 23:28 812344 ----a-w- c:\arquivos de programas\HijackThisInstaller.exe

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-31 16:08 . 2009-11-25 06:15 -------- d-----w- c:\arquivos de programas\K-Lite Codec Pack

2009-12-24 13:11 . 2009-11-20 19:31 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2009-12-24 12:48 . 2009-11-20 18:24 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe

2009-12-21 23:21 . 2009-11-25 03:25 -------- d-----w- c:\arquivos de programas\Yahoo!

2009-12-20 09:32 . 2009-11-25 03:42 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Yahoo!

2009-12-10 19:41 . 2009-11-20 19:27 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-11-28 02:06 . 2009-11-28 02:06 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\Media Player Classic

2009-11-25 06:13 . 2009-11-25 06:13 24246400 ----a-w- c:\arquivos de programas\Arquivos comuns\K-Lite_Codec_Pack_544_Mega.exe

2009-11-25 03:58 . 2009-11-25 03:42 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\Yahoo!

2009-11-25 03:25 . 2009-11-25 03:25 388624 ----a-w- c:\arquivos de programas\Arquivos comuns\msgr10br.exe

2009-11-24 17:29 . 2009-11-20 19:33 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\Ahead

2009-11-23 00:58 . 2009-11-23 00:58 -------- d-----w- c:\arquivos de programas\nanoCom Corporation

2009-11-23 00:58 . 2009-11-23 00:58 8288858 ----a-w- c:\arquivos de programas\ispq8.exe

2009-11-22 23:35 . 2009-11-22 23:35 -------- d-----w- c:\arquivos de programas\Ares

2009-11-22 23:31 . 2009-11-22 23:31 2379745 ----a-w- c:\arquivos de programas\aresregular212_installer.exe

2009-11-22 18:24 . 2009-11-20 18:16 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-11-21 03:31 . 2009-11-21 03:31 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\CyberLink

2009-11-20 21:25 . 2009-11-20 21:25 -------- d-----w- c:\arquivos de programas\Microsoft

2009-11-20 21:25 . 2009-11-20 21:24 -------- d-----w- c:\arquivos de programas\Windows Live

2009-11-20 21:25 . 2009-11-20 21:25 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2009-11-20 21:23 . 2009-11-20 21:23 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

2009-11-20 21:20 . 2009-11-20 21:20 -------- d-----w- c:\arquivos de programas\Arquivos comuns\snp2std

2009-11-20 21:20 . 2009-11-20 21:20 -------- d-----w- c:\documents and settings\Nome\Dados de aplicativos\InstallShield

2009-11-20 19:43 . 2009-11-20 19:43 -------- d-----w- c:\arquivos de programas\Realtek

2009-11-20 19:43 . 2009-11-20 19:43 315392 ----a-w- c:\windows\HideWin.exe

2009-11-20 19:43 . 2009-11-20 19:31 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield

2009-11-20 19:38 . 2009-11-20 19:38 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Adobe Systems

2009-11-20 19:38 . 2009-11-20 19:38 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe Systems Shared

2009-11-20 19:36 . 2009-11-20 19:36 -------- d-----w- c:\arquivos de programas\Microsoft.NET

2009-11-20 19:35 . 2009-11-20 19:35 -------- d-----w- c:\arquivos de programas\Microsoft Works

2009-11-20 19:33 . 2009-11-20 19:32 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Ahead

2009-11-20 19:33 . 2009-11-20 19:32 -------- d-----w- c:\arquivos de programas\PhotoScape

2009-11-20 19:32 . 2009-11-20 19:32 -------- d-----w- c:\arquivos de programas\Nero

2009-11-20 19:31 . 2009-11-20 19:31 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\CyberLink

2009-11-20 19:31 . 2009-11-20 19:31 -------- d-----w- c:\arquivos de programas\CyberLink

2009-11-20 19:31 . 2009-11-20 19:31 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-11-20 19:31 . 2009-11-20 19:31 -------- d-----w- c:\arquivos de programas\Java

2009-11-20 18:25 . 2009-11-20 18:25 -------- d-----w- c:\arquivos de programas\Intel

2009-11-20 18:21 . 2008-04-14 12:00 48628 ----a-w- c:\windows\system32\perfc016.dat

2009-11-20 18:21 . 2008-04-14 12:00 344380 ----a-w- c:\windows\system32\perfh016.dat

2009-11-20 18:17 . 2009-11-20 18:17 -------- d-----w- c:\arquivos de programas\microsoft frontpage

2009-11-20 18:16 . 2009-11-20 18:16 -------- d-----w- c:\arquivos de programas\Serviços on-line

2009-11-20 18:16 . 2009-11-20 18:16 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Serviços

2009-11-20 18:14 . 2009-11-20 18:14 21844 ----a-w- c:\windows\system32\emptyregdb.dat

2009-11-09 18:00 . 2009-11-25 06:15 85504 ----a-w- c:\windows\system32\ff_vfw.dll

2009-05-19 17:00 . 2009-12-21 03:39 5754 ----a-w- c:\arquivos de programas\historico.txt

2007-10-15 16:13 . 2009-12-21 03:39 1764 ----a-w- c:\arquivos de programas\leiame.txt

2002-11-22 00:20 . 2009-12-21 03:39 51 ----a-w- c:\arquivos de programas\Marcos Velasco Security.url

.

 

((((((((((((((((((((((((((((( SnapShot@2010-01-02_03.46.33 )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-01-03 03:26 . 2010-01-03 03:26 16384 c:\windows\temp\Perflib_Perfdata_194.dat

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 139264]

"Advanced SystemCare 3"="c:\arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" [2009-11-20 2335880]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-01-26 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-01-26 166424]

"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]

"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]

"tsnp2std"="c:\windows\tsnp2std.exe" [2007-01-05 258048]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]

2008-01-26 16:40 137752 ----a-r- c:\windows\system32\igfxpers.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2009-11-20 19:31 149280 ----a-w- c:\arquivos de programas\Java\jre6\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wscsvc"=2 (0x2)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Ares\\Ares.exe"=

"c:\\Arquivos de programas\\nanoCom Corporation\\iSpQ VideoChat\\iSpQVideoChat8.exe"=

 

R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [20/11/2009 17:49 38272]

S3 utmymjk3;AVZ Kernel Driver;c:\windows\system32\drivers\utmymjk3.sys [31/12/2009 18:51 7168]

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2010-01-03 c:\windows\Tasks\User_Feed_Synchronization-{4D6F6429-62DC-4CBF-815E-474393257D07}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 06:31]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com/

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-03 01:43

Windows 5.1.2600 Service Pack 3 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'explorer.exe'(2252)

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

.

Tempo para conclusão: 2010-01-03 01:44:36

ComboFix-quarantined-files.txt 2010-01-03 03:44

ComboFix2.txt 2010-01-02 03:48

ComboFix3.txt 2009-12-21 06:30

 

Pré-execução: 5.963.780.096 bytes disponíveis

Pós execução: 5.937.094.656 bytes disponíveis

 

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

 

- - End Of File - - 3C7612DEC072FBBDF7768426E3FB4CAC

 

 

Infelizmente deu problema com o texto do findykill,eu fiz e rodou tudo certo apenas não encontrei na pasta o texto e além de tudo não consegui desinstá-lo como pedia no tutorial.O que devo fazer?

 

 

Fiz o seguinte,fui no modo de segurança e refiz o procedimento e copiei e agora vou colar aqui,apenas por precaução,pois talvez nem encontre esta pasta

 

 

 

 

############################## | FindyKill V5.023 |

 

# User : Nome (Administradores) # DESKTOP

# Update on 31/12/2009 by El Desaparecido

# Start at: 03:05:13 | 3/1/2010

# Website : http://pagesperso-orange.fr/NosTools/index.html

# Contact : FindyKill.Contact@gmail.com

 

# Processador Intel Pentium II

# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3

# Internet Explorer 8.0.6001.18702

# Windows Firewall Status : Enabled

 

# C:\ # Disco fixo local # 39,06 Go (5,54 Go free) # NTFS

# D:\ # Disco fixo local # 259,02 Go (254,51 Go free) # NTFS

# E:\ # Disco CD-ROM # 0,38 Mo (0 Mo free) [bluebirds] # CDFS

# G:\ # Disco removível

 

############################## | Processos ativos |

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

################## | C: |

 

Supprimido ! E:\"autorun.inf"

 

################## | C:\WINDOWS |

 

 

################## | C:\WINDOWS\system32 |

 

 

################## | C:\WINDOWS\system32\drivers |

 

 

################## | C:\Documents and Settings\Nome\Dados de aplicativos |

 

 

################## | Supressão Outros ... |

 

################## | Temporary Internet Files |

 

 

################## | Registro / Chaves infeciosas |

 

 

################## | Estado / Serviços / Informações |

 

# Safe mode : OK

 

 

# Affichagem dos arquivos ocultos : OK

 

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )

# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )

# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )

# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

 

################## | PEH ... |

 

 

################## | Cracks / Keygens / Serials |

 

 

################## | ! Fim do relatório # FindyKill V5.023 ! |

Vou tentar desintalar agora,está bem?

Um abraço.

Desculpe me ,ontem fiquei até ás 500hs da manhã e acabei esquecendo do hijacthis

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:14:00, on 2/1/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\tsnp2std.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\Arquivos de programas\internet explorer\iexplore.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe

O4 - HKLM\..\Run: [AVP] "C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Estatísticas de proteção de tráfego da web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8942.cab

O20 - AppInit_DLLs: C:\ARQUIV~1\KASPER~1\KASPER~1\mzvkbd3.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

 

--

End of file - 5526 bytes