Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

marianaborges

[Resolvido!] Analisar Log

Recommended Posts

Podem analisar esse log, por favor?

Obrigada desde já.

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:14:45, on 24.07.2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\wbsecsvc.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Arquivos de programas\Spyware Doctor\pctsTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\ARQUIV~1\MICROP~1\DELTAT~1.0\DWinTrsl.exe

C:\ARQUIV~1\ALWILS~1\Avast5\avastUI.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

C:\WINDOWS\System32\svchost.exe

C:\NitroPC\NitroPC.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\3M\PSNLite\PsnLite.exe

C:\ARQUIV~1\3M\PSNLite\PSNGive.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\TheWorld 3\theworld.exe

C:\Documents and Settings\Usuário\Desktop\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.g1.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dados de aplicativos\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [WindowsTranslator] C:\ARQUIV~1\MICROP~1\DELTAT~1.0\DWinTrsl.exe

O4 - HKLM\..\Run: [avast5] C:\ARQUIV~1\ALWILS~1\Avast5\avastUI.exe /nogui

O4 - HKLM\..\Run: [iSTray] "C:\Arquivos de programas\Spyware Doctor\pctsTray.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"

O4 - HKCU\..\Run: [NitroPC] "C:\NitroPC\NitroPC.exe" -minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: srvklw32.exe

O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Arquivos de programas\3M\PSNLite\PsnLite.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/pt/uno1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232812442942

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O23 - Service: avast! Antivirus - AVAST Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - AVAST Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - AVAST Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe

 

--

End of file - 6928 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa noite....

 

*Baixe o DDS e salve-o no desktop

 

*Desative temporariamente seu antivírus

 

Clique com o botão direito do mouse no ícone do Avast que fica rodando ao lado do relógio > Selecione "Pausar a proteção residente" > Confirme.

*Duplo clique em dds e aguarde. Salve os relatórios no desktop e cole-os na sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.

IF REQUESTED, ZIP IT UP & ATTACH IT

 

DDS (Ver_10-03-17.01)

 

Microsoft Windows XP Professional

Boot Device: \Device\HarddiskVolume1

Install Date: 19.11.2008 18:13:46

System Uptime: 24.07.2010 13:34:00 (6 hours ago)

 

Motherboard: TOSHIBA | | Portable PC

Processor: Intel® Celeron CPU 1200MHz | uFC-PGA Socket | 1195/133mhz

 

==== Disk Partitions =========================

 

A: is Removable

C: is FIXED (NTFS) - 37 GiB total, 23,796 GiB free.

D: is CDROM ()

F: is Removable

 

==== Disabled Device Manager Items =============

 

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}

Description: Intel® PRO/100 M Mobile Connection

Device ID: PCI\VEN_8086&DEV_1059&SUBSYS_00011179&REV_10\3&61AAA01&0&50

Manufacturer: Intel

Name: Intel® PRO/100 M Mobile Connection

PNP Device ID: PCI\VEN_8086&DEV_1059&SUBSYS_00011179&REV_10\3&61AAA01&0&50

Service: E100B

 

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}

Description:

Device ID: ACPI\TOS6202\2&DABA3FF&0

Manufacturer:

Name:

PNP Device ID: ACPI\TOS6202\2&DABA3FF&0

Service:

 

==== System Restore Points ===================

 

RP693: 15.06.2010 13:32:18 - Ponto de verificação do sistema

RP694: 16.06.2010 17:52:13 - Ponto de verificação do sistema

RP695: 18.06.2010 14:08:44 - Operação de restauração

RP696: 19.06.2010 14:51:51 - Ponto de verificação do sistema

RP697: 20.06.2010 15:41:17 - Ponto de verificação do sistema

RP698: 21.06.2010 18:19:14 - Spyware Doctor: Cleaning Threats

RP699: 22.06.2010 18:40:32 - Ponto de verificação do sistema

RP700: 24.06.2010 11:57:52 - Ponto de verificação do sistema

RP701: 26.06.2010 12:34:09 - Ponto de verificação do sistema

RP702: 27.06.2010 23:19:05 - Ponto de verificação do sistema

RP703: 28.06.2010 18:15:30 - Spyware Doctor: Cleaning Threats

RP704: 29.06.2010 19:31:34 - Ponto de verificação do sistema

RP705: 30.06.2010 20:03:52 - Ponto de verificação do sistema

RP706: 02.07.2010 00:01:04 - Ponto de verificação do sistema

RP707: 02.07.2010 23:49:13 - Spyware Doctor: Cleaning Threats

RP708: 04.07.2010 12:11:52 - Ponto de verificação do sistema

RP709: 05.07.2010 13:41:20 - Ponto de verificação do sistema

RP710: 06.07.2010 18:37:24 - Ponto de verificação do sistema

RP711: 07.07.2010 19:05:47 - Ponto de verificação do sistema

RP712: 08.07.2010 20:24:16 - Ponto de verificação do sistema

RP713: 09.07.2010 23:27:25 - Ponto de verificação do sistema

RP714: 11.07.2010 21:44:20 - Ponto de verificação do sistema

RP715: 12.07.2010 00:35:06 - Installed Java 6 Update 20

RP716: 13.07.2010 16:08:49 - Ponto de verificação do sistema

RP717: 14.07.2010 16:22:21 - Ponto de verificação do sistema

RP718: 15.07.2010 16:28:50 - Ponto de verificação do sistema

RP719: 15.07.2010 17:07:33 - Installed Readon TV Movie Radio Player 7.2.0.0

RP720: 15.07.2010 22:05:33 - Spyware Doctor: Cleaning Threats

RP721: 16.07.2010 00:28:45 - Removed Readon TV Movie Radio Player 7.2.0.0

RP722: 18.07.2010 15:08:46 - Ponto de verificação do sistema

RP723: 23.07.2010 21:51:59 - Ponto de verificação do sistema

RP724: 24.07.2010 18:15:21 - Spyware Doctor: Cleaning Threats

 

==== Installed Programs ======================

 

Adobe Flash Player 10 ActiveX

Adobe Flash Player 10 Plugin

Adobe Reader 8 - Português

Arquivo do WinRAR

Assistente de Conexão do Windows Live

Assistente Wireless Intelbras WBG901

Atualização de Segurança para Windows Internet Explorer 7 (KB938127-v2)

Atualização de Segurança para Windows XP (KB938464-v2)

Atualização de Segurança para Windows XP (KB941569)

Atualização de Segurança para Windows XP (KB946648)

Atualização de Segurança para Windows XP (KB950760)

Atualização de Segurança para Windows XP (KB950762)

Atualização de Segurança para Windows XP (KB950974)

Atualização de Segurança para Windows XP (KB951066)

Atualização de Segurança para Windows XP (KB951376-v2)

Atualização de Segurança para Windows XP (KB951698)

Atualização de Segurança para Windows XP (KB951748)

Atualização de Segurança para Windows XP (KB952954)

Atualização de Segurança para Windows XP (KB954600)

Atualização de Segurança para Windows XP (KB955069)

Atualização de Segurança para Windows XP (KB956802)

Atualização de Segurança para Windows XP (KB956803)

Atualização de Segurança para Windows XP (KB957097)

Atualização de Segurança para Windows XP (KB958644)

Atualização de Segurança para Windows XP (KB958687)

Atualização de Segurança para Windows XP (KB958690)

Atualização de Segurança para Windows XP (KB960225)

Atualização de Segurança para Windows XP (KB960715)

Atualização para Windows XP (KB898461)

Atualização para Windows XP (KB955839)

Atualização para Windows XP (KB967715)

avast! Free Antivirus

CCleaner (remove only)

Curso HJ de Datilografia

Ferramenta de Carregamento do Windows Live

HijackThis 2.0.2

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)

Hotfix for Windows XP (KB915865)

Hotfix for Windows XP (KB954550-v5)

Hotfix para Windows XP (KB952287)

Intel® PRO Ethernet Adapter and Software

Java Auto Updater

Java 6 Update 20

Malwarebytes' Anti-Malware

Messenger Plus! Live

MicroPower Delta Translator 3.0

Microsoft .NET Framework 1.1

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2

Microsoft .NET Framework 3.5 SP1

Microsoft Application Error Reporting

Microsoft Choice Guard

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft Kernel-Mode Driver Framework Feature Pack 1.5

Microsoft National Language Support Downlevel APIs

Microsoft Office Live Add-in 1.3

Microsoft Office Professional Edição 2003

Microsoft Visual C++ 2005 Redistributable

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

Move Media Player

MSVCRT

MSXML 6.0 Parser (KB933579)

MV AntiSpy 4.0

MV RegClean 5.5

Nero 7 Premium

Novo Dicionário Aurélio

Opera

PhotoFiltre Studio

Post-it® Software Notes Lite

PowerDVD

RealPlayer

RealUpgrade 1.0

Search Settings 1.2

Segoe UI

Spyware Doctor 6.0

SpywareBlaster 4.1

TheWorld Browser 3.0 Final

Toshiba Soft Modem AMR

VideoCAM NB

WebFldrs XP

Winamp

Winbond WLAN

Windows Feature Pack for Storage (32-bit) - IMAPI update for Blu-Ray

Windows Imaging Component

Windows Installer 3.1 (KB893803)

Windows Internet Explorer 7

Windows Internet Explorer 8

Windows Live Call

Windows Live Communications Platform

Windows Live Essentials

Windows Live Messenger

Windows Media Format Runtime

Windows Movie Maker 2.0

WinZip

XP Codec Pack

 

==== Event Viewer Messages From Past Week ========

 

24.07.2010 16:41:07, Informações: Windows File Protection [64002] - Tentativa de substituição do arquivo no arquivo do sistema protegido c:\windows\system32\drivers\wstcodec.sys. Esse arquivo foi restaurado para a versão original para manter a estabilidade do sistema. A versão do arquivo inválido é 5.3.2600.2180.

24.07.2010 16:40:32, Informações: Windows File Protection [64002] - Tentativa de substituição do arquivo no arquivo do sistema protegido swmidi.sys. Esse arquivo foi restaurado para a versão original para manter a estabilidade do sistema. A versão do arquivo inválido é 5.1.2600.0.

24.07.2010 16:39:45, Informações: Windows File Protection [64002] - Tentativa de substituição do arquivo no arquivo do sistema protegido c:\windows\system32\drivers\mskssrv.sys. Esse arquivo foi restaurado para a versão original para manter a estabilidade do sistema. A versão do arquivo inválido é 5.3.2600.2180.

24.07.2010 16:39:39, Informações: Windows File Protection [64002] - Tentativa de substituição do arquivo no arquivo do sistema protegido mskssrv.sys. Esse arquivo foi restaurado para a versão original para manter a estabilidade do sistema. A versão do arquivo inválido é 5.3.2600.2180.

24.07.2010 16:39:35, Informações: Windows File Protection [64002] - Tentativa de substituição do arquivo no arquivo do sistema protegido lbrtfdc.sys. Esse arquivo foi restaurado para a versão original para manter a estabilidade do sistema. A versão do arquivo inválido é 5.10.1.0.

24.07.2010 16:39:27, Informações: Windows File Protection [64002] - Tentativa de substituição do arquivo no arquivo do sistema protegido c:\windows\system32\drivers\ipfltdrv.sys. Esse arquivo foi restaurado para a versão original para manter a estabilidade do sistema. A versão do arquivo inválido é 5.1.2600.0.

24.07.2010 16:39:20, Informações: Windows File Protection [64002] - Tentativa de substituição do arquivo no arquivo do sistema protegido imapi.sys. Esse arquivo foi restaurado para a versão original para manter a estabilidade do sistema. A versão do arquivo inválido é 5.1.2600.2180.

24.07.2010 16:39:15, Informações: Windows File Protection [64002] - Tentativa de substituição do arquivo no arquivo do sistema protegido i2omgmt.sys. Esse arquivo foi restaurado para a versão original para manter a estabilidade do sistema. A versão do arquivo inválido é 5.1.2600.2180.

24.07.2010 16:39:15, Informações: Windows File Protection [64002] - Tentativa de substituição do arquivo no arquivo do sistema protegido c:\windows\system32\drivers\ip6fw.sys. Esse arquivo foi restaurado para a versão original para manter a estabilidade do sistema. A versão do arquivo inválido é 5.1.2600.2180.

24.07.2010 16:39:05, Informações: Windows File Protection [64002] - Tentativa de substituição do arquivo no arquivo do sistema protegido c:\windows\system32\drivers\e100b325.sys. Esse arquivo foi restaurado para a versão original para manter a estabilidade do sistema. A versão do arquivo inválido é 6.0.52.0.

24.07.2010 16:38:59, Informações: Windows File Protection [64002] - Tentativa de substituição do arquivo no arquivo do sistema protegido drmkaud.sys. Esse arquivo foi restaurado para a versão original para manter a estabilidade do sistema. A versão do arquivo inválido é 5.1.2600.2180.

24.07.2010 16:38:51, Informações: Windows File Protection [64002] - Tentativa de substituição do arquivo no arquivo do sistema protegido changer.sys. Esse arquivo foi restaurado para a versão original para manter a estabilidade do sistema. A versão do arquivo inválido é 5.1.2600.2180.

 

==== End Of File ===========================

 

 

 

 

 

 

 

 

DDS (Ver_10-03-17.01) - NTFSx86

Run by Usu rio at 19:00:53,40 on 24.07.2010

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.623.197 [GMT -3:00]

 

AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

 

============== Running Processes ===============

 

C:\WINDOWS\system32\svchost -k DcomLaunch

C:\WINDOWS\system32\svchost -k rpcss

C:\WINDOWS\System32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k NetworkService

C:\WINDOWS\system32\svchost.exe -k LocalService

C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\wbsecsvc.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Arquivos de programas\Spyware Doctor\pctsTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\ARQUIV~1\MICROP~1\DELTAT~1.0\DWinTrsl.exe

C:\ARQUIV~1\ALWILS~1\Avast5\avastUI.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

C:\WINDOWS\System32\svchost.exe -k HTTPFilter

C:\NitroPC\NitroPC.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\3M\PSNLite\PsnLite.exe

C:\ARQUIV~1\3M\PSNLite\PSNGive.exe

svchost

C:\Arquivos de programas\TheWorld 3\theworld.exe

C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AcroRd32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Downloads\dds.scr

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

============== Pseudo HJT Report ===============

 

uStart Page = hxxp://www.g1.com.br/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = local

BHO: {02478D38-C3F9-4efb-9B51-7695ECA05670} - No File

BHO: Facilitador de Leitor de Link Adobe PDF: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\arquivos de programas\arquivos comuns\adobe\acrobat\activex\AcroIEHelper.dll

BHO: RealPlayer Download and Record Plugin for Internet Explorer: {3049c3e9-b461-4bc5-8870-4c09146192ca} - c:\documents and settings\all users\dados de aplicativos\real\realplayer\browserrecordplugin\ie\rpbrowserrecordplugin.dll

BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File

BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\arquivos de programas\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - No File

TB: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File

TB: {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No File

EB: &Pesquisar: {ff059e31-cc5a-4e2e-bf3b-96e929d65503} - c:\arquiv~1\micros~2\office11\REFIEBAR.DLL

uRun: [NitroPC] "c:\nitropc\NitroPC.exe" -minimized

uRun: [MSMSGS] "c:\arquivos de programas\messenger\msmsgs.exe" /background

uRun: [MsnMsgr] "c:\arquivos de programas\windows live\messenger\msnmsgr.exe" /background

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

mRun: [WindowsTranslator] c:\arquiv~1\microp~1\deltat~1.0\DWinTrsl.exe

mRun: [avast5] c:\arquiv~1\alwils~1\avast5\avastUI.exe /nogui

mRun: [iSTray] "c:\arquivos de programas\spyware doctor\pctsTray.exe"

mRun: [TkBellExe] "c:\arquivos de programas\arquivos comuns\real\update_ob\realsched.exe" -osboot

mRun: [sunJavaUpdateSched] "c:\arquivos de programas\arquivos comuns\java\java update\jusched.exe"

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\documents and settings\usuário\menu iniciar\programas\inicializar\srvklw32.exe

StartupFolder: c:\docume~1\alluse~1\menuin~1\progra~1\inicia~1\post-i~1.lnk - c:\arquivos de programas\3m\psnlite\PsnLite.exe

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\micros~2\office11\EXCEL.EXE/3000

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\micros~2\office11\REFIEBAR.DLL

DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab

DPF: {233C1507-6A77-46A4-9443-F871F945D258} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

DPF: {33564D57-0000-0010-8000-00AA00389B71} - hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - hxxp://www.eset.eu/buxus/docs/OnlineScanner.cab

DPF: {5D6F45B3-9043-443D-A792-115447494D24} - hxxp://messenger.zone.msn.com/MessengerGamesContent/GameContent/pt/uno1/GAME_UNO1.cab

DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232812442942

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} - hxxp://support.f-secure.com/ols/fscax.cab

DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} - hxxp://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

 

============= SERVICES / DRIVERS ===============

 

R0 ALiAGP;ALi AGP Bus Filter Driver;c:\windows\system32\drivers\ALiAGP.SYS [2008-11-21 30894]

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2009-5-22 130936]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-2-19 165456]

R1 wbsecdrv;wbsecdrv Protocol Driver;c:\windows\system32\drivers\wbsecdrv.sys [2009-1-6 17952]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-2-19 17744]

R2 avast! Antivirus;avast! Antivirus;c:\arquivos de programas\alwil software\avast5\AvastSvc.exe [2010-2-19 40384]

R2 sdAuxService;PC Tools Auxiliary Service;c:\arquivos de programas\spyware doctor\pctsAuxs.exe [2009-1-29 348752]

R2 sdCoreService;PC Tools Security Service;c:\arquivos de programas\spyware doctor\pctsSvc.exe [2009-1-29 1095560]

R2 wbsecsvc;wbsecsvc;c:\windows\system32\wbsecsvc.exe [2009-1-6 274432]

R3 tridxp;tridxp;c:\windows\system32\drivers\tridxpm.sys [2008-11-21 221824]

S3 129a0b86-7e2e-42f8-b990-8d87912b54f1;129a0b86-7e2e-42f8-b990-8d87912b54f1;\??\d:\player\cds300.dll --> d:\player\cds300.dll [?]

S3 avast! Mail Scanner;avast! Mail Scanner;c:\arquivos de programas\alwil software\avast5\AvastSvc.exe [2010-2-19 40384]

S3 avast! Web Scanner;avast! Web Scanner;c:\arquivos de programas\alwil software\avast5\AvastSvc.exe [2010-2-19 40384]

S3 GNCT511;Genius VideoCAM NB;c:\windows\system32\drivers\gnct511.sys [2010-7-24 229376]

UnknownUnknown W35UND;W35UND; [x]

 

=============== Created Last 30 ================

 

2010-07-24 19:39:23 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys

2010-07-24 19:39:23 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys

2010-07-24 19:39:18 41856 ----a-w- c:\windows\system32\drivers\OLD41E.tmp

2010-07-24 19:39:03 8192 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys

2010-07-24 19:39:03 8192 ----a-w- c:\windows\system32\drivers\i2omgmt.sys

2010-07-24 19:38:36 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys

2010-07-24 19:38:36 8192 ----a-w- c:\windows\system32\drivers\changer.sys

2010-07-24 19:36:23 4 ----a-w- c:\docume~1\usurio~1\dadosd~1\avdrn.dat

2010-07-24 17:03:55 0 d-----w- c:\windows\Album

2010-07-24 17:03:54 61440 ----a-w- c:\windows\system32\dgnct511.dll

2010-07-24 17:03:54 36864 ----a-w- c:\windows\system32\vgnct511.dll

2010-07-24 17:03:54 28672 ----a-w- c:\windows\vgnct511.exe

2010-07-24 17:03:54 28672 ----a-w- c:\windows\system32\dgnct511.ax

2010-07-24 17:03:54 28672 ----a-w- c:\windows\dgnct511.ax

2010-07-24 17:03:54 229376 ----a-w- c:\windows\system32\drivers\gnct511.sys

2010-07-24 17:03:54 20480 ----a-w- c:\windows\dgnct511.exe

2010-07-24 17:03:54 15542 ----a-w- c:\windows\gnct511.ini

2010-07-24 17:03:54 12847 ----a-w- c:\windows\gnct511.src

2010-07-24 17:03:54 120867 ----a-w- c:\windows\ugnct511.exe

2010-07-24 17:03:53 0 d-----w- c:\arquivos de programas\KYE

2010-07-23 05:28:23 0 d--h--r- c:\documents and settings\usuário\Recent

2010-07-23 04:49:55 0 d-----w- c:\arquivos de programas\TheWorld 3

2010-07-15 20:07:39 0 d-----w- c:\arquivos de programas\Readon Technology

2010-07-12 03:36:13 411368 ----a-w- c:\windows\system32\deployJava1.dll

2010-06-29 21:26:24 38848 ----a-w- c:\windows\avastSS.scr

 

==================== Find3M ====================

 

2010-07-24 06:10:13 7864320 ----a-w- c:\documents and settings\usuário\ntuser.dat

 

============= FINISH: 19:02:22,21 ===============

Compartilhar este post


Link para o post
Compartilhar em outros sites

*Mantenha seu antivírus desativado

 

*Baixe o ComboFix e salve-o no desktop

 

*Execute o Combofix e aceite o contrato

 

*Se o console de recuperação do Windows já estiver instalado, o ComboFix continuará o processo automaticamente. Caso contrário, clique em [sIM] para a sua instalação.

 

recovery-console-prompt.jpg

 

*Clique em [sIM] para continuar.

 

recovery-console-installed.jpg

 

*Aguarde a conclusão de todas as etapas

 

etapas.jpg

 

*Enquanto o ComboFix estiver em execução, evite usar o mouse e o teclado!!..... Para interromper o procedimento tecle N ou 2 e depois ENTER.

 

*O programa será fechado automaticamente e um relatório (C:\combofix.txt) será apresentado. Cole-o na próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

ComboFix 10-07-24.01 - Usuário 24.07.2010 19:40:56.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.623.247 [GMT -3:00]

Executando de: c:\downloads\ComboFix.exe

AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

 

(((((((((((((((( Arquivos/Ficheiros criados de 2010-06-24 to 2010-07-24 ))))))))))))))))))))))))))))

.

 

2010-07-24 19:39 . 2004-08-04 01:59 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys

2010-07-24 19:39 . 2004-08-04 01:59 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys

2010-07-24 19:39 . 2004-08-04 02:00 8192 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys

2010-07-24 19:39 . 2004-08-04 02:00 8192 ----a-w- c:\windows\system32\drivers\i2omgmt.sys

2010-07-24 19:38 . 2004-08-04 02:00 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys

2010-07-24 19:38 . 2004-08-04 02:00 8192 ----a-w- c:\windows\system32\drivers\changer.sys

2010-07-24 17:04 . 2010-07-24 19:39 -------- d-----w- c:\windows\LastGood

2010-07-24 17:03 . 2010-07-24 17:06 -------- d-----w- c:\windows\Album

2010-07-24 17:03 . 2002-11-15 14:00 36864 ----a-w- c:\windows\system32\vgnct511.dll

2010-07-24 17:03 . 2002-11-14 17:39 61440 ----a-w- c:\windows\system32\dgnct511.dll

2010-07-24 17:03 . 2002-11-14 17:30 229376 ----a-w- c:\windows\system32\drivers\gnct511.sys

2010-07-24 17:03 . 2002-10-22 17:09 28672 ----a-w- c:\windows\vgnct511.exe

2010-07-24 17:03 . 2002-10-22 17:08 20480 ----a-w- c:\windows\dgnct511.exe

2010-07-24 17:03 . 2002-10-22 15:53 120867 ----a-w- c:\windows\ugnct511.exe

2010-07-24 17:03 . 2010-07-24 17:03 -------- d-----w- c:\arquivos de programas\KYE

2010-07-23 04:49 . 2010-07-24 19:53 -------- d-----w- c:\arquivos de programas\TheWorld 3

2010-07-15 20:07 . 2010-07-15 20:07 -------- d-----w- c:\arquivos de programas\Readon Technology

2010-07-12 03:37 . 2010-07-12 03:37 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Java

2010-07-12 03:36 . 2010-04-12 20:29 411368 ----a-w- c:\windows\system32\deployJava1.dll

2010-06-29 21:26 . 2010-06-28 20:57 38848 ----a-w- c:\windows\avastSS.scr

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-07-24 21:27 . 2009-01-29 19:35 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\TEMP

2010-07-24 19:36 . 2010-07-24 19:36 16 ----a-w- c:\windows\system32\config\systemprofile\Dados de aplicativos\hwzypv.dat

2010-07-24 17:03 . 2008-11-21 12:30 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2010-07-12 19:59 . 2009-06-17 21:15 -------- d-----w- c:\arquivos de programas\Opera

2010-07-12 03:36 . 2008-11-21 12:10 -------- d-----w- c:\arquivos de programas\Java

2010-06-28 20:57 . 2010-02-20 01:00 165032 ----a-w- c:\windows\system32\aswBoot.exe

2010-06-28 20:37 . 2010-02-20 01:00 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2010-06-28 20:37 . 2010-02-20 01:00 165456 ----a-w- c:\windows\system32\drivers\aswSP.sys

2010-06-28 20:33 . 2010-02-20 01:00 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2010-06-28 20:32 . 2010-02-20 01:00 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2010-06-28 20:32 . 2010-02-20 01:00 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys

2010-06-28 20:32 . 2010-02-20 01:00 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2010-06-28 20:32 . 2010-02-20 01:00 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2010-06-18 17:09 . 2010-01-28 17:17 -------- d-----w- c:\arquivos de programas\Messenger Plus! Live

2010-06-03 16:09 . 2010-05-31 00:05 -------- d-----w- c:\arquivos de programas\ReadManiac

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NitroPC"="c:\nitropc\NitroPC.exe" [2009-07-11 3477504]

"MsnMsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WindowsTranslator"="c:\arquiv~1\MICROP~1\DELTAT~1.0\DWinTrsl.exe" [2003-06-26 407040]

"ISTray"="c:\arquivos de programas\Spyware Doctor\pctsTray.exe" [2008-12-08 1173384]

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2010-03-13 202256]

"SunJavaUpdateSched"="c:\arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe" [2010-02-18 248040]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

c:\documents and settings\Usu rio\Menu Iniciar\Programas\Inicializar\

srvklw32.exe [2004-8-4 26624]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Post-it© Software Notes Lite.lnk - c:\arquivos de programas\3M\PSNLite\PsnLite.exe [2004-10-15 2080768]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]

@=""

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]

@=""

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Speed Launch.lnk]

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Synchronizer.lnk]

backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^WinZip Quick Pick.lnk]

backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

2006-11-16 21:04 139264 ----a-w- c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2006-01-12 17:40 155648 ----a-w- c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

2010-03-13 18:08 202256 ----a-w- c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

2008-07-09 21:33 36352 ----a-w- c:\arquivos de programas\Winamp\winampa.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsTranslator]

2003-06-26 19:20 407040 ------w- c:\arquiv~1\MICROP~1\DELTAT~1.0\DWinTrsl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\HP1006MC.EXE"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Opera\\opera.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\TheWorld 3\\theworld.exe"=

 

R0 ALiAGP;ALi AGP Bus Filter Driver;c:\windows\system32\drivers\ALiAGP.SYS [21.11.2008 08:39 30894]

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [22.05.2009 14:45 130936]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [19.02.2010 22:00 165456]

R1 wbsecdrv;wbsecdrv Protocol Driver;c:\windows\system32\drivers\wbsecdrv.sys [06.01.2009 15:40 17952]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [19.02.2010 22:00 17744]

R2 sdAuxService;PC Tools Auxiliary Service;c:\arquivos de programas\Spyware Doctor\pctsAuxs.exe [29.01.2009 16:34 348752]

R2 wbsecsvc;wbsecsvc;c:\windows\system32\wbsecsvc.exe [06.01.2009 15:40 274432]

R3 tridxp;tridxp;c:\windows\system32\drivers\tridxpm.sys [21.11.2008 08:25 221824]

S3 129a0b86-7e2e-42f8-b990-8d87912b54f1;129a0b86-7e2e-42f8-b990-8d87912b54f1;\??\d:\player\cds300.dll --> d:\player\cds300.dll [?]

S3 GNCT511;Genius VideoCAM NB;c:\windows\system32\drivers\gnct511.sys [24.07.2010 14:03 229376]

 

--- =Outros Serviços/Drivers Na Memória ---

 

*NewlyCreated* - MBAMSWISSARMY

*NewlyCreated* - NWLNKFWD

*Deregistered* - MBAMSwissArmy

*Deregistered* - mchInjDrv

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2010-07-24 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-861567501-1606980848-1060284298-1003.job

- c:\arquivos de programas\Real\RealUpgrade\realupgrade.exe [2010-02-25 01:09]

 

2010-07-24 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-861567501-1606980848-1060284298-1003.job

- c:\arquivos de programas\Real\RealUpgrade\realupgrade.exe [2010-02-25 01:09]

 

2010-07-24 c:\windows\Tasks\User_Feed_Synchronization-{4FDE24A5-41BB-4C09-8173-6551769054EA}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 07:31]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.g1.com.br/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = local

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-07-24 19:59

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'explorer.exe'(2928)

c:\windows\system32\msi.dll

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

.

Tempo para conclusão: 2010-07-24 20:05:57

ComboFix-quarantined-files.txt 2010-07-24 23:05

ComboFix2.txt 2010-02-20 21:47

 

Pré-execução: 23 pasta(s) 25.480.359.936 bytes disponíveis

Pós execução: 24 pasta(s) 25.642.090.496 bytes disponíveis

 

- - End Of File - - BF3A34D11776743E45E92F9CDD3EA074

Compartilhar este post


Link para o post
Compartilhar em outros sites

1.

*Execute o hijack, clique em [Do a system scan only], selecione a entrada abaixo e clique em [Fix checked]

 

O4 - Startup: srvklw32.exe

*Feche o hijack

 

2.

*Abra o bloco de notas e cole nele todo o conteúdo do código abaixo:

 

File::

c:\windows\system32\config\systemprofile\Dados de aplicativos\hwzypv.dat

c:\documents and settings\Usu rio\Menu Iniciar\Programas\Inicializar\srvklw32.exe

Driver::

mchInjDrv

*Salve o arquivo no desktop como CFScript.txt

*Arraste o arquivo para o Combofix conforme ilustração abaixo:

 

CFScript.gif

 

*Importante: enquanto o combofix estiver em execução, evite usar o mouse e o teclado!!..para interromper o processo tecle N ou 2.

 

*Cole o relatório criado em C:\combofix.txt e novo log do hijack

Compartilhar este post


Link para o post
Compartilhar em outros sites

ComboFix 10-07-24.01 - Usuário 24.07.2010 21:01:56.2.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.623.277 [GMT -3:00]

Executando de: c:\downloads\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Usuário\Desktop\CFScript.txt

AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

 

FILE ::

"c:\documents and settings\Usu rio\Menu Iniciar\Programas\Inicializar\srvklw32.exe"

"c:\windows\system32\config\systemprofile\Dados de aplicativos\hwzypv.dat"

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\config\systemprofile\Dados de aplicativos\hwzypv.dat

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_MCHINJDRV

 

 

(((((((((((((((( Arquivos/Ficheiros criados de 2010-06-25 to 2010-07-25 ))))))))))))))))))))))))))))

.

 

2010-07-24 19:39 . 2004-08-04 01:59 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys

2010-07-24 19:39 . 2004-08-04 01:59 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys

2010-07-24 19:39 . 2004-08-04 02:00 8192 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys

2010-07-24 19:39 . 2004-08-04 02:00 8192 ----a-w- c:\windows\system32\drivers\i2omgmt.sys

2010-07-24 19:38 . 2004-08-04 02:00 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys

2010-07-24 19:38 . 2004-08-04 02:00 8192 ----a-w- c:\windows\system32\drivers\changer.sys

2010-07-24 17:04 . 2010-07-24 19:39 -------- d-----w- c:\windows\LastGood.Tmp

2010-07-24 17:03 . 2010-07-24 17:06 -------- d-----w- c:\windows\Album

2010-07-24 17:03 . 2002-11-15 14:00 36864 ----a-w- c:\windows\system32\vgnct511.dll

2010-07-24 17:03 . 2002-11-14 17:39 61440 ----a-w- c:\windows\system32\dgnct511.dll

2010-07-24 17:03 . 2002-11-14 17:30 229376 ----a-w- c:\windows\system32\drivers\gnct511.sys

2010-07-24 17:03 . 2002-10-22 17:09 28672 ----a-w- c:\windows\vgnct511.exe

2010-07-24 17:03 . 2002-10-22 17:08 20480 ----a-w- c:\windows\dgnct511.exe

2010-07-24 17:03 . 2002-10-22 15:53 120867 ----a-w- c:\windows\ugnct511.exe

2010-07-24 17:03 . 2010-07-24 17:03 -------- d-----w- c:\arquivos de programas\KYE

2010-07-23 04:49 . 2010-07-25 00:19 -------- d-----w- c:\arquivos de programas\TheWorld 3

2010-07-15 20:07 . 2010-07-15 20:07 -------- d-----w- c:\arquivos de programas\Readon Technology

2010-07-12 03:37 . 2010-07-12 03:37 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Java

2010-07-12 03:36 . 2010-04-12 20:29 411368 ----a-w- c:\windows\system32\deployJava1.dll

2010-06-29 21:26 . 2010-06-28 20:57 38848 ----a-w- c:\windows\avastSS.scr

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-07-25 00:21 . 2009-01-29 19:35 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\TEMP

2010-07-24 17:03 . 2008-11-21 12:30 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2010-07-12 19:59 . 2009-06-17 21:15 -------- d-----w- c:\arquivos de programas\Opera

2010-07-12 03:36 . 2008-11-21 12:10 -------- d-----w- c:\arquivos de programas\Java

2010-06-28 20:57 . 2010-02-20 01:00 165032 ----a-w- c:\windows\system32\aswBoot.exe

2010-06-28 20:37 . 2010-02-20 01:00 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2010-06-28 20:37 . 2010-02-20 01:00 165456 ----a-w- c:\windows\system32\drivers\aswSP.sys

2010-06-28 20:33 . 2010-02-20 01:00 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2010-06-28 20:32 . 2010-02-20 01:00 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2010-06-28 20:32 . 2010-02-20 01:00 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys

2010-06-28 20:32 . 2010-02-20 01:00 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2010-06-28 20:32 . 2010-02-20 01:00 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2010-06-18 17:09 . 2010-01-28 17:17 -------- d-----w- c:\arquivos de programas\Messenger Plus! Live

2010-06-03 16:09 . 2010-05-31 00:05 -------- d-----w- c:\arquivos de programas\ReadManiac

.

 

((((((((((((((((((((((((((((( SnapShot@2010-07-24_22.59.21 )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-07-25 00:22 . 2010-07-25 00:22 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2010-07-24 19:37 . 2010-07-24 19:37 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2008-11-19 21:15 . 2010-07-25 00:22 32768 c:\windows\system32\config\systemprofile\Configurações locais\Temporary Internet Files\Content.IE5\index.dat

- 2008-11-19 21:15 . 2010-07-24 19:37 32768 c:\windows\system32\config\systemprofile\Configurações locais\Temporary Internet Files\Content.IE5\index.dat

+ 2008-11-19 21:15 . 2010-07-25 00:22 32768 c:\windows\system32\config\systemprofile\Configurações locais\Histórico\History.IE5\index.dat

- 2008-11-19 21:15 . 2010-07-24 19:37 32768 c:\windows\system32\config\systemprofile\Configurações locais\Histórico\History.IE5\index.dat

+ 2010-07-24 19:39 . 2004-08-04 02:00 41856 c:\windows\LastGood.Tmp\system32\drivers\imapi.sys

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NitroPC"="c:\nitropc\NitroPC.exe" [2009-07-11 3477504]

"MsnMsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WindowsTranslator"="c:\arquiv~1\MICROP~1\DELTAT~1.0\DWinTrsl.exe" [2003-06-26 407040]

"ISTray"="c:\arquivos de programas\Spyware Doctor\pctsTray.exe" [2008-12-08 1173384]

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2010-03-13 202256]

"SunJavaUpdateSched"="c:\arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe" [2010-02-18 248040]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

c:\documents and settings\Usu rio\Menu Iniciar\Programas\Inicializar\

srvklw32.exe [2004-8-4 26624]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Post-it© Software Notes Lite.lnk - c:\arquivos de programas\3M\PSNLite\PsnLite.exe [2004-10-15 2080768]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]

@=""

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]

@=""

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Speed Launch.lnk]

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Synchronizer.lnk]

backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^WinZip Quick Pick.lnk]

backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

2006-11-16 21:04 139264 ----a-w- c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2006-01-12 17:40 155648 ----a-w- c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

2010-03-13 18:08 202256 ----a-w- c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

2008-07-09 21:33 36352 ----a-w- c:\arquivos de programas\Winamp\winampa.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsTranslator]

2003-06-26 19:20 407040 ------w- c:\arquiv~1\MICROP~1\DELTAT~1.0\DWinTrsl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\HP1006MC.EXE"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Opera\\opera.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\TheWorld 3\\theworld.exe"=

 

R0 ALiAGP;ALi AGP Bus Filter Driver;c:\windows\system32\drivers\ALiAGP.SYS [21.11.2008 08:39 30894]

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [22.05.2009 14:45 130936]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [19.02.2010 22:00 165456]

R1 wbsecdrv;wbsecdrv Protocol Driver;c:\windows\system32\drivers\wbsecdrv.sys [06.01.2009 15:40 17952]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [19.02.2010 22:00 17744]

R2 sdAuxService;PC Tools Auxiliary Service;c:\arquivos de programas\Spyware Doctor\pctsAuxs.exe [29.01.2009 16:34 348752]

R2 wbsecsvc;wbsecsvc;c:\windows\system32\wbsecsvc.exe [06.01.2009 15:40 274432]

R3 tridxp;tridxp;c:\windows\system32\drivers\tridxpm.sys [21.11.2008 08:25 221824]

S3 129a0b86-7e2e-42f8-b990-8d87912b54f1;129a0b86-7e2e-42f8-b990-8d87912b54f1;\??\d:\player\cds300.dll --> d:\player\cds300.dll [?]

S3 GNCT511;Genius VideoCAM NB;c:\windows\system32\drivers\gnct511.sys [24.07.2010 14:03 229376]

 

--- =Outros Serviços/Drivers Na Memória ---

 

*NewlyCreated* - I2OMGMT

*NewlyCreated* - MCHINJDRV

*Deregistered* - mchInjDrv

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2010-07-24 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-861567501-1606980848-1060284298-1003.job

- c:\arquivos de programas\Real\RealUpgrade\realupgrade.exe [2010-02-25 01:09]

 

2010-07-24 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-861567501-1606980848-1060284298-1003.job

- c:\arquivos de programas\Real\RealUpgrade\realupgrade.exe [2010-02-25 01:09]

 

2010-07-25 c:\windows\Tasks\User_Feed_Synchronization-{4FDE24A5-41BB-4C09-8173-6551769054EA}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 07:31]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.g1.com.br/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = local

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-07-24 21:28

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'explorer.exe'(2852)

c:\windows\system32\ieframe.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquiv~1\3M\PSNLite\PSNGive.exe

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\arquivos de programas\Spyware Doctor\pctsSvc.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Tempo para conclusão: 2010-07-24 21:30:52 - Máquina reiniciou

ComboFix-quarantined-files.txt 2010-07-25 00:30

ComboFix2.txt 2010-07-24 23:06

ComboFix3.txt 2010-02-20 21:47

 

Pré-execução: 23 pasta(s) 25.645.965.312 bytes disponíveis

Pós execução: 24 pasta(s) 25.571.221.504 bytes disponíveis

 

- - End Of File - - 67F36937EE9AD0D7E6EC9D7C075A027E

 

 

 

 

 

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:32:56, on 24.07.2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\MICROP~1\DELTAT~1.0\DWinTrsl.exe

C:\Arquivos de programas\Spyware Doctor\pctsTray.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

C:\NitroPC\NitroPC.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\3M\PSNLite\PsnLite.exe

C:\ARQUIV~1\3M\PSNLite\PSNGive.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\wbsecsvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Opera\opera.exe

C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

C:\Arquivos de programas\Alwil Software\Avast5\setup\avast.setup

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Documents and Settings\Usuário\Desktop\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.g1.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dados de aplicativos\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [WindowsTranslator] C:\ARQUIV~1\MICROP~1\DELTAT~1.0\DWinTrsl.exe

O4 - HKLM\..\Run: [iSTray] "C:\Arquivos de programas\Spyware Doctor\pctsTray.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"

O4 - HKCU\..\Run: [NitroPC] "C:\NitroPC\NitroPC.exe" -minimized

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: srvklw32.exe

O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Arquivos de programas\3M\PSNLite\PsnLite.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/pt/uno1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232812442942

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O23 - Service: avast! Antivirus - AVAST Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - AVAST Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - AVAST Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe

 

--

End of file - 6715 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

Você fixou a entrada que eu solicitei?

 

*Reinicie o PC em Modo de Segurança: Pressione intermitentemente F8 ( em alguns PC's F5) durante a inicialização, e no menu de opções selecione Modo Seguro...aguarde.

 

*No Modo Seguro, execute o hijack, clique em [Do a system scan only], selecione a entrada abaixo e clique em [Fix checked]

O4 - Startup: srvklw32.exe

*Feche o hijack

 

*Reinicie o PC em Modo Normal

 

*Novo log do hijack

Compartilhar este post


Link para o post
Compartilhar em outros sites

Espero que esteja tudo certo

 

 

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:31:54, on 25.07.2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\MICROP~1\DELTAT~1.0\DWinTrsl.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

C:\NitroPC\NitroPC.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\3M\PSNLite\PsnLite.exe

C:\ARQUIV~1\3M\PSNLite\PSNGive.exe

C:\Documents and Settings\Usuário\Desktop\HiJackThis.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Spyware Doctor\pctsTray.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\wbsecsvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.g1.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Dados de aplicativos\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [WindowsTranslator] C:\ARQUIV~1\MICROP~1\DELTAT~1.0\DWinTrsl.exe

O4 - HKLM\..\Run: [iSTray] "C:\Arquivos de programas\Spyware Doctor\pctsTray.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"

O4 - HKCU\..\Run: [NitroPC] "C:\NitroPC\NitroPC.exe" -minimized

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Arquivos de programas\3M\PSNLite\PsnLite.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/pt/uno1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1232812442942

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O23 - Service: avast! Antivirus - AVAST Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - AVAST Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - AVAST Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe

 

--

End of file - 6698 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

1.

*Delete o DDS e seus relatórios.

 

2.

*Clique em [iniciar] > [Executar] > digite: Combofix /uninstall

*Clique [OK]

 

92674490.jpg

 

*Clique em [Executar]

*Aguarde até surgir a mensagem: "ComboFix está desinstalado"

*Clique [OK]

 

3.

*Baixe o MalwareBytes Anti-malware e salve-o no desktop

*Instale o programa

*Se alguma atualização existir, o download será automático. Aguarde...

*O programa será aberto automaticamente.

*Na aba [Verificação], selecione a opção [Verificação completa]

*Clique em [Verificar] e selecione as partições a serem examinadas (geralmente C:\ e D:\)

*Ao término do scan, poderá ser interrogado se deseja remover objetos da memória. Clique [sIM] > [OK] > [Mostrar Resultados]

*Clique em [Remover Selecionados]

*Um relatório (mbam-log-ano-mês-data.txt) será apresentado.

*Cole-o na sua próxima resposta

Compartilhar este post


Link para o post
Compartilhar em outros sites

Malwarebytes' Anti-Malware 1.33

Versão do banco de dados: 1705

Windows 5.1.2600 Service Pack 2

 

25.07.2010 03:18:35

mbam-log-2010-07-25 (03-18-35).txt

 

Tipo de Verificação: Completa (C:\|D:\|)

Objetos verificados: 94205

Tempo decorrido: 50 minute(s), 45 second(s)

 

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 0

Ítens do Registro infectados: 0

Pastas infectadas: 0

Arquivos infectados: 0

 

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

 

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

 

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

 

Valores do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Ítens do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Pastas infectadas:

(Nenhum ítem malicioso foi detectado)

 

Arquivos infectados:

(Nenhum ítem malicioso foi detectado)

Compartilhar este post


Link para o post
Compartilhar em outros sites

Banco de dados do Malwarebytes desatualizado. Por favor, execute o Malwarebytes e faça uma atualização.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Versão da Base de Dados: 4346

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702

 

25.07.2010 16:00:35

mbam-log-2010-07-25 (16-00-35).txt

 

Tipo de Verificação: Verificação Completa (C:\|D:\|)

Objetos escaneados: 172307

Tempo decorrido: 1 hora(s), 6 minuto(s), 37 segundo(s)

 

Processos de Memória Infectados: 0

Módulos de Memória Infectados: 0

Chaves de Registro Infectadas: 0

Valores de Registro Infectados: 0

Itens de Dados no Registro Infectados: 0

Pastas Infectadas: 0

Arquivos Infectados: 2

 

Processos de Memória Infectados:

(Não foram detectados ítens maliciosos)

 

Módulos de Memória Infectados:

(Não foram detectados ítens maliciosos)

 

Chaves de Registro Infectadas:

(Não foram detectados ítens maliciosos)

 

Valores de Registro Infectados:

(Não foram detectados ítens maliciosos)

 

Itens de Dados no Registro Infectados:

(Não foram detectados ítens maliciosos)

 

Pastas Infectadas:

(Não foram detectados ítens maliciosos)

 

Arquivos Infectados:

C:\Documents and Settings\Usuário\Desktop\backups\backup-20100725-012005-948-srvklw32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Documents and Settings\Usuário\Dados de aplicativos\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

Compartilhar este post


Link para o post
Compartilhar em outros sites

*Abra o programa Malwarebytes e na aba [Quarentena], selecione todos os resultados e clique em [Apagar tudo]

*Clique na aba [Logs], selecione o relatório e clique em [Apagar]

 

O PC está limpo....

 

 

Um abraço.

Compartilhar este post


Link para o post
Compartilhar em outros sites

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.