Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

learner27

 [Resolvido!] Rootkit

Por , em Tópicos Resolvidos (Seguranca & Malwares)

Recommended Posts

learner27    4

learner27
Postado

Boa Noite, faz uma semana que estou com um virus que não deixa acessar nada e esta danificando meus programas, o avast o detecta como rootkit-gen. Podem me ajudar?

 

Segue log do hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 20:35:48, on 7/5/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Arquivos de programas\Bonjour\mDNSResponder.exe

C:\Documents and Settings\User\Configurações locais\Dados de aplicativos\CrossLoop\CrossLoopService.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\borland\interbase\bin\ibguard.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\HPZipm12.exe

C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

C:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\borland\interbase\bin\ibserver.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashDisp.exe

C:\WINDOWS\NCLAUNCH.EXe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

C:\Documents and Settings\User\Configurações locais\Dados de aplicativos\CrossLoop\CrossLoopConnect.exe

C:\Documents and Settings\User\Configurações locais\Dados de aplicativos\CrossLoop\vncviewer.exe

C:\Arquivos de programas\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Arquivos de programas\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Arquivos de programas\Microsoft\Office Live\OfficeLiveSignIn.exe

C:\Arquivos de programas\Windows Live\Toolbar\wltuser.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Documents and Settings\User\Meus documentos\HiJackThis.exe

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

R3 - URLSearchHook: Messenger Plus Live Brazil Toolbar - {edbca961-4bf8-4cbe-8c63-a11dff9ed2d9} - C:\Arquivos de programas\Messenger_Plus_Live_Brazil\tbMess.dll

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Flash Video Decoder for SWF - {69A3B530-C178-45F8-A22C-7977101DEA5C} - C:\WINDOWS\system32\flash10swf.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll

O2 - BHO: G-Buster Browser Defense Banco Real - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\ARQUIV~1\GbPlugin\gbiehAbn.dll

O2 - BHO: G-Buster Browser Defense Unibanco - {C41A1C0E-EA6C-11D4-B1B8-444553540008} - C:\ARQUIV~1\GbPlugin\gbiehUni.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O2 - BHO: Messenger Plus Live Brazil Toolbar - {edbca961-4bf8-4cbe-8c63-a11dff9ed2d9} - C:\Arquivos de programas\Messenger_Plus_Live_Brazil\tbMess.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Messenger Plus Live Brazil Toolbar - {edbca961-4bf8-4cbe-8c63-a11dff9ed2d9} - C:\Arquivos de programas\Messenger_Plus_Live_Brazil\tbMess.dll

O4 - HKLM\..\Run: [avast!] "C:\Arquivos de programas\Alwil Software\Avast4\ashDisp.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [Magnify] Magnify.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [Magnify] Magnify.exe (User 'Default user')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugin/Cab/GbPluginABN.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A63F7ADB-89D7-472E-9494-8E0D1E26F4F0}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\Skype4COM.dll

O20 - Winlogon Notify: GbPluginAbn - C:\ARQUIV~1\GbPlugin\gbiehAbn.dll

O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehcef.dll

O20 - Winlogon Notify: GbPluginUni - C:\ARQUIV~1\GbPlugin\gbiehUni.dll

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Dispositivo Celular da Apple (Apple Mobile Device) - Apple Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Serviço de transferência inteligente de plano de fundo (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: Bonjour Service - Apple Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe

O23 - Service: CrossLoop Service (CrossLoopService) - CrossLoop Inc - C:\Documents and Settings\User\Configurações locais\Dados de aplicativos\CrossLoop\CrossLoopService.exe

O23 - Service: Findbasic Service - Unknown owner - C:\Documents and Settings\All Users\Dados de aplicativos\Findbasic\findbasic139.exe

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Unknown owner - C:\Arquivos de programas\Google\Update\GoogleUpdate.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Arquivos de programas\borland\interbase\bin\ibguard.exe

O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Arquivos de programas\borland\interbase\bin\ibserver.exe

O23 - Service: KMDP - Sysinternals - www.sysinternals.com - C:\DOCUME~1\User\CONFIG~1\Temp\KMDP.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)

O23 - Service: uvnc_service - UltraVNC - C:\Documents and Settings\User\Configurações locais\Dados de aplicativos\CrossLoop\winvnc.exe

O23 - Service: Atualizações Automáticas (wuauserv) - Unknown owner - C:\WINDOWS\

 

--

End of file - 10717 bytes

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

Boa noite....

 

 

*O PROCEDIMENTO ABAIXO SÓ PODERÁ SER FEITO USANDO O INTERNET EXPLORER

 

*Desative seu antivírus temporariamente

Clique com o botão direito do mouse no ícone do Avast que fica rodando ao lado do relógio > Selecione "Pausar a proteção residente" > Confirme.

*Faça um scan online com o BitDefender seguindo este tutorial

 

*Ao término cole o resultado criado em C:\Windows\BDOSCAN8\bdoscan.log

Compartilhar este post

Link para o post
Compartilhar em outros sites

learner27    4

learner27
Postado

Wings, bom dia...

 

 

está dificil pois o internet explorer fecha sozinho toda hora e o mozila e o chorme no funcionam!!

 

Estou acessando remotamente o micro da minha empresa, pois trabalho em casa, e é através do acesso que consigo falar com você, será que vai invadir a minha máquina no trabalho? No micro infectado quando entro no site do bit defender as palavras são substituidas por vários quadradinhos e o internet explorer fecha. As vezes aparece algumas mensagens estranhas.. O que fazer?

 

consegui apenas no quickscan beta, será que adianta? segue o log..

 

Quickscan Beta 32-bit v0.9.9.21

-------------------------------

Data da análise: Sat May 08 09:31:07 2010

ID da máquina: 3C02947C

 

 

 

2 arquivos infectados encontrados!

----------------------------------

 

C:\WINDOWS\system32\flash10swf.dll --> Trojan.Agent.Delf.RLM

--> HKCR\CLSID\{69A3B530-C178-45F8-A22C-7977101DEA5C}\InprocServer32\(default)

--> Processo iexplore.exe (4012)

--> Processo iexplore.exe (436)

--> Processo iexplore.exe (968)

 

C:\Documents and Settings\All Users\Dados de aplicativos\Findbasic\findbasic139.exe --> Trojan.Generic.3249319

--> HKLM\System\ControlSet002\services\Findbasic Service\"ImagePath"

 

 

 

Processos

---------

<não assinado> CrossLoop 3980 C:\Documents and Settings\User\Configurações locais\Dados de aplicativos\CrossLoop\CrossLoopConnect.exe

<não assinado> HP PML 572 C:\WINDOWS\system32\HPZipm12.exe

<não assinado> InterBase Server 516 C:\Arquivos de programas\borland\interbase\bin\ibguard.exe

<não assinado> InterBase Server 1092 C:\Arquivos de programas\borland\interbase\bin\ibserver.exe

<não assinado> Northcode NCLaunch 2600 C:\WINDOWS\NCLAUNCH.EXe

<não assinado> RichVideo Module 668 C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

 

<verificado> Apple Mobile Device Service 208 C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

<verificado> avast! Antivirus 2552 C:\Arquivos de programas\Alwil Software\Avast4\ashDisp.exe

<verificado> avast! Antivirus 1768 C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

<verificado> avast! Antivirus 1700 C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

<verificado> Bonjour 212 C:\Arquivos de programas\Bonjour\mDNSResponder.exe

<verificado> CrossLoop serevice 240 C:\Documents and Settings\User\Configurações locais\Dados de aplicativos\CrossLoop\CrossLoopService.exe

<verificado> Gbp Service 936 C:\Arquivos de programas\GbPlugin\gbpsv.exe

<verificado> Internet Information Services 488 C:\WINDOWS\system32\inetsrv\inetinfo.exe

<verificado> Microsoft Search Enhancement Pack 676 C:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

<verificado> Microsoft® Visual Studio .NET 540 C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

<verificado> Microsoft® Windows® Operating System 2244 C:\WINDOWS\System32\alg.exe

<verificado> Microsoft® Windows® Operating System 692 C:\WINDOWS\system32\csrss.exe

<verificado> Microsoft® Windows® Operating System 2608 C:\WINDOWS\system32\ctfmon.exe

<verificado> Microsoft® Windows® Operating System 772 C:\WINDOWS\system32\lsass.exe

<verificado> Microsoft® Windows® Operating System 1980 C:\WINDOWS\system32\spoolsv.exe

<verificado> Microsoft® Windows® Operating System 1108 C:\WINDOWS\system32\svchost.exe

<verificado> Microsoft® Windows® Operating System 1204 C:\WINDOWS\System32\svchost.exe

<verificado> Microsoft® Windows® Operating System 1268 C:\WINDOWS\system32\svchost.exe

<verificado> Microsoft® Windows® Operating System 1300 C:\WINDOWS\system32\svchost.exe

<verificado> Microsoft® Windows® Operating System 1464 C:\WINDOWS\system32\svchost.exe

<verificado> Microsoft® Windows® Operating System 1612 C:\WINDOWS\system32\svchost.exe

<verificado> Microsoft® Windows® Operating System 172 C:\WINDOWS\system32\svchost.exe

<verificado> Microsoft® Windows® Operating System 996 C:\WINDOWS\system32\svchost.exe

<verificado> Sistema operacional Microsoft® Windows® 348 C:\WINDOWS\Explorer.EXE

<verificado> Sistema operacional Microsoft® Windows® 760 C:\WINDOWS\system32\services.exe

<verificado> Sistema Operacional Microsoft® Windows® 640 C:\WINDOWS\System32\smss.exe

<verificado> Sistema operacional Microsoft® Windows® 716 C:\WINDOWS\system32\winlogon.exe

<verificado> UltraVNC VNCViewer 2280 C:\Documents and Settings\User\Configurações locais\Dados de aplicativos\CrossLoop\vncviewer.exe

<verificado> Windows Live Communications Platform 1156 C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

<verificado> Windows Live Messenger 616 C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

<verificado> Windows Live Toolbar 2328 C:\Arquivos de programas\Windows Live\Toolbar\wltuser.exe

<verificado> Windows® Internet Explorer 436 C:\Arquivos de programas\Internet Explorer\iexplore.exe

<verificado> Windows® Internet Explorer 968 C:\Arquivos de programas\Internet Explorer\iexplore.exe

<verificado> Windows® Internet Explorer 4012 C:\Arquivos de programas\Internet Explorer\iexplore.exe

 

 

Atividade da Rede

-----------------

Processo iexplore.exe (436) conectado à porta 80 (HTTP) --> 96.6.92.20

Processo iexplore.exe (436) conectado à porta 80 (HTTP) --> 96.6.85.115

Processo iexplore.exe (436) conectado à porta 80 (HTTP) --> 96.6.92.20

Processo iexplore.exe (436) conectado à porta 80 (HTTP) --> 72.246.64.40

Processo iexplore.exe (436) conectado à porta 80 (HTTP) --> 64.18.25.38

Processo iexplore.exe (436) conectado à porta 80 (HTTP) --> 64.233.163.100

 

Processo inetinfo.exe (488) escuta na porta: 25 (SMTP), 80 (HTTP), 443 (HTTP over SSL), 1026 (RPC)

Processo ibserver.exe (1092) escuta na porta: 3050 (Interbase DB)

Processo svchost.exe (1108) escuta na porta: 135 (RPC)

 

 

Autoruns e arquivos críticos

----------------------------

<não assinado> Northcode NCLaunch C:\WINDOWS\NCLAUNCH.EXe

 

<verificado> Adobe Acrobat C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe

<verificado> avast! Antivirus C:\Arquivos de programas\Alwil Software\Avast4\ashDisp.exe

<verificado> Banco Real Gbieh C:\Arquivos de programas\GbPlugin\gbiehAbn.dll

<verificado> Banco Unibanco Gbieh C:\Arquivos de programas\GbPlugin\gbiehUni.dll

<verificado> Caixa Economica Federal Gbieh C:\Arquivos de programas\GbPlugin\gbiehcef.dll

<verificado> Microsoft® Windows® Operating System C:\WINDOWS\system32\cryptnet.dll

<verificado> Microsoft® Windows® Operating System C:\WINDOWS\system32\ctfmon.exe

<verificado> Microsoft® Windows® Operating System C:\WINDOWS\system32\dimsntfy.dll

<verificado> Programa de Vantagens do Windows Origin C:\WINDOWS\system32\WgaLogon.dll

<verificado> Sistema operacional Microsoft® Windows® C:\WINDOWS\system32\browseui.dll

<verificado> Sistema operacional Microsoft® Windows® C:\WINDOWS\system32\crypt32.dll

<verificado> Sistema operacional Microsoft® Windows® C:\WINDOWS\system32\cscdll.dll

<verificado> Sistema operacional Microsoft® Windows® C:\WINDOWS\system32\logonui.exe

<verificado> Sistema operacional Microsoft® Windows® C:\WINDOWS\system32\sclgntfy.dll

<verificado> Sistema operacional Microsoft® Windows® C:\WINDOWS\system32\shell32.dll

<verificado> Sistema operacional Microsoft® Windows® C:\WINDOWS\system32\stobject.dll

<verificado> Sistema operacional Microsoft® Windows® c:\windows\system32\userinit.exe

<verificado> Sistema operacional Microsoft® Windows® C:\WINDOWS\system32\wlnotify.dll

<verificado> startup.exe C:\Documents and Settings\User\Desktop\Virus Removal Tool2\setup_9.0.0.722_06.05.2010_03-24\startup.exe

<verificado> Vantagens do Microsoft Original C:\WINDOWS\system32\KB905474\wgasetup.exe

<verificado> Windows® Internet Explorer C:\WINDOWS\system32\msfeedssync.exe

<verificado> Windows® Internet Explorer C:\WINDOWS\system32\webcheck.dll

 

 

Plugins do navegador

--------------------

<não assinado> C:\WINDOWS\system32\flash10swf.dll

<não assinado> Bonjour C:\Arquivos de programas\Bonjour\mdnsNSP.dll

<não assinado> Conduit Toolbar C:\Arquivos de programas\Messenger_Plus_Live_Brazil\tbMess.dll

<não assinado> Controle de carregamento de fotos do MS C:\WINDOWS\Downloaded Program Files\PURpt-br.dll

<não assinado> FFExternalAlert.dll C:\Documents and Settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\d60paaau.default\extensions\{edbca961-4bf8-4cbe-8c63-a11dff9ed2d9}\components\FFExternalAlert.dll

<não assinado> InstallShield Update Service C:\WINDOWS\Downloaded Program Files\dwusplay.dll

<não assinado> InstallShield Update Service C:\WINDOWS\Downloaded Program Files\dwusplay.exe

<não assinado> RadioWMPCore.dll C:\Documents and Settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\d60paaau.default\extensions\{edbca961-4bf8-4cbe-8c63-a11dff9ed2d9}\components\RadioWMPCore.dll

<não assinado> RealPlayer Version Plugin C:\Arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

<não assinado> RealPlayer Version Plugin C:\Arquivos de programas\Mozilla Firefox\plugins\nprpjplug.dll

<não assinado> Shockwave for Director C:\WINDOWS\system32\Adobe\Director\np32dsw.dll

 

<verificado> AcroIEHelper Library C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

<verificado> Adobe Acrobat C:\Arquivos de programas\Mozilla Firefox\plugins\nppdf32.dll

<verificado> Adobe® Flash® Player ActiveX C:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe

<verificado> Banco Real Gbieh C:\Arquivos de programas\GbPlugin\gbiehAbn.dll

<verificado> Banco Unibanco Gbieh C:\Arquivos de programas\GbPlugin\gbiehUni.dll

<verificado> BitDefender QuickScan C:\WINDOWS\Downloaded Program Files\qsax.ocx

<verificado> Caixa Economica Federal Gbieh C:\Arquivos de programas\GbPlugin\gbiehcef.dll

<verificado> GbpDist Module C:\WINDOWS\Downloaded Program Files\gbpdist.dll

<verificado> i-drop control C:\WINDOWS\Downloaded Program Files\IDrop.ocx

<verificado> i-drop control C:\WINDOWS\Downloaded Program Files\IDropENU.dll

<verificado> Java Platform SE 6 U7 C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

<verificado> Messenger C:\Arquivos de programas\Messenger\msmsgs.exe

<verificado> Microsoft Office Live Plug-in for Firef C:\Arquivos de programas\Microsoft\Office Live\npOLW.dll

<verificado> Microsoft Search Enhancement Pack C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

<verificado> Microsoft® Windows Live Login Helper C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

<verificado> Microsoft® Windows® Operating System C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

<verificado> Microsoft® Windows® Operating System C:\WINDOWS\system32\rsvpsp.dll

<verificado> Microsoft® Windows® Operating System C:\WINDOWS\system32\winrnr.dll

<verificado> Mozilla Default Plug-in C:\Arquivos de programas\Mozilla Firefox\plugins\npnul32.dll

<verificado> MSN Photo Upload Control C:\WINDOWS\Downloaded Program Files\PURen-us.dll

<verificado> NPSWF32.dll C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll

<verificado> Photo Uploader C:\WINDOWS\Downloaded Program Files\UploaderX.dll

<verificado> RealPlayer G2 LiveConnect-Enabled P C:\Arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

<verificado> RealPlayer G2 LiveConnect-Enabled P C:\Arquivos de programas\Mozilla Firefox\plugins\nppl3260.dll

<verificado> Silverlight Plug-In c:\Arquivos de programas\Microsoft Silverlight\3.0.40624.0\npctrl.dll

<verificado> Sistema operacional Microsoft® Windows® C:\WINDOWS\system32\mswsock.dll

<verificado> Sistema operacional Microsoft® Windows® C:\WINDOWS\System32\nwprovau.dll

<verificado> Software Manager C:\WINDOWS\Downloaded Program Files\isusweb.dll

<verificado> Windows Live Toolbar C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

<verificado> Windows Live® Photo Gallery C:\Arquivos de programas\Windows Live\Photo Gallery\NPWLPG.dll

<verificado> Windows® Internet Explorer C:\WINDOWS\system32\ieframe.dll

 

 

Arquivos desaparecidos

----------------------

Arquivos não encontrados: C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

referenciado em: HKLM\System\ControlSet001\services\gusvc\"ImagePath"

 

Arquivos não encontrados: C:\Arquivos de programas\Google\Google Earth\plugin\npgeplugin.dll

referenciado em: HLKM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin\"Path"

 

Arquivos não encontrados: C:\Arquivos de programas\Google\Update\1.2.183.23\npGoogleOneClick8.dll

referenciado em: HLKM\Software\MozillaPlugins\@tools.google.com/Google Update;version=8\"Path"

 

Arquivos não encontrados: C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe

referenciado em: HKLM\System\ControlSet001\services\ServiceLayer\"ImagePath"

 

Arquivos não encontrados: C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe

referenciado em: HKLM\System\ControlSet001\services\usnjsvc\"ImagePath"

 

Arquivos não encontrados: C:\Arquivos de programas\Windows Live\installer\WLSetupSvc.exe

referenciado em: HKLM\System\ControlSet001\services\WLSetupSvc\"ImagePath"

 

Arquivos não encontrados: C:\Arquivos de programas\Yahoo!\Common\npyaxmpb.dll

referenciado em: HLKM\Software\MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1\"Path"

 

Arquivos não encontrados: C:\Arquivos de programas\iPod\bin\iPodService.exe

referenciado em: HKLM\System\ControlSet001\services\iPod Service\"ImagePath"

 

Arquivos não encontrados: C:\WINDOWS\System32\hidserv.dll

referenciado em: HKLM\System\ControlSet001\services\HidServ\Parameters\"ServiceDll"

 

Arquivos não encontrados: System32\Drivers\PxHelp20.sys

referenciado em: HKLM\System\ControlSet001\services\PxHelp20\"ImagePath"

 

Arquivos não encontrados: system32\DRIVERS\ss_bus.sys

referenciado em: HKLM\System\ControlSet001\services\ss_bus\"ImagePath"

 

Arquivos não encontrados: system32\DRIVERS\ss_mdfl.sys

referenciado em: HKLM\System\ControlSet001\services\ss_mdfl\"ImagePath"

 

Arquivos não encontrados: system32\DRIVERS\ss_mdm.sys

referenciado em: HKLM\System\ControlSet001\services\ss_mdm\"ImagePath"

 

 

Análise

-------

<não assinado> MD5: 6ca1292225b47a5421e941b3cfef48af C:\Arquivos de programas\Alwil Software\Avast4\Aavm4h.dll

<não assinado> MD5: ceccde1d9adb40cf7778ab2a3b81d3a7 C:\Arquivos de programas\Alwil Software\Avast4\AavmGuih.dll

<não assinado> MD5: f3eac60879ae425d81dba70c3da76d13 C:\Arquivos de programas\Alwil Software\Avast4\AavmRpch.dll

<não assinado> MD5: 60da054e9ddfc242346b879eaaf1ebce C:\Arquivos de programas\Alwil Software\Avast4\AhResMai.dll

<não assinado> MD5: a7469e3be8770e7015ca499ba6729568 C:\Arquivos de programas\Alwil Software\Avast4\ahResMes.dll

<não assinado> MD5: b3840eb1f44c28ca25d304fd1da86954 C:\Arquivos de programas\Alwil Software\Avast4\AhResNS.dll

<não assinado> MD5: d3de25c3ca9bce6805e028c5dd304304 C:\Arquivos de programas\Alwil Software\Avast4\AhResOut.dll

<não assinado> MD5: 6e5e0ee9c837229c26c3b53b2036e44d C:\Arquivos de programas\Alwil Software\Avast4\ahResP2P.dll

<não assinado> MD5: 816cae36b3d430622eb4d40cf9cc1e82 C:\Arquivos de programas\Alwil Software\Avast4\AhResStd.dll

<não assinado> MD5: 0c923a24fb7e7d6b4d210537f36e5296 C:\Arquivos de programas\Alwil Software\Avast4\AhResWS.dll

<não assinado> MD5: 02bd0feacaa1a65f77806a3c3debd046 C:\Arquivos de programas\Alwil Software\Avast4\AhRuiMai.dll

<não assinado> MD5: 27bb54223d4aaebbeb0e65df776cf6c2 C:\Arquivos de programas\Alwil Software\Avast4\ahRuiMes.dll

<não assinado> MD5: 99c120153031fbd057d4fa0499fff755 C:\Arquivos de programas\Alwil Software\Avast4\AhRuiNS.dll

<não assinado> MD5: 9625471205dfc433fb73e231fc9cbb01 C:\Arquivos de programas\Alwil Software\Avast4\AhRuiOut.dll

<não assinado> MD5: e5c7e4c34e43bfd68de1cf2034fe9af8 C:\Arquivos de programas\Alwil Software\Avast4\ahRuiP2P.dll

<não assinado> MD5: cb39a7024be54e75e3b696272fdc0987 C:\Arquivos de programas\Alwil Software\Avast4\AhRuiStd.dll

<não assinado> MD5: 8f933065a585eafd798dd5e49598cdcb C:\Arquivos de programas\Alwil Software\Avast4\AhRuiWS.dll

<não assinado> MD5: e8b0edd5c8518d9a1f73ac0c54a94d7c C:\Arquivos de programas\Alwil Software\Avast4\ashBase.dll

<não assinado> MD5: b26cf29c64fdf7876d0e81c27c80f7bf C:\Arquivos de programas\Alwil Software\Avast4\ashSSqlt.dll

<não assinado> MD5: 0b9dbfe71f4eb4355985ee60e6a1dc3f C:\Arquivos de programas\Alwil Software\Avast4\ashTask.dll

<não assinado> MD5: fce48f51523e38c5e74969766b353d73 C:\Arquivos de programas\Alwil Software\Avast4\ashUInt.dll

<não assinado> MD5: 8ea778943b7e155991ae9e3c818269ab C:\Arquivos de programas\Alwil Software\Avast4\aswAux.dll

<não assinado> MD5: f8df17a0090f29ee330b34145152f38a C:\Arquivos de programas\Alwil Software\Avast4\aswCmnB.dll

<não assinado> MD5: 6d6416fa182fa865d265dffa5a03c3c2 C:\Arquivos de programas\Alwil Software\Avast4\aswCmnOS.dll

<não assinado> MD5: 7d79cd441ed208d062b326145c7b3aed C:\Arquivos de programas\Alwil Software\Avast4\aswCmnS.dll

<não assinado> MD5: 144137d2e91504f551e82135673d89ae C:\Arquivos de programas\Alwil Software\Avast4\aswEngin.dll

<não assinado> MD5: d933b267939363888a40f86017561552 C:\Arquivos de programas\Alwil Software\Avast4\aswInteg.dll

<não assinado> MD5: 7604efea62acc8e90c8d7dcc58d577af C:\Arquivos de programas\Alwil Software\Avast4\aswRes.dll

<não assinado> MD5: 9fb2179200238536b788cb4046c61c24 C:\Arquivos de programas\Alwil Software\Avast4\aswScan.dll

<não assinado> MD5: 3236b3cfd2ed1994a19e3ce8d3c4cacd C:\Arquivos de programas\Alwil Software\Avast4\PORTUGUESE\Base.dll

<não assinado> MD5: 24038766b7473819cc9f3737fbd5a932 C:\Arquivos de programas\Alwil Software\Avast4\PORTUGUESE\Lang.dll

<não assinado> MD5: 6c08604b5465de19eaac58c6a537d0bf C:\Arquivos de programas\Alwil Software\Avast4\XT1922.dll

<não assinado> MD5: 2094bc9a0fc9c0e15eea5f4a9581dd14 C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\pdfshell.dll

<não assinado> MD5: 420ae91b22d83446c75f92e10149a5fc C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\pdfshell.PTB

<não assinado> MD5: 6f95324909b502e2651442c1548ab12f C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1050\Intel 32\IDriverT.exe

<não assinado> MD5: 0159f60caa4169f1bec0294990aa8c4e C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\1046\MDMUI.DLL

<não assinado> MD5: 64e413ba0c529aa40c3924bbcc4153db C:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PSIService.exe

<não assinado> MD5: 292f92469efb2fd402e00742c06d539d C:\Arquivos de programas\Bonjour\mdnsNSP.dll

<não assinado> MD5: 81d7dd0cc000a1dba0df796587257572 C:\Arquivos de programas\borland\interbase\bin\ibguard.exe

<não assinado> MD5: d8b5d9c0ca9a5321fa54c4b2b8ffdd2c C:\Arquivos de programas\borland\interbase\bin\ibserver.exe

<não assinado> MD5: 593e53a81a6cbbcfbf1d954f4d26ec6a C:\Arquivos de programas\Conduit\Community Alerts\Alert.dll

<não assinado> MD5: bd517c7fb119997effbe39d5e4b37b05 C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

<não assinado> MD5: 86f1895ae8c5e8b17d99ece768a70732 C:\Arquivos de programas\Java\jre1.6.0_07\bin\msvcr71.dll

<não assinado> MD5: 01f0264937036bd962563f1adf35ce72 C:\Arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

<não assinado> MD5: 6256684495c499b22dcdba266e4f2494 C:\Arquivos de programas\Messenger Plus! Live\Detoured.dll

<não assinado> MD5: 06660b9e648e4114486d921735889819 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLiveRes.dll

<não assinado> MD5: 4efacd33c81e79d1d79bd74ac008914c C:\Arquivos de programas\Messenger_Plus_Live_Brazil\tbMess.dll

<não assinado> MD5: 01f0264937036bd962563f1adf35ce72 C:\Arquivos de programas\Mozilla Firefox\plugins\nprpjplug.dll

<não assinado> MD5: 9fa361898eb1e3226be5678ea8c33dba C:\Arquivos de programas\MyPhoneExplorer\DLL\ShellMgr.dll

<não assinado> MD5: f35a584e947a5b401feb0fe01db4a0d7 C:\Arquivos de programas\Nero\Nero 7\InCD\MFC71.dll

<não assinado> MD5: 7b93c623333f121dc9e689ccb1b7a733 C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\mfc71u.dll

<não assinado> MD5: 561fa2abb31dfa8fab762145f81667c2 C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\msvcp71.dll

<não assinado> MD5: 86f1895ae8c5e8b17d99ece768a70732 C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\msvcr71.dll

<não assinado> MD5: 91a93beee4e7e1234b4a914de4ce59ca C:\Arquivos de programas\Windows Live\Messenger\msimg32.dll

<não assinado> MD5: 023707d932ba31314210e6844d33d500 C:\Arquivos de programas\WinRAR\RarExt.dll

<não assinado> MD5: c9cd887dc06c5447399267941e819f4a C:\Documents and Settings\User\Configurações locais\Dados de aplicativos\CrossLoop\CrossLoopConnect.exe

<não assinado> MD5: be706ac2caee39ba8c90be3a6c037a08 C:\Documents and Settings\User\Configurações locais\Dados de aplicativos\CrossLoop\diCrPKI.dll

<não assinado> MD5: ebebdbf1df7621623bbc5af82b533542 C:\Documents and Settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\d60paaau.default\extensions\{edbca961-4bf8-4cbe-8c63-a11dff9ed2d9}\components\FFExternalAlert.dll

<não assinado> MD5: 696f6787818300362f15485d654f6887 C:\Documents and Settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\d60paaau.default\extensions\{edbca961-4bf8-4cbe-8c63-a11dff9ed2d9}\components\RadioWMPCore.dll

<não assinado> MD5: 3fea9d2edf23b0283c7a66c8dea380bd C:\WINDOWS\Downloaded Program Files\dwusplay.dll

<não assinado> MD5: cdbe35ea59bc9223e4f800bd1db82d27 C:\WINDOWS\Downloaded Program Files\dwusplay.exe

<não assinado> MD5: e5bd9e7aee02aead4ab51b0360edd9be C:\WINDOWS\Downloaded Program Files\PURpt-br.dll

<não assinado> MD5: b875c7e2014c1e302e9d73e181dcb1d8 C:\WINDOWS\NCLAUNCH.EXe

<não assinado> MD5: acef2cbc1032bc14d112eb4494537da5 C:\WINDOWS\system32\Adobe\Director\np32dsw.dll

<não assinado> MD5: 0345929356dd3b418cecbd1f2883dc0e C:\WINDOWS\system32\DRIVERS\3xHybrid.sys

<não assinado> MD5: a7b8a3a79d35215d798a300df49ed23f C:\WINDOWS\system32\drivers\Afc.sys

<não assinado> MD5: fbbcb95f677cbaa924140b6ea2d9a97b C:\WINDOWS\system32\drivers\ALCXSENS.SYS

<não assinado> MD5: 391344370018a87a6c478ab76c7a47a8 C:\WINDOWS\system32\drivers\ALCXWDM.SYS

<não assinado> MD5: 54ab078660e536da72b21a27f56b035b C:\WINDOWS\system32\drivers\ASPI32.sys

<não assinado> MD5: fe4da456cb15bd9952fea17eb9a4a76d C:\WINDOWS\system32\drivers\DIRECTNT.sys

<não assinado> MD5: 5b6c11de7e839c05248ced8825470fef C:\WINDOWS\system32\drivers\PCOUFFIN.sys

<não assinado> MD5: 66ac5fe7a28b0e77241d9e3747af0c83 C:\WINDOWS\system32\drivers\RKREVEAL150.sys

<não assinado> MD5: 306521935042fc0a6988d528643619b3 C:\WINDOWS\system32\drivers\STAROPEN.sys

<não assinado> MD5: caad3467fbfae8a380f67e9c7150a85e C:\WINDOWS\system32\DRIVERS\usbsermpt.sys

<não assinado> MD5: 524d8d450622db4a7875b111c299a76b C:\WINDOWS\system32\drivers\UTEXNJQ5.sys

<não assinado> MD5: 897c43ea23a33c5823e2524bf0a66aa5 C:\WINDOWS\system32\flash10swf.dll

<não assinado> MD5: 5ab61f434fc83cf87eff68a20e5f93e2 C:\WINDOWS\system32\framedyn.dll

<não assinado> MD5: aca9cfaab65f3d016c4bb8574d82f29e C:\WINDOWS\system32\GDS32.DLL

<não assinado> MD5: adbb61bf0b9c97de818090738ec71e57 C:\WINDOWS\system32\HPTcpMib.dll

<não assinado> MD5: 4e460240cb29778f5f8c1feb38806679 C:\WINDOWS\system32\HPTcpMon.dll

<não assinado> MD5: 7148477b97dad4b3e60eff773f4ca032 C:\WINDOWS\system32\HPTcpMUI.dll

<não assinado> MD5: 2d091a99624fb9e7eef0a86d872ec0c3 C:\WINDOWS\system32\HPZipm12.exe

<não assinado> MD5: ee142789631138c42112b5b757dde6a9 C:\WINDOWS\system32\hpzjrd01.dll

<não assinado> MD5: f35a584e947a5b401feb0fe01db4a0d7 C:\WINDOWS\system32\mfc71.dll

<não assinado> MD5: 8c22083ed515dc94d575438662f0be6a C:\WINDOWS\system32\msi.dll

<não assinado> MD5: 561fa2abb31dfa8fab762145f81667c2 C:\WINDOWS\system32\msvcp71.dll

<não assinado> MD5: 86f1895ae8c5e8b17d99ece768a70732 C:\WINDOWS\system32\msvcr71.dll

 

 

Nenhum arquivo carregado.

 

Fim da Análise - a comunicação levou 13 seg

Tráfego Total - 0.09 MB enviados, 3.40 KB receb

Analisados 1250 arquivos e módulos - 132 segundos

 

==============================================================================

 

Wings, o caminho que me indicou colar o log não existe....C:\Windows\BDOSCAN8\bdoscan.log. Aguardo novas instruções. Grata.

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

Bom dia....

 

 

*Baixe o RSIT e salve-o no desktop

*Duplo clique em RSIT

*Clique em [Continue]

*Ao término do processo, cole o relatório criado em C:\rsit\log.txt

Compartilhar este post

Link para o post
Compartilhar em outros sites

learner27    4

learner27
Postado

Feito.

Compartilhar este post

Link para o post
Compartilhar em outros sites

learner27    4

learner27
Postado

Wings, ja consegui resolver o problema. Agradeço muito a sua ajuda e parabenizo por desenvolver este trabalho maravilhoso despretensiosamente. Fique com Deus.

Compartilhar este post

Link para o post
Compartilhar em outros sites

wings    22

wings
Postado

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos Tópicos Resolvidos (Seguranca & Malwares)
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito