Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Jota Tiros

[Arquivado] O que são estes processos?

Recommended Posts

1.º Segundo o site abaixo, o nohot.exe é referente a um Malicious Software (programa malicioso):

http://www.prevx.com/filenames/X1639604983981954112-X1/NOHOT.EXE.html

 

2.º Segundo os sites abaixo, o processo mdm.exe (mdm significa Machine Debug Manager) é um processo genérico do Windows NT/2000/XP que serve para eliminar erros das aplicações. Este serviço destina-se aos utilizadores avançados ou aos programadores e é instalado pelo editor de certificados Microsoft fornecido com o Microsoft Office. Mas é importante lembrar que o arquivo mdm.exe fica localizadoneste local do PC: C:\Windows\System32. Em outros casos, mdm.exe pode ser um virus, spyware, trojan ou worm:

http://pt.kioskea.net/contents/processus/mdm-exe.php3

http://www.neuber.com/taskmanager/process/mdm.exe.html

 

3.º Quanto ao modulo18.exe, não encontrei nenhuma informação na internet a respeito dele.

 

4.º Quanto ao jqs.exe, segundo os sites abaixo ele se refere ao Java Quick Starter Service:

http://www.bleepingcomputer.com/startups/jqs.exe-23422.html

http://www.whatsrunning.net/whatsrunning/QueryProcessID.aspx?Process=15622

 

Mas tudo depende onde os arquivos estão localizados, pois um virus pode se disfarçar com o nome de um arquivo legítimo, o que diferenciaria é principalmente a localização do arquivo.

_________________________________

 

:seta: Para você saber se um arquivo é seguro ou está contaminado, é só você ir em um desses endereços abaixo e enviá-lo para análise:

http://virscan.org/

http://www.virustotal.com/

http://virusscan.jotti.org/

http://www.viruschief.com/

 

Nestes sites acima o arquivo será escaneado por vários antivírus ao mesmo tempo, o que dará uma certeza muito maior de que o arquivo seja seguro ou não.

___________________________________

 

:seta: Também é importante postar um log do Hijackthis para que possamos analizar. Para isto crie uma pasta própria (como por exemplo C:\Arquivos de Programas\HijackThis).

 

Faça o download do HijackThis e no momento de salvá-lo escolha a opção de salvá-lo nesta pasta que você acabou de criar e descompacte o hijackthis.zip dentro dela.

 

Dê um duplo clique no instalador do Hijackthis > clique na opção I Accept.

 

Clique no botão: Do a system scan and save a logfile. Depois será aberta uma tela com o log, então é só selecionar este Log (Clique no menu: Editar » Selecionar Tudo), depois disso volte novamente no menu: Editar » e clique na opção: Copiar).

 

Depois disso é só voltar aqui no fórum e postar este log do Hijackthis para que ele possa ser analisado.

 

Ficamos no aguardo de sua resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok, Antonio Vieira Sobrinho,

Aí vai o log do HijackThis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:10:12, on 12/3/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast5\afwServ.exe

C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\AutorunRemover\AutorunRemover.exe

C:\Arquivos de programas\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\RTHDCPL.EXE

C:\ARQUIV~1\ALWILS~1\Avast5\avastUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\csrsss.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\HijackThis\HiJackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [AutorunRemover.exe] C:\Arquivos de programas\AutorunRemover\AutorunRemover.exe -Hide

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Arquivos de programas\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [avast5] C:\ARQUIV~1\ALWILS~1\Avast5\avastUI.exe /nogui

O4 - HKLM\..\Run: [] C:\WINDOWS\system32\Nohot.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [csrsss.exe] C:\WINDOWS\system32\csrsss.exe

O4 - HKCU\..\Run: [modulo18] C:\WINDOWS\system32\modulo18.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~4\Office12\EXCEL.EXE/3000

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~4\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{6DC2657B-8D53-4405-9553-2210BE598015}: NameServer = 201.16.252.2

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Firewall - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast5\afwServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Google Update Service (gupdate1caa593386fee70) (gupdate1caa593386fee70) - Google Inc. - C:\Arquivos de programas\Google\Update\GoogleUpdate.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

 

--

End of file - 6575 bytes

 

Se os processos a que me referi antreriormente não estiverem listados no log, é porque eu os encerrei pelo gerenciador de tarefas, pois ao contrario de outros 'processos suspeitos', estes quando eu os encerro, não voltam. São apenas iniciados com o sistema.

Compartilhar este post


Link para o post
Compartilhar em outros sites

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

 

Faça o download do ComboFix

Salve-o no Desktop (área de trabalho).

* Desabilite as proteções residente de: antivírus, antispywares e firewall ( menos o do Windows! )

* Feche todas as janelas e execute a ferramenta.

* Ps: A execução, por comando, também é possível:

* Vá em Iniciar --> Executar --> Digite ou cole:

"%userprofile%\desktop\Combofix.exe" /killall

 

combofixejr8.gif

 

* Clique em Ok.

* Na solicitação: "Negação de garantia de software" --> Clique em Sim.

 

RcAuto1.gif

 

* Não possuindo o "'>http://support.microsoft.com/kb/307654/pt-br"]Console de Recuperação",aceite optar pela instalação do mesmo.

* Terminando,clique Sim ou Yes. --> Aguarde.

 

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

 

:!: Caso aconteça a notificação de: Aplicativo Win32 inválido ou alguma mensagem parecida com esta, delete a ferramenta ComboFix.exe e faça, novamente, seu download.

* Salve-a no Desktop,renomeada como: Kombo.exe

* Ps: Nomeie durante o salvamento,e não após salvá-la!

* Ps: Surgindo alguma mensagem de erro, rode o ComboFix.exe em "'>http://dicasetutoriaisparapc.blogspot.com/2009/11/ferramentas-para-reparar-o-modo-seguro.html"]Modo Seguro". <-- Link!

* Ps: Na presença de atividades rootkit,teremos a seguinte janela de notificação:

 

Rookit_found.gif

 

* Ps: Anote essas detecções, e dê o OK. Neste caso poste estas detecções que você terá anotado em sua próxima resposta juntamente com os logs pedidos.

* Ps: Para completar as remoções, talvez haja necessidade da ferramenta reiniciar o computador. <-- Aguarde!

* Ps: Para evitar problemas, siga todas as recomendações propostas.

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

 

* Abrir-se-á a janela Auto Scan. --> Aguarde!

* Para finalizar remoções, o ComboFix poderá reiniciar o computador.

* Se houver necessidade, digite a opção ( 1 ) --> Aperte Enter! --> Aguarde a conclusão!

* Durante o scan, evite manusear o mouse ou teclado! <-- Importante!

* Caso, por algum motivo de força maior, precise parar ou sair do ComboFix,tecle "N" ou "2" --> Aperte Enter.

<><><><><><><><><><><><>

 

Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC depois disto.

 

Ficamos no aguardo.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Antonio Vieira Sobrinho,

Não apareceu a notificação de Rootkit e aí vai os logs:

ComboFix:

 

ComboFix 10-03-16.05 - Projetos 01 17/03/2010 10:25:26.8.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.1022.609 [GMT -3:00]

Executando de: c:\documents and settings\Projetos 01\Desktop\ComboFix.exe

AV: avast! Internet Security *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FW: avast! Internet Security *disabled* {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\winmem.ini

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2010-02-17 to 2010-03-17 ))))))))))))))))))))))))))))

.

 

2010-03-12 13:05 . 2010-03-15 12:58 -------- d-----w- c:\documents and settings\Projetos 01\Dados de aplicativos\gtk-2.0

2010-03-12 13:05 . 2010-03-12 13:05 -------- d-----w- c:\documents and settings\Projetos 01\.thumbnails

2010-03-12 13:05 . 2010-03-15 13:05 -------- d-----w- c:\documents and settings\Projetos 01\.gimp-2.6

2010-03-12 13:04 . 2010-03-12 13:04 -------- d-----w- c:\arquivos de programas\GIMP-2.0

2010-03-12 12:30 . 2010-03-12 12:31 -------- d-----w- c:\documents and settings\Projetos 01\Dados de aplicativos\PhotoFiltre

2010-03-12 12:23 . 2010-03-12 12:24 -------- d-----w- c:\arquivos de programas\QuickTime

2010-03-12 12:23 . 2010-03-12 12:23 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Apple Computer

2010-03-12 12:22 . 2010-03-12 12:22 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Apple

2010-03-12 12:22 . 2010-03-12 12:22 -------- d-----w- c:\arquivos de programas\Apple Software Update

2010-03-12 12:22 . 2010-03-12 12:22 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Apple

2010-03-10 15:17 . 2010-03-10 15:17 -------- d--h--w- c:\windows\system32\GroupPolicy

2010-03-05 18:13 . 2010-03-05 18:14 -------- d-----w- c:\arquivos de programas\GuiaCAIXA

2010-03-05 12:32 . 2010-03-05 12:33 1029120 ----a-w- c:\windows\system32\Nohot.exe

2010-03-05 12:31 . 2010-03-05 12:32 1019392 ----a-w- c:\windows\system32\modulo18.exe

2010-03-05 12:28 . 2010-03-05 12:31 2146816 ----a-w- c:\windows\system32\csrsss.exe

2010-03-02 17:56 . 2010-03-02 17:56 -------- d-----w- C:\DriveKey

2010-03-02 17:54 . 2010-03-02 17:54 -------- d-----w- c:\arquivos de programas\KASHU

2010-03-02 15:52 . 2010-03-09 11:12 162640 ----a-w- c:\windows\system32\drivers\aswSP.sys

2010-03-02 15:52 . 2010-03-09 11:08 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2010-03-02 15:52 . 2010-03-09 11:12 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2010-03-02 15:52 . 2010-03-09 11:09 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2010-03-02 15:52 . 2010-03-09 11:08 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2010-03-02 15:52 . 2010-03-09 11:08 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys

2010-03-02 15:52 . 2010-03-09 11:08 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2010-03-02 15:51 . 2010-03-09 11:24 153184 ----a-w- c:\windows\system32\aswBoot.exe

2010-03-02 15:51 . 2010-02-11 19:53 38848 ----a-w- c:\windows\system32\avastSS.scr

2010-03-02 13:17 . 2010-03-09 11:14 294480 ----a-w- c:\windows\system32\drivers\aswSnx.sys

2010-03-02 13:17 . 2010-03-09 11:14 102352 ----a-w- c:\windows\system32\drivers\aswFW.sys

2010-03-02 13:17 . 2010-03-09 11:14 194640 ----a-w- c:\windows\system32\drivers\aswNdis2.sys

2010-03-02 13:17 . 2010-01-09 22:22 12112 ----a-w- c:\windows\system32\drivers\aswNdis.sys

2010-03-02 12:23 . 2010-03-17 12:59 -------- d-----w- c:\documents and settings\Projetos 01\Dados de aplicativos\GetRightToGo

2010-03-01 15:37 . 2010-03-02 15:51 -------- d-----w- c:\arquivos de programas\Alwil Software

2010-03-01 15:37 . 2010-03-01 15:37 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Alwil Software

2010-03-01 13:43 . 2010-03-02 16:22 -------- d-----w- C:\Scanner

2010-02-26 12:53 . 2010-02-26 12:53 -------- d-----w- c:\documents and settings\Projetos 01\Dados de aplicativos\Malwarebytes

2010-02-26 12:53 . 2010-02-26 12:53 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2010-02-25 15:24 . 2010-02-25 15:24 -------- d-----w- c:\documents and settings\Projetos 01\Dados de aplicativos\Media Player Classic

2010-02-25 15:12 . 2010-02-25 15:12 -------- d-----w- c:\arquivos de programas\Flv Audio Video Extractor

2010-02-25 13:12 . 2010-02-25 13:13 -------- d-----w- c:\arquivos de programas\XP Codec Pack

2010-02-24 12:02 . 2010-02-24 12:02 -------- d-----w- c:\arquivos de programas\CCleaner

2010-02-22 18:19 . 2010-02-26 13:06 -------- d-----w- c:\documents and settings\Projetos 01\Dados de aplicativos\Ahead

2010-02-22 12:21 . 2010-02-22 12:21 -------- d-----w- c:\arquivos de programas\GPLGS

2010-02-22 12:19 . 2009-11-05 11:39 87552 ----a-w- c:\windows\system32\cpwmon2k.dll

2010-02-22 12:19 . 2010-02-22 12:19 -------- d-----w- c:\arquivos de programas\Acro Software

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-03-17 13:22 . 2001-10-28 14:07 67450 ----a-w- c:\windows\system32\perfc016.dat

2010-03-17 13:22 . 2001-10-28 14:07 425426 ----a-w- c:\windows\system32\perfh016.dat

2010-03-02 17:56 . 2010-02-02 12:10 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2010-03-01 15:32 . 2010-02-02 12:47 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\avg9

2010-02-26 18:25 . 2010-02-08 10:58 -------- d-----w- c:\arquivos de programas\Unlocker

2010-02-18 16:21 . 2010-02-04 12:11 -------- d-----w- c:\arquivos de programas\Google

2010-02-09 11:54 . 2010-02-09 11:54 -------- d-----w- c:\arquivos de programas\SIMBRASIL 3.03

2010-02-09 11:17 . 2010-02-02 12:40 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe

2010-02-08 11:04 . 2010-02-08 11:04 411368 ----a-w- c:\windows\system32\deploytk.dll

2010-02-08 11:04 . 2010-02-02 12:15 -------- d-----w- c:\arquivos de programas\Java

2010-02-08 11:04 . 2010-02-08 11:04 152576 ----a-w- c:\documents and settings\Projetos 01\Dados de aplicativos\Sun\Java\jre1.6.0_17\lzma.dll

2010-02-08 10:59 . 2010-02-08 10:59 79488 ----a-w- c:\documents and settings\Projetos 01\Dados de aplicativos\Sun\Java\jre1.6.0_17\gtapi.dll

2010-02-04 15:55 . 2010-02-04 15:55 -------- d-----w- c:\arquivos de programas\Tekhnelogos

2010-02-03 11:44 . 2010-02-03 11:43 -------- d-----w- c:\documents and settings\Projetos 01\Dados de aplicativos\U3

2010-02-03 11:41 . 2010-02-02 12:44 -------- d-----w- c:\arquivos de programas\AutorunRemover

2010-02-02 17:20 . 2010-02-02 12:35 -------- d-----w- c:\documents and settings\Projetos 01\Dados de aplicativos\LimeWire

2010-02-02 16:39 . 2010-02-02 16:39 -------- d-----w- c:\documents and settings\Projetos 01\Dados de aplicativos\AVG9

2010-02-02 14:45 . 2010-02-02 14:27 -------- d-----w- c:\documents and settings\Projetos 01\Dados de aplicativos\IObit

2010-02-02 14:41 . 2010-02-02 12:35 -------- d-----w- c:\arquivos de programas\LimeWire

2010-02-02 14:29 . 2010-02-02 14:29 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\IObit

2010-02-02 14:27 . 2010-02-02 14:27 -------- d-----w- c:\arquivos de programas\IObit

2010-02-02 13:31 . 2010-02-02 13:31 -------- d-----w- c:\arquivos de programas\Windows Media Connect 2

2010-02-02 13:09 . 2010-02-02 13:09 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Messenger Plus!

2010-02-02 13:07 . 2010-02-02 12:56 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help

2010-02-02 13:02 . 2010-02-02 12:58 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Autodesk Shared

2010-02-02 13:02 . 2010-02-02 13:00 -------- d-----w- c:\arquivos de programas\AutoCAD 2007

2010-02-02 13:01 . 2010-02-02 13:01 -------- d-----w- c:\arquivos de programas\AnswerWorks 4.0

2010-02-02 13:00 . 2010-02-02 13:00 -------- d-----w- c:\documents and settings\Projetos 01\Dados de aplicativos\Autodesk

2010-02-02 13:00 . 2010-02-02 13:00 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Autodesk

2010-02-02 12:59 . 2010-02-02 12:59 -------- d-----w- c:\arquivos de programas\Microsoft Works

2010-02-02 12:58 . 2010-02-02 12:58 -------- d-----w- c:\arquivos de programas\Autodesk

2010-02-02 12:58 . 2010-02-02 12:58 -------- d-----w- c:\arquivos de programas\Microsoft.NET

2010-02-02 12:56 . 2010-02-02 12:56 -------- d-----w- c:\arquivos de programas\Messenger Plus! Live

2010-02-02 12:50 . 2010-02-02 12:50 -------- d-----w- c:\arquivos de programas\Microsoft Silverlight

2010-02-02 12:50 . 2010-02-02 12:49 -------- d-----w- c:\arquivos de programas\Windows Live

2010-02-02 12:49 . 2010-02-02 12:49 -------- d-----w- c:\arquivos de programas\Microsoft

2010-02-02 12:49 . 2010-02-02 12:49 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2010-02-02 12:48 . 2010-02-02 13:37 12464 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg9\update\backup\avgrsstx.dll

2010-02-02 12:39 . 2010-02-02 12:39 -------- d-----w- c:\arquivos de programas\CHANGJIE

2010-02-02 12:39 . 2010-02-02 12:39 -------- d-----w- c:\arquivos de programas\TCIME

2010-02-02 12:39 . 2010-02-02 12:39 -------- d-----w- c:\arquivos de programas\SCIME

2010-02-02 12:39 . 2010-02-02 12:39 -------- d-----w- c:\arquivos de programas\KOIME

2010-02-02 12:37 . 2010-02-02 12:37 -------- d-----w- c:\arquivos de programas\Arquivos comuns\L&H Shared

2010-02-02 12:37 . 2010-02-02 12:37 -------- d-----w- c:\arquivos de programas\LHSP

2010-02-02 12:37 . 2010-02-02 12:37 -------- d-----w- c:\arquivos de programas\Positivo

2010-02-02 12:37 . 2010-02-02 12:10 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield

2010-02-02 12:36 . 2010-02-02 12:36 2232 ----a-w- c:\windows\java\Packages\Data\53J7HVJR.DAT

2010-02-02 12:36 . 2010-02-02 12:36 155995 ----a-w- c:\windows\java\Packages\XRFNX7F5.ZIP

2010-02-02 12:36 . 2010-02-02 12:36 2678 ----a-w- c:\windows\java\Packages\Data\HF9VTFVD.DAT

2010-02-02 12:36 . 2010-02-02 12:36 2678 ----a-w- c:\windows\java\Packages\Data\9B3VX3RX.DAT

2010-02-02 12:36 . 2010-02-02 12:36 2678 ----a-w- c:\windows\java\Packages\Data\CCJH353H.DAT

2010-02-02 12:36 . 2010-02-02 12:36 2678 ----a-w- c:\windows\java\Packages\Data\4KJRNPNR.DAT

2010-02-02 12:36 . 2010-02-02 12:36 2678 ----a-w- c:\windows\java\Packages\Data\01JJX73V.DAT

2010-02-02 12:21 . 2010-02-02 12:21 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Ahead

2010-02-02 12:20 . 2010-02-02 12:18 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Ahead

2010-02-02 12:20 . 2010-02-02 11:54 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2010-02-02 12:18 . 2010-02-02 12:18 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Nero

2010-02-02 12:18 . 2010-02-02 12:18 -------- d-----w- c:\arquivos de programas\Nero

2010-02-02 12:18 . 2010-02-02 12:18 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\DVD Shrink

2010-02-02 12:18 . 2010-02-02 12:18 -------- d-----w- c:\arquivos de programas\DVD Shrink

2010-02-02 12:17 . 2010-02-02 12:16 -------- d-----w- c:\arquivos de programas\CyberLink

2010-02-02 12:15 . 2010-02-02 12:15 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Java

2010-02-02 12:15 . 2010-02-02 12:15 0 ----a-w- c:\windows\nsreg.dat

2010-02-02 12:14 . 2010-02-02 12:14 -------- d-----w- c:\arquivos de programas\Arquivos comuns\xing shared

2010-02-02 12:14 . 2010-02-02 12:14 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Real

2010-02-02 12:14 . 2010-02-02 12:14 -------- d-----w- c:\arquivos de programas\Real

2010-02-02 12:10 . 2010-02-02 12:10 -------- d-----w- c:\arquivos de programas\Realtek

2010-02-02 11:55 . 2010-02-02 11:55 -------- d-----w- c:\arquivos de programas\microsoft frontpage

2010-02-02 11:54 . 2010-02-02 11:54 -------- d-----w- c:\arquivos de programas\Serviços on-line

2010-02-02 11:53 . 2010-02-02 11:53 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Serviços

2010-02-02 11:52 . 2010-02-02 11:52 21844 ----a-w- c:\windows\system32\emptyregdb.dat

.

 

------- Sigcheck -------

 

[-] 2009-05-24 . 1D01C384F3BA123EB6F09769DEA005AC . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((( SnapShot@2010-03-17_13.15.03 )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-03-17 13:18 . 2010-03-17 13:18 16384 c:\windows\temp\Perflib_Perfdata_224.dat

+ 2001-10-28 14:07 . 2010-03-17 13:22 58732 c:\windows\system32\perfc009.dat

+ 2001-10-28 14:07 . 2010-03-17 13:22 392432 c:\windows\system32\perfh009.dat

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\snxPluginsShell]

@="{F4B3B0AA-13D1-4a36-BDA2-2055B0F3D5DE}"

[HKEY_CLASSES_ROOT\CLSID\{F4B3B0AA-13D1-4a36-BDA2-2055B0F3D5DE}]

2010-03-09 11:11 136704 ----a-w- c:\arquivos de programas\Alwil Software\Avast5\snxPlugins.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"csrsss.exe"="c:\windows\system32\csrsss.exe" [2010-03-05 2146816]

"modulo18"="c:\windows\system32\modulo18.exe" [2010-03-05 1019392]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AutorunRemover.exe"="c:\arquivos de programas\AutorunRemover\AutorunRemover.exe" [2010-02-02 488960]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-08-01 13529088]

"UnlockerAssistant"="c:\arquivos de programas\Unlocker\UnlockerAssistant.exe" [2009-10-26 15872]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]

"Adobe ARM"="c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]

"RTHDCPL"="RTHDCPL.EXE" [2009-02-17 17508864]

"QuickTime Task"="c:\arquivos de programas\QuickTime\QTTask.exe" [2010-02-15 417792]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-02-08 11:04 149280 ----a-w- c:\arquivos de programas\Java\jre6\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

2010-02-02 12:14 180269 ----a-w- c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\LimeWire\\LimeWire.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\SIMBRASIL 3.03\\Database\\bin\\mysqld.exe"=

 

R0 aswNdis;avast! Firewall NDIS Filter Service;c:\windows\system32\drivers\aswNdis.sys [2/3/2010 10:17 12112]

R0 aswNdis2;avast! Firewall Core Firewall Service;c:\windows\system32\drivers\aswNdis2.sys [2/3/2010 10:17 194640]

R1 aswFW;avast! TDI Firewall driver;c:\windows\system32\drivers\aswFW.sys [2/3/2010 10:17 102352]

R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2/3/2010 10:17 294480]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2/3/2010 12:52 162640]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2/3/2010 12:52 19024]

S2 avast! Firewall;avast! Firewall;c:\arquivos de programas\Alwil Software\Avast5\afwServ.exe [2/3/2010 13:05 119200]

S2 gupdate1caa593386fee70;Google Update Service (gupdate1caa593386fee70);c:\arquivos de programas\Google\Update\GoogleUpdate.exe [4/2/2010 09:11 133104]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2/2/2010 09:10 1684736]

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2010-03-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\arquivos de programas\Google\Update\GoogleUpdate.exe [2010-02-04 12:11]

 

2010-03-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\arquivos de programas\Google\Update\GoogleUpdate.exe [2010-02-04 12:11]

 

2010-03-04 c:\windows\Tasks\jucheck.job

- c:\arquivos de programas\Java\jre1.6.0_02\bin\jucheck.exe [2010-02-02 06:00]

.

.

------- Scan Suplementar -------

.

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~4\Office12\EXCEL.EXE/3000

TCP: {6DC2657B-8D53-4405-9553-2210BE598015} = 201.16.252.2

DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab

FF - ProfilePath - c:\documents and settings\Projetos 01\Dados de aplicativos\Mozilla\Firefox\Profiles\wf6bsv1z.default\

FF - prefs.js: browser.startup.homepage - www.google.com.br

FF - plugin: c:\arquivos de programas\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\arquivos de programas\Google\Update\1.2.183.17\npGoogleOneClick8.dll

 

---- FIREFOX POLICIES ----

FF - user.js: browser.cache.memory.capacity - 16000

FF - user.js: browser.chrome.favicons - false

FF - user.js: browser.display.show_image_placeholders - true

FF - user.js: browser.turbo.enabled - true

FF - user.js: browser.urlbar.autocomplete.enabled - true

FF - user.js: browser.urlbar.autofill - true

FF - user.js: content.max.tokenizing.time - 2250000

FF - user.js: content.notify.backoffcount - 5

FF - user.js: content.notify.interval - 750000

FF - user.js: content.notify.ontimer - true

FF - user.js: content.switch.threshold - 750000

FF - user.js: dom.disable_window_status_change - true

FF - user.js: network.http.max-connections - 32

FF - user.js: network.http.max-connections-per-server - 8

FF - user.js: network.http.max-persistent-connections-per-proxy - 8

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: network.http.pipelining - true

FF - user.js: network.http.pipelining.firstrequest - true

FF - user.js: network.http.pipelining.maxrequests - 8

FF - user.js: network.http.proxy.pipelining - true

FF - user.js: network.http.request.max-start-delay - 0

FF - user.js: nglayout.initialpaint.delay - 750

FF - user.js: plugin.expose_full_path - true

FF - user.js: ui.submenuDelay - 0

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-03-17 10:39

Windows 5.1.2600 Service Pack 3 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

Tempo para conclusão: 2010-03-17 10:40:30

ComboFix-quarantined-files.txt 2010-03-17 13:40

ComboFix2.txt 2010-03-17 13:16

ComboFix3.txt 2010-03-02 15:33

 

Pré-execução: 7 pasta(s) 123.182.632.960 bytes disponíveis

Pós execução: 8 pasta(s) 123.148.599.296 bytes disponíveis

 

- - End Of File - - E04106B4E4CF65E1956FC122ADD2D254

 

 

Log HijackThis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:52:08, on 17/3/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\csrsss.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Alwil Software\Avast5\AvastUI.exe

C:\WINDOWS\explorer.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Projetos 01\Meus documentos\Downloads\Hijack\HiJackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [AutorunRemover.exe] C:\Arquivos de programas\AutorunRemover\AutorunRemover.exe -Hide

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Arquivos de programas\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [csrsss.exe] C:\WINDOWS\system32\csrsss.exe

O4 - HKCU\..\Run: [modulo18] C:\WINDOWS\system32\modulo18.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~4\Office12\EXCEL.EXE/3000

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~4\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{6DC2657B-8D53-4405-9553-2210BE598015}: NameServer = 201.16.252.2

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Firewall - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast5\afwServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Google Update Service (gupdate1caa593386fee70) (gupdate1caa593386fee70) - Google Inc. - C:\Arquivos de programas\Google\Update\GoogleUpdate.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

 

--

End of file - 6246 bytes

 

 

E tem mais: Pelo PrintScreen aí em embaixo apareceram uns processo novos, com nomes e extensões esquisitas, além de 5 svchost.exe. Há alguma coisa errada?

2ir6npk.jpg

 

Até mais...

Compartilhar este post


Link para o post
Compartilhar em outros sites

:seta: Siga, por gentileza, as dicas destes tutoriais:

 

'>http://dicasetutoriaisparapc.blogspot.com/2009/10/tutorial-do-malwarebytes-anti-malware.html"]Tutorial do Malwarebytes Anti-Malware

 

Tutorial do Norman Malware Cleaner

_______________________________

 

:seta: Na sua próxima resposta poste o log do Malwarebytes juntamente com um novo log do Hijackthis e o log do Norman Malware Cleaner e nos diga como está o seu PC após estes procedimentos.

 

Ficamos no aguardo.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.