[Resolvido] &nbspTrojan abre janelas indesejadas

[bittencourt93 0]

Buenas,

 

Estou tendo um problema ao navegar em que abrem janelas não solicitadas no Firefox.

 

Segue o log do Hijack:

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 12:58:33, on 12/9/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Documents and Settings\Administrador\Bluebirds\BlueBirds.exe

C:\Arquivos de programas\a-squared Free\a2service.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Hijack This\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2284000

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

R3 - URLSearchHook: Softonic_Brasil Toolbar - {12fc3d37-2a42-4fe3-8489-81296878cba5} - C:\Arquivos de programas\Softonic_Brasil\tbSoft.dll

R3 - URLSearchHook: MAX BR Toolbar - {fe379c63-1156-4c8c-8dbb-f823d3ea4b37} - C:\Arquivos de programas\MAX_BR\tbMAX1.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Softonic_Brasil Toolbar - {12fc3d37-2a42-4fe3-8489-81296878cba5} - C:\Arquivos de programas\Softonic_Brasil\tbSoft.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O2 - BHO: MAX BR Toolbar - {fe379c63-1156-4c8c-8dbb-f823d3ea4b37} - C:\Arquivos de programas\MAX_BR\tbMAX1.dll

O3 - Toolbar: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Softonic_Brasil Toolbar - {12fc3d37-2a42-4fe3-8489-81296878cba5} - C:\Arquivos de programas\Softonic_Brasil\tbSoft.dll

O3 - Toolbar: MAX BR Toolbar - {fe379c63-1156-4c8c-8dbb-f823d3ea4b37} - C:\Arquivos de programas\MAX_BR\tbMAX1.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [ulead AutoDetector] C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bluebirds] C:\Documents and Settings\Administrador\Bluebirds\BlueBirds.exe

O4 - HKCU\..\Run: [YXE7DXCQ37] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Bgh.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-21-73586283-261478967-1801674531-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'postgres')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: setup_9.0.0.722_09.09.2010_16-24.lnk = C:\Documents and Settings\Administrador\Desktop\Virus Removal Tool\setup_9.0.0.722_09.09.2010_16-24\startup.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{B9A9D437-A678-41B1-ABE1-4C9D2795668E}: NameServer = 201.10.128.2 201.10.1.2

O20 - Winlogon Notify: cryptnet32 - cryptnet32.dll (file missing)

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Arquivos de programas\a-squared Free\a2service.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: PostgreSQL Server 8.4 (postgresql-8.4) - PostgreSQL Global Development Group - C:/Arquivos de programas/PostgreSQL/8.4/bin/pg_ctl.exe

 

--

End of file - 6185 bytes

 

Att.

 

 

Ah, eu tenho infos complementares.

 

Fiz um scan com o A2squared, segue o log:

 

a-squared Free - Versão 4.5

Última atualização N/A

 

Configurações da análise:

 

Scan type: deep

Objetos: Memória, Rastros, Cookies, C:\, D:\

Análise de arquivos: Ligado

Heurística: Desligado

Análise de ADS: Ligado

 

Início da análise: 11/9/2010 21:58:25

 

C:\Documents and Settings\Administrador\Cookies\administrador@advertising[1].txt detectado: Trace.TrackingCookie.advertising!A2

C:\Documents and Settings\Administrador\Cookies\administrador@doubleclick[2].txt detectado: Trace.TrackingCookie.doubleclick!A2

C:\Documents and Settings\Administrador\Cookies\administrador@fastclick[1].txt detectado: Trace.TrackingCookie.fastclick!A2

C:\Documents and Settings\Administrador\Cookies\administrador@tradedoubler[1].txt detectado: Trace.TrackingCookie.tradedoubler!A2

C:\Documents and Settings\Administrador\Cookies\administrador@zedo[1].txt detectado: Trace.TrackingCookie.zedo!A2

C:\Documents and Settings\Administrador\Meus documentos\Downloads\Dicionario.Eletronico.Houaiss.v3.0.rar/Keygen.exe detectado: Backdoor.Generic!IK

 

Analisado

 

Arquivos: 93474

Objetos: 726790

Cookies: 64

Processos: 32

 

Encontrado

 

Arquivos: 1

Objetos: 0

Cookies: 5

Processos: 0

Chaves do registro: 0

 

Fim da análise: 11/9/2010 22:18:25

Duração da análise: 0:20:00

 

C:\Documents and Settings\Administrador\Meus documentos\Downloads\Dicionario.Eletronico.Houaiss.v3.0.rar/Keygen.exe Em quarentena Backdoor.Generic!IK

C:\Documents and Settings\Administrador\Cookies\administrador@zedo[1].txt Em quarentena Trace.TrackingCookie.zedo!A2

C:\Documents and Settings\Administrador\Cookies\administrador@tradedoubler[1].txt Em quarentena Trace.TrackingCookie.tradedoubler!A2

C:\Documents and Settings\Administrador\Cookies\administrador@fastclick[1].txt Em quarentena Trace.TrackingCookie.fastclick!A2

C:\Documents and Settings\Administrador\Cookies\administrador@doubleclick[2].txt Em quarentena Trace.TrackingCookie.doubleclick!A2

C:\Documents and Settings\Administrador\Cookies\administrador@advertising[1].txt Em quarentena Trace.TrackingCookie.advertising!A2

 

Em quarentena

 

Arquivos: 1

Objetos: 0

Cookies: 5

 

 

 

E o scan posterior:

 

a-squared Free - Versão 4.5

Última atualização N/A

 

Configurações da análise:

 

Scan type: deep

Objetos: Memória, Rastros, Cookies, C:\, D:\

Análise de arquivos: Ligado

Heurística: Desligado

Análise de ADS: Ligado

 

Início da análise: 11/9/2010 23:41:26

 

 

Analisado

 

Arquivos: 93601

Objetos: 726790

Cookies: 59

Processos: 32

 

Encontrado

 

Arquivos: 0

Objetos: 0

Cookies: 0

Processos: 0

Chaves do registro: 0

 

Fim da análise: 12/9/2010 00:00:54

Duração da análise: 0:19:28

[wings 22]

Boa noite....

 

1.

*Desative temporariamente seu antivírus

 

*Faça o download do LopUninstall e salve-o no desktop

*Execute-o.

*Digite os números e clique [uninstall]

 

2.

*Baixe o MalwareBytes Anti-malware e salve-o no desktop

 

*Instale o programa e aguarde a atualização

*O programa será aberto automaticamente

*Na aba [Verificação], selecione [Verificação completa]

*Clique [Verificar] e selecione as partições a serem examinadas (geralmente C:\ e D:\)

*Ao finalizar o scan, clique [sIM] > [OK] > [Mostrar Resultados]

*Clique [Remover Selecionados]

*Cole o relatório apresentado

[bittencourt93 0]

Prezado wings,

 

Segui os passos e segue o relatório do Malware Bytes

 

Malwarebytes' Anti-Malware 1.36

Versão do banco de dados: 1945

Windows 5.1.2600 Service Pack 3

 

12/9/2010 23:35:58

mbam-log-2010-09-12 (23-35-58).txt

 

Tipo de Verificação: Completa (C:\|D:\|)

Objetos verificados: 107453

Tempo decorrido: 9 minute(s), 9 second(s)

 

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 0

Ítens do Registro infectados: 0

Pastas infectadas: 0

Arquivos infectados: 1

 

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

 

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

 

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

 

Valores do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Ítens do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Pastas infectadas:

(Nenhum ítem malicioso foi detectado)

 

Arquivos infectados:

C:\WINDOWS\system32\drivers\84986611.sys (Rootkit.Agent.H) -> Quarantined and deleted successfully.

[wings 22]

1.

*Delete o arquivo uninstall salvo no desktop

 

2.

*Novo log do hijack

 

Informe sobre o problema se ainda persiste.

[bittencourt93 0]

Ok, o arquivo foi deletado.

 

Segue o log:

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 00:00:42, on 13/9/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Documents and Settings\Administrador\Bluebirds\BlueBirds.exe

C:\Arquivos de programas\a-squared Free\a2service.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jucheck.exe

C:\Hijack This\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2284000

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

R3 - URLSearchHook: Softonic_Brasil Toolbar - {12fc3d37-2a42-4fe3-8489-81296878cba5} - C:\Arquivos de programas\Softonic_Brasil\tbSoft.dll

R3 - URLSearchHook: MAX BR Toolbar - {fe379c63-1156-4c8c-8dbb-f823d3ea4b37} - C:\Arquivos de programas\MAX_BR\tbMAX1.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Softonic_Brasil Toolbar - {12fc3d37-2a42-4fe3-8489-81296878cba5} - C:\Arquivos de programas\Softonic_Brasil\tbSoft.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O2 - BHO: MAX BR Toolbar - {fe379c63-1156-4c8c-8dbb-f823d3ea4b37} - C:\Arquivos de programas\MAX_BR\tbMAX1.dll

O3 - Toolbar: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Softonic_Brasil Toolbar - {12fc3d37-2a42-4fe3-8489-81296878cba5} - C:\Arquivos de programas\Softonic_Brasil\tbSoft.dll

O3 - Toolbar: MAX BR Toolbar - {fe379c63-1156-4c8c-8dbb-f823d3ea4b37} - C:\Arquivos de programas\MAX_BR\tbMAX1.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [ulead AutoDetector] C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bluebirds] C:\Documents and Settings\Administrador\Bluebirds\BlueBirds.exe

O4 - HKCU\..\Run: [YXE7DXCQ37] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Bgh.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-21-73586283-261478967-1801674531-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'postgres')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{B9A9D437-A678-41B1-ABE1-4C9D2795668E}: NameServer = 201.10.128.3 201.10.1.3

O20 - Winlogon Notify: cryptnet32 - cryptnet32.dll (file missing)

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Arquivos de programas\a-squared Free\a2service.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: PostgreSQL Server 8.4 (postgresql-8.4) - PostgreSQL Global Development Group - C:/Arquivos de programas/PostgreSQL/8.4/bin/pg_ctl.exe

 

--

End of file - 6085 bytes

 

 

 

Em uma varredura prévia o Malware encontrou outro arquivo corrompido. devo me preocupar ou o Malware resolveu o problema?

 

Pelo o que você analisa no log meu pc está limpo? Há alguma outra medida que eu possa tomar afim de verificar se o pc realmente está limpo?

 

BTW, esse foi o log anterior que acusava um Trojan:

 

Malwarebytes' Anti-Malware 1.36

Versão do banco de dados: 1945

Windows 5.1.2600 Service Pack 3

 

11/9/2010 12:54:07

mbam-log-2010-09-11 (12-54-07).txt

 

Tipo de Verificação: Completa (C:\|D:\|)

Objetos verificados: 104210

Tempo decorrido: 8 minute(s), 52 second(s)

 

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 1

Valores do Registro infectados: 0

Ítens do Registro infectados: 0

Pastas infectadas: 0

Arquivos infectados: 0

 

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

 

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

 

Chaves do Registro infectadas:

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Valores do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Ítens do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Pastas infectadas:

(Nenhum ítem malicioso foi detectado)

 

Arquivos infectados:

(Nenhum ítem malicioso foi detectado)

 

 

 

 

Esse Trojan foi realmente deletado? Posso fazer uma varredura com aquele software do Kaspersky recomendado aqui no fórum em alguns casos?

[wings 22]

O log ainda não está limpo....

 

*Faça um scan online com o NOD32

 

 

*Ao término cole o relatório criado em C:\Arquivos de programas\EsetOnlineScanner\log

[bittencourt93 0]

Prezado wings,

 

Segue o assustador log:

 

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6211

# api_version=3.0.2

# EOSSerial=4ca034ea49932e41a46884bfa8104334

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2010-09-13 03:47:41

# local_time=2010-09-13 12:47:41 (-0300, Hora oficial do Brasil)

# country="Brazil"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=512 16777215 100 0 0 0 0 0

# compatibility_mode=768 16777215 100 0 0 0 0 0

# compatibility_mode=8192 67108863 100 0 0 0 0 0

# scanned=32316

# found=12

# cleaned=12

# scan_time=938

C:\Arquivos de programas\Mozilla Firefox\0.23584664102068953.exe Win32/TrojanDownloader.FakeAlert.BDR trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Documents and Settings\Administrador\Configurações locais\Temp\0.9405782394534649.exe a variant of Win32/TrojanDownloader.Small.OZK trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Documents and Settings\Administrador\Configurações locais\Temp\Bgf.exe a variant of Win32/Kryptik.GRH trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Documents and Settings\Administrador\Configurações locais\Temp\Bgg.exe a variant of Win32/Kryptik.GRH trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Documents and Settings\Administrador\Configurações locais\Temp\jar_cache1758728816366167280.tmp a variant of Java/Rowindal.A trojan (deleted - quarantined) 00000000000000000000000000000000 C

C:\Documents and Settings\Administrador\Configurações locais\Temp\_2F.tmp Win32/Lukicsel.P trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Documents and Settings\Administrador\Dados de aplicativos\Sun\Java\Deployment\cache\6.0\25\190d0419-59107242 a variant of Win32/TrojanDownloader.Small.OZK trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Documents and Settings\Administrador\Dados de aplicativos\Sun\Java\Deployment\cache\6.0\25\5d2c6219-43874fc6 multiple threats (deleted - quarantined) 00000000000000000000000000000000 C

C:\Documents and Settings\Administrador\Dados de aplicativos\Sun\Java\Deployment\cache\6.0\31\6b66cbdf-116ca0a2 probably a variant of Win32/Agent.BODRIGH trojan (deleted - quarantined) 00000000000000000000000000000000 C

C:\Documents and Settings\Administrador\Meus documentos\Downloads\Serial_c%c3%b3digo.de.registro.do.vdownloader.plus.45059.exe Win32/TrojanDownloader.FakeAlert.BBT trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\WINDOWS\system32\cryptnet32.dll Win32/Lukicsel.O trojan (cleaned by deleting (after the next restart) - quarantined) 00000000000000000000000000000000 C

C:\WINDOWS\system32\sshnas21.dll a variant of Win32/Kryptik.GRH trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

 

 

 

O q mais faço?

[wings 22]

1.

*Execute o arquivo:

*Execute o arquivo c:\Arquivos de programas\ESET\ESET Online Scanner\OnlineScannerUninstaller.exe

 

2.

*Desative temporariamente seu antivírus

 

 

*Baixe o ComboFix e salve-o no desktop

 

*Execute o Combofix e aceite o contrato

 

*Se o console de recuperação do Windows já estiver instalado, o ComboFix continuará o processo automaticamente. Caso contrário, clique [sIM] para instalar e depois [sIM] para continuar.

 

 

 

*Aguarde a conclusão de todas as etapas

 

 

*Evite usar o mouse e o teclado durante a execução do Combofix!!..... Para interromper o procedimento tecle [N] ou [2] e depois [ENTER]

 

*Ao finalizar, o relatório C:\combofix.txt será apresentado.

*Cole-o na próxima resposta.

 

*Se for reiniciar o PC haverá uma opção, na inicialização, chamada Console de Recuperação. Não entre no Windows através do mesmo desde que devidamente orientado(a)!

[bittencourt93 0]

wings, segue o log:

 

ComboFix 10-09-12.04 - Administrador 13/09/2010 14:58:14.1.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.3062.2586 [GMT -3:00]

Executando de: c:\documents and settings\Administrador\Desktop\ComboFix.exe

.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Administrador\Dados de aplicativos\inst.exe

c:\windows\pi.exe

c:\windows\system32\crt.dat

c:\windows\system32\shimg.dll

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_SSHNAS

 

 

(((((((((((((((( Arquivos/Ficheiros criados de 2010-08-13 to 2010-09-13 ))))))))))))))))))))))))))))

.

 

2010-09-12 15:57 . 2010-09-13 03:00 -------- d-----w- C:\Hijack This

2010-09-11 23:05 . 2010-09-12 01:18 -------- d-----w- c:\arquivos de programas\a-squared Free

2010-09-11 21:30 . 2010-09-11 21:30 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

2010-09-11 21:17 . 2010-09-11 23:01 75155528 ----a-w- c:\arquivos de programas\setup_9.0.0.722_09.09.2010_16-24.exe

2010-09-09 16:00 . 2010-09-09 16:00 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\VDownloader

2010-09-09 16:00 . 2010-09-09 16:00 -------- d-----w- c:\arquivos de programas\VDownloader

2010-09-07 03:15 . 2010-09-12 17:02 -------- d-----w- C:\SIERRA

2010-09-07 03:15 . 2010-09-07 03:15 -------- d-----w- c:\arquivos de programas\Sierra On-Line

2010-09-07 03:15 . 1998-03-05 14:34 231936 ------w- c:\windows\system32\SNWValid.dll

2010-09-07 03:15 . 1998-03-05 14:25 1022976 ------w- c:\windows\system32\SierraNW.dll

2010-09-07 03:14 . 1998-01-23 15:22 304128 ----a-w- c:\windows\IsUninst.exe

2010-09-07 03:14 . 2010-09-07 03:14 -------- d-----w- c:\documents and settings\Administrador\WINDOWS

2010-09-06 23:19 . 2010-09-06 23:19 164880 ---ha-w- c:\documents and settings\Administrador\Dados de aplicativos\Microsoft\Virtual PC\VPCKeyboard.dll

2010-09-06 23:18 . 2010-09-06 23:18 -------- d-----w- c:\arquivos de programas\Microsoft Virtual PC

2010-09-01 15:47 . 2010-09-01 15:47 8854 ----a-r- c:\documents and settings\Administrador\Dados de aplicativos\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\Uninstall_Project64__9559F7CA5E344237A2D9D856464AD727.exe

2010-09-01 15:47 . 2010-09-01 15:47 40960 ----a-r- c:\documents and settings\Administrador\Dados de aplicativos\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\NewShortcut1_9559F7CA5E344237A2D9D856464AD727.exe

2010-09-01 15:47 . 2010-09-01 15:47 40960 ----a-r- c:\documents and settings\Administrador\Dados de aplicativos\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\ARPPRODUCTICON.exe

2010-08-24 15:27 . 2010-08-24 20:50 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Ulead Systems

2010-08-24 15:23 . 2003-03-20 00:31 24576 ------w- c:\windows\system32\UleadPhotoExplorer8_Res.dll

2010-08-24 15:23 . 2002-11-01 17:28 24576 ------w- c:\windows\system32\Ulead Photo Explorer 8.scr

2010-08-24 15:23 . 2010-08-24 15:26 -------- d-----w- c:\arquivos de programas\Ulead Systems

2010-08-24 15:23 . 2010-08-24 15:23 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Ulead Systems

2010-08-24 15:19 . 2010-08-24 15:26 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Ulead Systems

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-11 16:05 . 2009-10-30 22:22 -------- d-----w- c:\arquivos de programas\Alwil Software

2010-09-09 17:34 . 2010-07-03 17:33 -------- d-----w- c:\arquivos de programas\Soulseek

2010-09-06 23:20 . 2001-09-28 12:00 80962 ----a-w- c:\windows\system32\perfc016.dat

2010-09-06 23:20 . 2001-09-28 12:00 474994 ----a-w- c:\windows\system32\perfh016.dat

2010-09-01 15:47 . 2010-06-24 21:01 -------- d-----w- c:\arquivos de programas\Project64 1.6

2010-08-24 15:26 . 2009-10-30 22:16 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2010-08-03 15:44 . 2010-08-03 15:44 503808 ----a-w- c:\documents and settings\Administrador\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1d0b223b-n\msvcp71.dll

2010-08-03 15:44 . 2010-08-03 15:44 499712 ----a-w- c:\documents and settings\Administrador\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1d0b223b-n\jmc.dll

2010-08-03 15:44 . 2010-08-03 15:44 348160 ----a-w- c:\documents and settings\Administrador\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1d0b223b-n\msvcr71.dll

2010-08-03 15:44 . 2010-08-03 15:44 61440 ----a-w- c:\documents and settings\Administrador\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-22ba905e-n\decora-sse.dll

2010-08-03 15:44 . 2010-08-03 15:44 12800 ----a-w- c:\documents and settings\Administrador\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-22ba905e-n\decora-d3d.dll

2010-07-31 00:53 . 2010-07-31 00:53 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\XHEO INC

2010-07-15 20:59 . 2010-07-15 20:37 -------- d-----w- c:\arquivos de programas\PSQLINSTALL

2010-07-15 20:57 . 2010-07-15 20:57 -------- d-----w- c:\arquivos de programas\MSBuild

2010-07-15 20:56 . 2010-07-15 20:56 -------- d-----w- c:\arquivos de programas\Reference Assemblies

2010-07-15 20:39 . 2010-07-15 20:39 68237 ----a-w- c:\arquivos de programas\hminstalllog.txt

2010-07-15 20:38 . 2010-07-15 20:38 -------- d-----w- c:\arquivos de programas\PostgreSQL

2010-07-15 20:37 . 2010-07-15 20:37 -------- d-----w- c:\arquivos de programas\RVG Software

2010-07-05 18:01 . 2010-07-05 18:01 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys

2010-07-05 18:01 . 2010-07-05 18:01 47360 ----a-w- c:\documents and settings\Administrador\Dados de aplicativos\pcouffin.sys

2010-07-05 18:01 . 2010-07-05 18:01 47360 ----a-w- c:\documents and settings\Administrador\Dados de aplicativos\pcouffin.sys

2010-07-03 12:15 . 2010-07-03 12:15 503808 ----a-w- c:\documents and settings\Administrador\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4cf35808-n\msvcp71.dll

2010-07-03 12:15 . 2010-07-03 12:15 499712 ----a-w- c:\documents and settings\Administrador\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4cf35808-n\jmc.dll

2010-07-03 12:15 . 2010-07-03 12:15 348160 ----a-w- c:\documents and settings\Administrador\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4cf35808-n\msvcr71.dll

2010-07-03 12:15 . 2010-07-03 12:15 61440 ----a-w- c:\documents and settings\Administrador\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-138133c1-n\decora-sse.dll

2010-07-03 12:15 . 2010-07-03 12:15 12800 ----a-w- c:\documents and settings\Administrador\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-138133c1-n\decora-d3d.dll

2010-07-03 01:18 . 2010-07-03 01:18 0 ----a-w- c:\windows\nsreg.dat

2010-07-03 00:11 . 2010-07-03 00:11 2605008 ----a-w- c:\documents and settings\Administrador\Dados de aplicativos\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe

2010-07-02 23:40 . 2010-07-02 23:40 411368 ----a-w- c:\windows\system32\deploytk.dll

.

 

------- Sigcheck -------

 

[-] 2009-02-13 . 1D01C384F3BA123EB6F09769DEA005AC . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{12fc3d37-2a42-4fe3-8489-81296878cba5}"= "c:\arquivos de programas\Softonic_Brasil\tbSoft.dll" [2010-03-17 2355224]

"{fe379c63-1156-4c8c-8dbb-f823d3ea4b37}"= "c:\arquivos de programas\MAX_BR\tbMAX1.dll" [2010-07-03 2515552]

 

[HKEY_CLASSES_ROOT\clsid\{12fc3d37-2a42-4fe3-8489-81296878cba5}]

 

[HKEY_CLASSES_ROOT\clsid\{fe379c63-1156-4c8c-8dbb-f823d3ea4b37}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{12fc3d37-2a42-4fe3-8489-81296878cba5}]

2010-03-17 18:45 2355224 ----a-w- c:\arquivos de programas\Softonic_Brasil\tbSoft.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{fe379c63-1156-4c8c-8dbb-f823d3ea4b37}]

2010-07-03 00:11 2515552 ----a-w- c:\arquivos de programas\MAX_BR\tbMAX1.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{12fc3d37-2a42-4fe3-8489-81296878cba5}"= "c:\arquivos de programas\Softonic_Brasil\tbSoft.dll" [2010-03-17 2355224]

"{fe379c63-1156-4c8c-8dbb-f823d3ea4b37}"= "c:\arquivos de programas\MAX_BR\tbMAX1.dll" [2010-07-03 2515552]

 

[HKEY_CLASSES_ROOT\clsid\{12fc3d37-2a42-4fe3-8489-81296878cba5}]

 

[HKEY_CLASSES_ROOT\clsid\{fe379c63-1156-4c8c-8dbb-f823d3ea4b37}]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{12FC3D37-2A42-4FE3-8489-81296878CBA5}"= "c:\arquivos de programas\Softonic_Brasil\tbSoft.dll" [2010-03-17 2355224]

"{FE379C63-1156-4C8C-8DBB-F823D3EA4B37}"= "c:\arquivos de programas\MAX_BR\tbMAX1.dll" [2010-07-03 2515552]

 

[HKEY_CLASSES_ROOT\clsid\{12fc3d37-2a42-4fe3-8489-81296878cba5}]

 

[HKEY_CLASSES_ROOT\clsid\{fe379c63-1156-4c8c-8dbb-f823d3ea4b37}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"bluebirds"="c:\documents and settings\Administrador\Bluebirds\BlueBirds.exe" [2009-04-29 270336]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]

"RTHDCPL"="RTHDCPL.EXE" [2008-10-09 17021440]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"SunJavaUpdateSched"="c:\arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe" [2010-01-11 246504]

"Ulead AutoDetector"="c:\arquivos de programas\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2003-03-20 45056]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:151836eb662a

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

 

R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [30/10/2009 19:14 13696]

R2 a2free;a-squared Free Service;c:\arquivos de programas\a-squared Free\a2service.exe [11/9/2010 20:05 1872320]

R2 postgresql-8.4;PostgreSQL Server 8.4;C:/Arquivos de programas/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N "postgresql-8.4" -D "C:/Arquivos de programas/PostgreSQL/8.4/data" -w --> C:/Arquivos de programas/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N postgresql-8.4 [?]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2284000

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\18jkvict.default\

FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

 

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - ORFÃOS REMOVIDOS - - - -

 

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-09-13 15:01

Windows 5.1.2600 Service Pack 3 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\postgresql-8.4]

"ImagePath"="C:/Arquivos de programas/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N \"postgresql-8.4\" -D \"C:/Arquivos de programas/PostgreSQL/8.4/data\" -w"

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\postgresql-8.4]

"ImagePath"="C:/Arquivos de programas/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N \"postgresql-8.4\" -D \"C:/Arquivos de programas/PostgreSQL/8.4/data\" -w"

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Cryptography\RNG*]

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,

bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\

.

------------------------ Outros Processos em Execução ------------------------

.

c:\windows\RTHDCPL.EXE

c:\windows\system32\igfxsrvc.exe

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\arquivos de programas\PostgreSQL\8.4\bin\pg_ctl.exe

c:\arquivos de programas\PostgreSQL\8.4\bin\postgres.exe

c:\arquivos de programas\PostgreSQL\8.4\bin\postgres.exe

c:\arquivos de programas\PostgreSQL\8.4\bin\postgres.exe

c:\arquivos de programas\PostgreSQL\8.4\bin\postgres.exe

c:\arquivos de programas\PostgreSQL\8.4\bin\postgres.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Tempo para conclusão: 2010-09-13 15:02:36 - Máquina reiniciou

ComboFix-quarantined-files.txt 2010-09-13 18:02

 

Pré-execução: 11 pasta(s) 497.367.986.176 bytes disponíveis

Pós execução: 13 pasta(s) 499.093.094.400 bytes disponíveis

 

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

- - End Of File - - 42AE962EB746652EDA9ED8E0914F0E89

[wings 22]

OK...o log está limpo.

 

1.

*Clique em [iniciar] > [Executar] > copie e cole: Combofix /uninstall

 

 

*Clique [OK] > [Executar]

*Aguarde surgir a mensagem: "ComboFix está desinstalado"

*Clique [OK]

 

2.

*Clique em [iniciar] > [Executar] > digite: msconfig

*Clique [OK]

*Na aba "BOOT.INI", selecione a linha:

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

 

 

*Clique [Verificar caminhos de inicialização] > [sIM] > [OK]

 

 

*Reinicie o PC

*Ao iniciar o Windows, clique em "Não mostrar esta mensagem ou iniciar o utilitário de configuração do sistema ao iniciar o Windows"

 

3.

*Baixe e instale o CCleaner

*Clique [Executar Limpeza]

*Clique [Registro] > [Procurar erros] > [Corrigir Erros Selecionados] > [Corrigir Todos os Erros Selecionados]

 

4.

*Baixe o MV RegClean e instale-o

*Execute o MV RegClean. Uma página da internet será aberta. Feche-a.

*Clique [iniciar] e aguarde

*Ao finalizar, clique [Remover] > [sim] > [OK]

*Feche o MV RegClean

 

 

Um abraço.

[bittencourt93 0]

Prezado wings,

 

Os passos foram seguidos como prescrito. Mais alguma coisa a fazer ou meu pc encontra-se 100% limpo?

 

Gostaria de agradecer pela ajuda e atenção e gostaria de retribuir ao fórum de alguma forma. Como posso fazer isso? Clicar em banners ou google ads gera revenue ao site?

 

Abraço.

[wings 22]

Prezado wings,

 

Os passos foram seguidos como prescrito. Mais alguma coisa a fazer ou meu pc encontra-se 100% limpo?

 

Gostaria de agradecer pela ajuda e atenção e gostaria de retribuir ao fórum de alguma forma. Como posso fazer isso? Clicar em banners ou google ads gera revenue ao site?

 

Abraço.

 

O PC está limpo.

 

Suas palavras de agradecimento já são suficientes.

 

Estamos aqui para ajudar.

 

Um abraço e boa sorte.

[wings 22]

PROBLEMA RESOLVIDO

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.