[Arquivado] &nbspAnálise de LOG doHijackThis

FreedomFSA · Setembro 18, 2010

Olá!

Segue o log gerado pelo HiJackThis.

[font="Arial"]Logfile of Trend Micro HijackThis v2.0.4Scan saved at 12:39:11, on 18/9/2010Platform: Windows XP SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v8.00 (8.00.6001.18702)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exeC:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\Explorer.EXEC:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exeC:\WINDOWS\system32\spoolsv.exeC:\Arquivos de programas\Netropa\Multimedia Keyboard\nhksrv.exeC:\Arquivos de programas\Symantec AntiVirus\DefWatch.exeC:\Arquivos de programas\LogMeIn Hamachi\hamachi-2.exeC:\Arquivos de programas\Java\jre6\bin\jqs.exeC:\Arquivos de programas\Analog Devices\Core\smax4pnp.exeC:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exeC:\WINDOWS\system32\nvsvc32.exeC:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exeC:\WINDOWS\system32\HPZipm12.exeC:\WINDOWS\VM303_STI.EXEC:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exeC:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exeC:\Arquivos de programas\Messenger\msmsgs.exeC:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exeC:\Arquivos de programas\Symantec AntiVirus\Rtvscan.exeC:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\rundll32.exeC:\WINDOWS\system32\ctfmon.exeC:\Arquivos de programas\Windows Live\Contacts\wlcomm.exeC:\Arquivos de programas\Winamp\winamp.exeC:\WINDOWS\system32\svchost.exeC:\Hijack\HiJackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBRR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBRR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBRR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1046O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dllO2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dllO2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dllO2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dllO2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dllO2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dllO2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dllO3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dllO3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Arquivos de programas\Orbitdownloader\GrabPro.dllO4 - HKLM\..\Run: [SoundMAXPnP] C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exeO4 - HKLM\..\Run: [SoundMAX] "C:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exe" /trayO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osbootO4 - HKLM\..\Run: [cftu] C:\WINDOWS\system32\cftu.exeO4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscriptO4 - HKLM\..\RunServices: [cftu] C:\WINDOWS\system32\cftu.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /backgroundO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKLM\..\Policies\Explorer\Run: [] O4 - HKLM\..\Policies\Explorer\Run: [cftu] C:\WINDOWS\system32\cftu.exeO8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.aspO16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cabO16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/pt/uno1/GAME_UNO1.cabO16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cabO16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{C96D40A8-18BF-4E8D-9769-374DEC533367}: NameServer = 208.67.222.222,208.67.220.220O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLLO22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dllO22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dllO23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exeO23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Arquivos de programas\Symantec AntiVirus\DefWatch.exeO23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Arquivos de programas\LogMeIn Hamachi\hamachi-2.exeO23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exeO23 - Service: LiveUpdate - Symantec Corporation - C:\ARQUIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXEO23 - Service: MBAMService - Malwarebytes Corporation - C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exeO23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Arquivos de programas\Netropa\Multimedia Keyboard\nhksrv.exeO23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exeO23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Arquivos de programas\WinPcap\rpcapd.exeO23 - Service: SAVRoam (SavRoam) - symantec - C:\Arquivos de programas\Symantec AntiVirus\SavRoam.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Arquivos de programas\Symantec AntiVirus\Rtvscan.exe--End of file - 10019 bytes[/font]

Também to com um problema aqui no PC...acho q pode ter sido causado por algum malware e talz..

O negoço é que meus arquivos em bloco de notas..do nda ficaram salvos em ".txt"... tipo assim: "XXXX.txt" ai abre normal, os que ja estavão no meu pc...mas quando eu crio 1 novo e salvo.. ele não salva nem em "txt" mais assim: ( LINK'>http://img40.imageshack.us/img40/9449/telacopy.jpg"]LINK )

A parada fica desse jeito..ai toda vez q eu tenho q abrir, eu tenho que abrir como e depois salvar em outro formato...

Esperto que tenha ficado claro o meu problema e tal :D

(:

Diogo R · Setembro 18, 2010

Olá FreedomFSA

1.

Baixe o Malwarebytes Anti-Malware

:veja: Inicie a instalação clicando em "mbam-setup.exe"...

:veja: Marque "Atualizar Malwarebytes Anti-Malware" e clique em concluir...

:veja: Execute o programa MalwareBytes Anti Malware...

:veja: Clique na aba: "Verificação", selecione a opção "Verificação completa"....

:veja: Clique então em "Verificar"...

:veja: Selecione tudo que deseja escanear.....

:veja: Clique então em "Verificar"....

:veja: Quando o scan terminar, clique em Ok e em "Mostrar Resultados" para ver o log...

:veja: Se algo for detectado, veja se tudo está marcado e clique em "Remover"....

:veja: Se perguntar se você deseja remover objetos da memória, clica em Sim...

:veja: O log é automaticamente gravado e pode ser consultado clicando em "Logs" do menu principal...

:veja: Copie e cole esse log aqui...

Aguardo seu poste...

T+

FreedomFSA · Setembro 19, 2010

Diogo R,

Segue abaixo uns logs gerado pelo MAM...

Eu to usando também o symantec AV 2003..ele detecto umas paradas ...mas já deletei eles...mas como ele não gera os logs não vai da pra posta ake (:

[font="Arial"]Malwarebytes' Anti-Malware 1.46www.malwarebytes.orgVersão da Base de Dados: 4645Windows 5.1.2600 Service Pack 3Internet Explorer 8.0.6001.1870218/9/2010 12:10:28mbam-log-2010-09-18 (12-10-28).txtTipo de Verificação: Verificação Instantânea Objetos escaneados: 104580Tempo decorrido: 2 minuto(s), 9 segundo(s)Processos de Memória Infectados: 2Módulos de Memória Infectados: 1Chaves de Registro Infectadas: 5Valores de Registro Infectados: 3Itens de Dados no Registro Infectados: 1Pastas Infectadas: 0Arquivos Infectados: 5Processos de Memória Infectados: C:\Documents and Settings\cauan\Configurações locais\Temp\Gx1.exe (Trojan.Downloader) -> Unloaded process successfully.C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> Unloaded process successfully.Módulos de Memória Infectados: C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.Chaves de Registro Infectadas:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.HKEY_CURRENT_USER\SOFTWARE\OTGV1DNWQQ (Trojan.FakeAlert) -> Quarantined and deleted successfully.HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Quarantined and deleted successfully.Valores de Registro Infectados:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ash24sxz9s (Trojan.Downloader) -> Quarantined and deleted successfully.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> Quarantined and deleted successfully.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\csrcs (Trojan.Agent) -> Quarantined and deleted successfully.Itens de Dados no Registro Infectados: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.Pastas Infectadas: (Não foram detectados ítens maliciosos)Arquivos Infectados:C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.C:\Documents and Settings\cauan\Configurações locais\Temp\Gx1.exe (Trojan.Downloader) -> Quarantined and deleted successfully.C:\WINDOWS\system32\csrcs.exe (Trojan.Agent) -> Quarantined and deleted successfully.C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.[/font]

Malwarebytes' Anti-Malware 1.46www.malwarebytes.orgVersão da Base de Dados: 4645Windows 5.1.2600 Service Pack 3Internet Explorer 8.0.6001.1870219/9/2010 00:25:22mbam-log-2010-09-19 (00-25-22).txtTipo de Verificação: Verificação Completa (C:\|D:\|)Objetos escaneados: 183245Tempo decorrido: 1 hora(s), 13 minuto(s), 14 segundo(s)Processos de Memória Infectados: 0Módulos de Memória Infectados: 1Chaves de Registro Infectadas: 1Valores de Registro Infectados: 0Itens de Dados no Registro Infectados: 0Pastas Infectadas: 0Arquivos Infectados: 5Processos de Memória Infectados: (Não foram detectados ítens maliciosos)Módulos de Memória Infectados: C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.Chaves de Registro Infectadas:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.Valores de Registro Infectados:(Não foram detectados ítens maliciosos)Itens de Dados no Registro Infectados: (Não foram detectados ítens maliciosos)Pastas Infectadas: (Não foram detectados ítens maliciosos)Arquivos Infectados:C:\Documents and Settings\cauan\Configurações locais\Temp\Gx0.exe (Trojan.Downloader) -> Quarantined and deleted successfully.C:\Documents and Settings\cauan\Configurações locais\Temp\Gxz.exe (Trojan.Downloader) -> Quarantined and deleted successfully.C:\WINDOWS\Gqatia.exe (Trojan.Downloader) -> Quarantined and deleted successfully.C:\WINDOWS\system32\yhel7o.exe (Trojan.Banker) -> Quarantined and deleted successfully.C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.

Espero que ajude ...

Fico no aguardo :D

Diogo R · Setembro 19, 2010

Olá.

Sua maquina esteve infectada por trojan banker, recomendo que você troque suas senhas de contas, emails e etc.

1.

:veja: Abra/execute o Malwarebytes Anti-Malware

:veja: Clique na aba Quarentena

:veja: Se haver algum malware lá, selecione todos e clique em Remover

:veja: Feche o programa...

2.

:veja: Faça o download do Bankerfix'>http://www.linhadefensiva.org/dl/bankerfix"]Bankerfix

:veja: Desative temporariamente seu AntiVírus...

:veja: Dê um duplo-clique no bankerfix.exe .....

:veja: Uma janela pedirá a confirmação da instalação, clique em Sim

:veja: Uma mensagem irá surgir, clique em OK para continuar.

:veja: Aguarde o processo de download/atualização de componentes...

:veja: Irá aparecer uma janela, clique em OK...

:veja: Uma janela irá aparecer, feche todos os programas, exceto o BankerFix...

:veja: Pressione qualquer tecla para iniciar a ferramenta...

:veja: Após o processo, uma mensagem de informação irá aparecer, se pedir para reiniciar, então reinicie o micro..

:veja: Depois da reinicialização (caso precise) o BankerFix se executará...então aguarde o aviso do termino da remoção...

:veja: Um log será gerado em C:\LinhaDefensiva\relatorio.txt

:veja: Abra o relatório, copie e cole o resultado contido aqui...

Aguardo seu poste...

T+

FreedomFSA · Setembro 20, 2010

Diogo R,

Ta ai o Log gerado pelo BankerFix....

BankerFix 3.1 VALKYRIE - Removedor de BankersLinha Defensiva | http://www.linhadefensiva.orghttp://www.linhadefensiva.org/bankerfix/-------------------------------------------------------Data: 2010-09-19 - 23:41-------------------------------------------------------Lista de Definição: 2010-08-03-1 | CORE: 2010-01-14-1=======================================================Arquivo infectado detectado: C:\Documents and Settings\cauan\Dados de aplicativos\avsdrvArquivo infectado removido com sucesso!----- Fim -------------------------

Cara...eu não digito senha aki no meu PC...pq ja ta tudo salva... então esse Trojan pega até as senha que ja estão salvas ou so as digitadas ?

E as unicas que eu digitei foram coisa de jogo que nem tanta importância e tal :D

Vlw!

FreedomFSA · Setembro 20, 2010

Up!

Hoje fiz 2x scan com o Malwarebytes anti-malware..

1 scan completo na makina e outro na memória...

Segue os LOGs:

Verificação Completa:

Malwarebytes' Anti-Malware 1.46www.malwarebytes.orgVersão da Base de Dados: 4657Windows 5.1.2600 Service Pack 3Internet Explorer 8.0.6001.1870220/9/2010 17:00:43mbam-log-2010-09-20 (17-00-43).txtTipo de Verificação: Verificação Completa (C:\|D:\|)Objetos escaneados: 183268Tempo decorrido: 1 hora(s), 5 minuto(s), 18 segundo(s)Processos de Memória Infectados: 0Módulos de Memória Infectados: 1Chaves de Registro Infectadas: 4Valores de Registro Infectados: 2Itens de Dados no Registro Infectados: 1Pastas Infectadas: 0Arquivos Infectados: 5Processos de Memória Infectados: (Não foram detectados ítens maliciosos)Módulos de Memória Infectados: c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.Chaves de Registro Infectadas:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.HKEY_CURRENT_USER\SOFTWARE\ASH24SXZ9S (Trojan.FakeAlert) -> Quarantined and deleted successfully.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Quarantined and deleted successfully.Valores de Registro Infectados:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> Quarantined and deleted successfully.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\csrcs (Trojan.Agent) -> Quarantined and deleted successfully.Itens de Dados no Registro Infectados: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> Not selected for removal.Pastas Infectadas: (Não foram detectados ítens maliciosos)Arquivos Infectados:c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.C:\Documents and Settings\cauan\Configurações locais\Temp\Gx0.exe (Trojan.Downloader) -> Quarantined and deleted successfully.C:\Documents and Settings\cauan\Configurações locais\Temp\Gx1.exe (Trojan.Downloader) -> Quarantined and deleted successfully.C:\Documents and Settings\cauan\Configurações locais\Temp\Gxz.exe (Trojan.Downloader) -> Quarantined and deleted successfully.C:\Documents and Settings\cauan\Configurações locais\Temporary Internet Files\Content.IE5\X5V47CT2\7AAF2E74508C0CFC5EEFD6E66A29[1] (Trojan.Fakealert.Gen) -> Quarantined and deleted successfully.

Malwarebytes' Anti-Malware 1.46www.malwarebytes.orgVersão da Base de Dados: 4657Windows 5.1.2600 Service Pack 3Internet Explorer 8.0.6001.1870220/9/2010 16:59:40mbam-log-2010-09-20 (16-59-40).txtTipo de Verificação: Verificação Completa (C:\|D:\|)Objetos escaneados: 183268Tempo decorrido: 1 hora(s), 5 minuto(s), 18 segundo(s)Processos de Memória Infectados: 0Módulos de Memória Infectados: 1Chaves de Registro Infectadas: 4Valores de Registro Infectados: 2Itens de Dados no Registro Infectados: 1Pastas Infectadas: 0Arquivos Infectados: 5Processos de Memória Infectados: (Não foram detectados ítens maliciosos)Módulos de Memória Infectados: c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> No action taken.Chaves de Registro Infectadas:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> No action taken.HKEY_CURRENT_USER\SOFTWARE\ASH24SXZ9S (Trojan.FakeAlert) -> No action taken.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.Valores de Registro Infectados:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\csrcs (Trojan.Agent) -> No action taken.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\csrcs (Trojan.Agent) -> No action taken.Itens de Dados no Registro Infectados: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> No action taken.Pastas Infectadas: (Não foram detectados ítens maliciosos)Arquivos Infectados:c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> No action taken.C:\Documents and Settings\cauan\Configurações locais\Temp\Gx0.exe (Trojan.Downloader) -> No action taken.C:\Documents and Settings\cauan\Configurações locais\Temp\Gx1.exe (Trojan.Downloader) -> No action taken.C:\Documents and Settings\cauan\Configurações locais\Temp\Gxz.exe (Trojan.Downloader) -> No action taken.C:\Documents and Settings\cauan\Configurações locais\Temporary Internet Files\Content.IE5\X5V47CT2\7AAF2E74508C0CFC5EEFD6E66A29[1] (Trojan.Fakealert.Gen) -> No action taken.

Scan Instantâneo:

Malwarebytes' Anti-Malware 1.46www.malwarebytes.orgVersão da Base de Dados: 4657Windows 5.1.2600 Service Pack 3Internet Explorer 8.0.6001.1870220/9/2010 17:03:23mbam-log-2010-09-20 (17-03-23).txtTipo de Verificação: Verificação Instantânea Objetos escaneados: 104836Tempo decorrido: 1 minuto(s), 47 segundo(s)Processos de Memória Infectados: 0Módulos de Memória Infectados: 1Chaves de Registro Infectadas: 0Valores de Registro Infectados: 0Itens de Dados no Registro Infectados: 1Pastas Infectadas: 0Arquivos Infectados: 1Processos de Memória Infectados: (Não foram detectados ítens maliciosos)Módulos de Memória Infectados: c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.Chaves de Registro Infectadas:(Não foram detectados ítens maliciosos)Valores de Registro Infectados:(Não foram detectados ítens maliciosos)Itens de Dados no Registro Infectados: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> Not selected for removal.Pastas Infectadas: (Não foram detectados ítens maliciosos)Arquivos Infectados:c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

OBS.: Em ambos os scans, ele acho o "Hijack.Shell", eu resolvi não excluir, por que pode ser o HiJackThis então deixei queto

Itens de Dados no Registro Infectados: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe csrcs.exe) Good: (Explorer.exe) -> Not selected for removal.

Não o que ta acontecendo aqui ...ta brotando vírus u.u

Eu acho que peguei esse tanto de malware com o pen drive de um brother meu...

Esperto que esses LOGs ajudem em algo :D

Desde já,Grato.

Diogo R · Setembro 21, 2010

Olá FreedomFSA

1.

:veja: Delete o arquivo Bankerfix.exe que você baixou e delete a pasta C:\LinhaDefensiva

2.

Senhas ja salvas ou digitas é um perigo que pode ser evitado, troque suas senhas (utilizando uma maquina limpa).

3.

Malwarebytes é um programa onde os falsos positivos são praticamente nulos. Era uma entra maliciosa que deveria ser removida.

Preste bastante atenção. Execute o malwarebytes, na aba "logs" do menu principal, delete TODOS os logs gerados pelo malwarebytes. Na aba quarentena remova TODOS os achados. Refaça o scan com o malwarebytes em verificação completa no disco c:\ (apenas). Importante após scan, selecione TODOS os achados, e clica em remover, se precisar de reiniciar que reinicie. Vá novamente em "logs" e poste o 1º log contido lá.

4.

Faça o download do ComboFix'>http://majorgeeks.com/downloadget.php?id=6402&file=1&evp=4d90f753bf109637fabd69481c775ab1"]ComboFix

:veja: Desative temporariamente o seu antivirus

:veja: Dê um duplo clique no ícone combofix.exe para iniciar o scaniamento...

:veja: Aceita o contrato para continuar....

:veja: Tecle 1 e logo após, tecle Enter...

:veja: Irá abrir uma janela do Console de Recuperação, clique em Sim, se aparecer outra janela, clique em OK, e depois em Sim...

:veja: Aguarde o ComboFix com seu scan...

:veja: Se ocorrer algum problema durante o scan, reinicie o micro em Modo de Segurança e faça novamente o processo...

:veja: Não utilize nem o mouse nem o teclado...se isso acontecer seu desktop ficará branco...

:veja: Caso queira sair ou cancelar o ComboFix, tecle N;

:veja: Quando terminar, o computador será reiniciado, após isso, a ferramenta executará novamente, então aguarde...

:veja: Será gerado um log em C:\ComboFix.txt ...

:veja: Cole este log em sua próxima resposta...

Aguardo seu poste...

T+

FreedomFSA · Setembro 22, 2010

Diogo R,

Ta ai os LOGs do Malwarebytes e do ComboFix

ComboFix 10-09-21.01 - cauan 21/09/2010 19:30:11.1.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.511.215 [GMT -3:00]

Executando de: c:\documents and settings\cauan\Desktop\ComboFix.exe

AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\arquivos de programas\Internet Explorer\SETF8.tmp

c:\arquivos de programas\Internet Explorer\SETFD.tmp

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\burnlib.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\dsp_sps.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\enc_aacplus.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\enc_flac.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\enc_flake.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\enc_lame.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\enc_vorbis.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\enc_wav.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\enc_wma.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\gen_crasher.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\gen_ff.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\gen_hotkeys.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\gen_jumpex.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\gen_ml.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\gen_timerestore.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\gen_tray.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\in_cdda.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\in_dshow.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\in_flac.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\in_flv.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\in_linein.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\in_midi.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\in_mod.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\in_mp3.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\in_mp4.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\in_nsv.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\in_swf.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\in_vorbis.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\in_wav.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\in_wave.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\in_wm.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\in_wv.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\ml_autotag.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\ml_bookmarks.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\ml_dash.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\ml_disc.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\ml_history.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\ml_impex.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\ml_local.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\ml_nowplaying.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\ml_online.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\ml_orb.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\ml_playlists.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\ml_plg.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\ml_pmp.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\ml_rg.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\ml_transcode.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\ml_wire.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\out_disk.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\out_ds.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\out_wave.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\playlist.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\pmp_activesync.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\pmp_ipod.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\pmp_njb.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\pmp_p4s.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\pmp_usb.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\tagz.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\vis_avs.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\vis_milk2.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\vis_nsfs.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\winamp.lng

c:\docume~1\cauan\CONFIG~1\Temp\WLZ9099.tmp\winampa.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\burnlib.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\dsp_sps.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\enc_aacplus.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\enc_flac.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\enc_flake.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\enc_lame.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\enc_vorbis.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\enc_wav.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\enc_wma.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\gen_crasher.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\gen_ff.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\gen_hotkeys.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\gen_jumpex.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\gen_ml.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\gen_timerestore.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\gen_tray.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\in_cdda.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\in_dshow.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\in_flac.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\in_flv.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\in_linein.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\in_midi.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\in_mod.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\in_mp3.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\in_mp4.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\in_nsv.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\in_swf.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\in_vorbis.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\in_wav.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\in_wave.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\in_wm.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\in_wv.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\ml_autotag.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\ml_bookmarks.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\ml_dash.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\ml_disc.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\ml_history.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\ml_impex.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\ml_local.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\ml_nowplaying.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\ml_online.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\ml_orb.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\ml_playlists.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\ml_plg.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\ml_pmp.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\ml_rg.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\ml_transcode.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\ml_wire.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\out_disk.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\out_ds.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\out_wave.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\playlist.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\pmp_activesync.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\pmp_ipod.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\pmp_njb.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\pmp_p4s.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\pmp_usb.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\tagz.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\vis_avs.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\vis_milk2.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\vis_nsfs.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\winamp.lng

c:\documents and settings\cauan\Configurações locais\Temp\WLZ9099.tmp\winampa.lng

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_AFPANSI

-------\Legacy_SSHNAS

(((((((((((((((( Arquivos/Ficheiros criados de 2010-08-21 to 2010-09-21 ))))))))))))))))))))))))))))

.

2010-09-16 15:13 . 2010-09-16 15:13 684544 ----a-w- c:\windows\system32\wey2ter.exe

2010-09-16 15:13 . 2010-09-16 15:13 656384 ----a-w- c:\windows\system32\rede9r.exe

2010-09-16 15:13 . 2010-09-16 15:13 68096 ----a-w- c:\windows\system32\hor5d.exe

2010-09-16 15:12 . 2010-09-16 15:13 1115136 ----a-w- c:\windows\system32\ble1nk.exe

2010-09-13 22:54 . 2010-09-13 22:54 -------- d-----w- c:\arquivos de programas\MSECache

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-21 22:44 . 2009-07-31 23:25 -------- d-----w- c:\arquivos de programas\Symantec AntiVirus

2010-09-10 03:34 . 2010-09-10 03:34 452104 ----a-w- c:\documents and settings\cauan\Dados de aplicativos\Real\Update\setup3.12\setup.exe

2010-09-06 20:16 . 2009-08-12 04:33 -------- d-----w- c:\documents and settings\cauan\Dados de aplicativos\BitTorrent

2010-08-23 01:58 . 2009-08-01 01:26 65536 ----a-w- c:\windows\IFinst27.exe

2010-08-07 02:09 . 2010-08-07 02:09 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Blizzard Entertainment

2010-08-06 19:05 . 2010-08-06 19:05 -------- d-----w- c:\arquivos de programas\ASUS

2010-08-06 19:05 . 2009-07-31 23:14 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2010-08-05 20:23 . 2010-08-05 20:23 -------- d-----w- c:\arquivos de programas\Combined Community Codec Pack

2010-08-05 03:46 . 2010-08-05 03:46 -------- d-----w- c:\documents and settings\cauan\Dados de aplicativos\Media Player Classic

2010-08-05 03:41 . 2010-08-05 03:40 -------- d-----w- c:\arquivos de programas\K-Lite Codec Pack

2010-08-05 03:33 . 2010-08-05 03:33 -------- d-----w- c:\arquivos de programas\XviD

2010-07-25 16:34 . 2009-08-13 03:26 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\NOS

2010-07-18 08:04 . 2010-07-18 08:04 29904 ---ha-w- c:\windows\system32\mlfcache.dat

2010-07-14 08:00 . 2010-08-05 03:40 108032 ----a-w- c:\windows\system32\ff_vfw.dll

2010-06-28 00:24 . 2010-04-05 00:0

Diogo R · Setembro 22, 2010

Olá. Vamos olhar isso depois. Sempre após um procedimentos, avise como se encontra a maquina...informe as melhoras ou não...

Bem...

1.

Delete o arquivo C:\combofix.txt

:veja: Abra o bloco de notas, selecione, copie e cole nele todo o conteúdo do código abaixo:

Killall::File::c:\windows\system32\wey2ter.exec:\windows\system32\rede9r.exec:\windows\system32\hor5d.exec:\windows\system32\ble1nk.exec:\windows\IFinst27.exeFilelook::c:\documents and settings\cauan\Dados de aplicativos\Real\Update\setup3.12\setup.exec:\documents and settings\cauan\Dados de aplicativos\Real\Update\setup3.10\setup.exec:\windows\system32\drivers\SBREDrv.sysc:\windows\system32\NvCpl.dllc:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exec:\arquivos de programas\LogMeIn Hamachi\hamachi-2.exec:\windows\system32\ieframe.dllc:\windows\system32\webcheck.dllc:\windows\system32\wdfmgr.exeDirlook::c:\arquivos de programas\MSECachec:\documents and settings\All Users\Dados de aplicativos\NOSDriver::SuperMounter

:veja: Salve o arquivo no desktop como CFScript.txt

:veja: Arraste o arquivo para o Combofix conforme ilustração abaixo:

:veja: Importante: enquanto o combofix estiver em execução, não use o mouse nem o teclado!!

:veja: Ao final do procedimento, o programa será fechado automaticamente e será mostrado o relatório

:veja: Cole o relatório criado em C:\combofix.txt

T+

FreedomFSA · Setembro 23, 2010

Diogo R,

A minha maquina ta beleza...aparentemente sem malwares e etc...

Quanto a lentidão...isso já é normal dela, mas notei que ela parece esta um pouco mais rápida :D

Aqui vai o LOG gerado pelo ComboFix...fiz tudo como você pediu...

ComboFix 10-09-22.05 - cauan 22/09/2010 23:30:52.2.2 - x86Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.511.174 [GMT -3:00]Executando de: c:\documents and settings\cauan\Desktop\ComboFix.exeComandos utilizados :: c:\documents and settings\cauan\Desktop\CFScript.txtAV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}FILE ::"c:\windows\IFinst27.exe""c:\windows\system32\ble1nk.exe""c:\windows\system32\hor5d.exe""c:\windows\system32\rede9r.exe""c:\windows\system32\wey2ter.exe".((((((((((((((((((((((((((((((((((((( Outras Exclusões ))))))))))))))))))))))))))))))))))))))))))))))))))).c:\windows\IFinst27.exec:\windows\system32\ble1nk.exec:\windows\system32\hor5d.exec:\windows\system32\rede9r.exec:\windows\system32\wey2ter.exe.((((((((((((((((((((((((((((((((((((((( Drivers/Serviços ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_SUPERMOUNTER-------\Service_SuperMounter(((((((((((((((( Arquivos/Ficheiros criados de 2010-08-23 to 2010-09-23 )))))))))))))))))))))))))))).2010-09-13 22:54 . 2010-09-13 22:54	--------	d-----w-	c:\arquivos de programas\MSECache2010-09-10 03:34 . 2010-09-10 03:34	452104	----a-w-	c:\documents and settings\cauan\Dados de aplicativos\Real\Update\setup3.12\setup.exe.((((((((((((((((((((((((((((((((((((( Relatório Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2010-09-23 02:42 . 2009-07-31 23:25	--------	d-----w-	c:\arquivos de programas\Symantec AntiVirus2010-09-06 20:16 . 2009-08-12 04:33	--------	d-----w-	c:\documents and settings\cauan\Dados de aplicativos\BitTorrent2010-08-07 02:09 . 2010-08-07 02:09	--------	d-----w-	c:\arquivos de programas\Arquivos comuns\Blizzard Entertainment2010-08-06 19:05 . 2010-08-06 19:05	--------	d-----w-	c:\arquivos de programas\ASUS2010-08-06 19:05 . 2009-07-31 23:14	--------	d--h--w-	c:\arquivos de programas\InstallShield Installation Information2010-08-05 20:23 . 2010-08-05 20:23	--------	d-----w-	c:\arquivos de programas\Combined Community Codec Pack2010-08-05 03:46 . 2010-08-05 03:46	--------	d-----w-	c:\documents and settings\cauan\Dados de aplicativos\Media Player Classic2010-08-05 03:41 . 2010-08-05 03:40	--------	d-----w-	c:\arquivos de programas\K-Lite Codec Pack2010-08-05 03:33 . 2010-08-05 03:33	--------	d-----w-	c:\arquivos de programas\XviD2010-07-25 16:34 . 2009-08-13 03:26	--------	d-----w-	c:\documents and settings\All Users\Dados de aplicativos\NOS2010-07-18 08:04 . 2010-07-18 08:04	29904	---ha-w-	c:\windows\system32\mlfcache.dat2010-07-14 08:00 . 2010-08-05 03:40	108032	----a-w-	c:\windows\system32\ff_vfw.dll2010-06-28 00:24 . 2010-04-05 00:08	439816	----a-w-	c:\documents and settings\cauan\Dados de aplicativos\Real\Update\setup3.10\setup.exe2010-06-26 04:31 . 2010-06-26 04:32	95024	----a-w-	c:\windows\system32\drivers\SBREDrv.sys2010-06-25 15:20 . 2010-06-25 15:20	503808	----a-w-	c:\documents and settings\cauan\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-7b4afc8e-n\msvcp71.dll2010-06-25 15:20 . 2010-06-25 15:20	499712	----a-w-	c:\documents and settings\cauan\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-7b4afc8e-n\jmc.dll2010-06-25 15:20 . 2010-06-25 15:20	348160	----a-w-	c:\documents and settings\cauan\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-7b4afc8e-n\msvcr71.dll2010-06-25 03:30 . 2010-06-25 03:30	61440	----a-w-	c:\documents and settings\cauan\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-368964ae-n\decora-sse.dll2010-06-25 03:30 . 2010-06-25 03:30	12800	----a-w-	c:\documents and settings\cauan\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-368964ae-n\decora-d3d.dll.(((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))).--- c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe ---Company: RealNetworks, Inc.File Description: RealNetworks SchedulerFile Version: 0.1.1.137Product Name: RealPlayer (32-bit)Copyright: Copyright © RealNetworks, Inc. 1995-2007Original Filename: realsched.exeFile size: 198160Created time: 2009-08-16 07:24Modified time: 2009-08-16 07:24MD5: 5676E75F98FF8E0F81DFF604A09288BBSHA1: F6072722D007C5B3E9B221BDD5061C8E6F877A04--- c:\arquivos de programas\LogMeIn Hamachi\hamachi-2.exe ---Company: LogMeIn Inc.File Description: Hamachi2 Client Tunneling EngineFile Version: 2, 0, 2, 85Product Name: Hamachi2 ClientCopyright: Copyright (C) LogMeIn Inc. 2004-2010Original Filename: hamachi-2.exeFile size: 1107336Created time: 2010-03-30 14:16Modified time: 2010-03-30 14:16MD5: 1E8A0705F9925FAD9B2D4F6FC05E1982SHA1: 367F1A9596E1D9A617650DF93C5F64000D831DEC--- c:\documents and settings\cauan\Dados de aplicativos\Real\Update\setup3.10\setup.exe ---Company: RealNetworks, Inc.File Description: RealNetworks InstallerFile Version: 3.0.1.58Product Name: RealNetworks Installer (32-bit)Copyright: Original Filename: rnsetup.EXEFile size: 439816Created time: 2010-04-05 00:08Modified time: 2010-06-28 00:24MD5: BA0C49726E01DEE3BEE392FA42D7B2F9SHA1: 5C8B90BF20C2A4521970920ACFA45925E45ACD67--- c:\documents and settings\cauan\Dados de aplicativos\Real\Update\setup3.12\setup.exe ---Company: RealNetworks, Inc.File Description: RealNetworks InstallerFile Version: 3.0.1.134Product Name: RealNetworks Installer (32-bit)Copyright: Original Filename: rnsetup.EXEFile size: 452104Created time: 2010-09-10 03:34Modified time: 2010-09-10 03:34MD5: 3C2760B9C6EC1BBBB6771866699B2DFDSHA1: 85CD68639887FE3EB05E5AB38803E75669B5522D--- c:\windows\system32\drivers\SBREDrv.sys ---Company: Sunbelt SoftwareFile Description: Anti-Rootkit EngineFile Version: 3.1.2839Product Name: CounterSpyCopyright: Copyright © 2002-2006 Sunbelt Software. All rights reserved.Original Filename: SBRE.sysFile size: 95024Created time: 2010-06-26 04:32Modified time: 2010-06-26 04:31MD5: 4019149E4E296072831C8855605D9FDCSHA1: 3F041534E5AC254667571023F2C9D3572C6DD42A--- c:\windows\system32\ieframe.dll ---Company: Microsoft CorporationFile Description: Internet ExplorerFile Version: 8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)Product Name: Windows® Internet ExplorerCopyright: © Microsoft Corporation. All rights reserved.Original Filename: IEFRAME.DLLFile size: 11063808Created time: 2009-03-08 07:39Modified time: 2009-03-08 07:39MD5: 729DA5D23A9AD20A6AA353156A126420SHA1: 20CD40FB9748F9EBE5E54AE9D302DA248F9AAB6E--- c:\windows\system32\NvCpl.dll ---Company: NVIDIA CorporationFile Description: NVIDIA Display Properties ExtensionFile Version: 6.14.11.7116Product Name: NVIDIA Compatible Windows 2000 Display driver, Version 171.16Copyright: (C) NVIDIA Corporation. All rights reserved.Original Filename: NVCPL.DLLFile size: 13508608Created time: 2008-01-03 14:26Modified time: 2008-01-03 14:26MD5: E645F5D0D91A4CBF7BB23EAA94AFE29BSHA1: CC5C48C49D126EF134C8938CECE190F6CE223682--- c:\windows\system32\wdfmgr.exe ---Company: Microsoft CorporationFile Description: Windows User Mode Driver ManagerFile Version: 5.2.3790.1230 built by: dnsrv(bld4act)Product Name: Microsoft® Windows® Operating SystemCopyright: © Microsoft Corporation. All rights reserved.Original Filename: WdfMgr.exeFile size: 38912Created time: 2005-01-28 16:44Modified time: 2005-01-28 16:44MD5: AB0A7CA90D9E3D6A193905DC1715DED0SHA1: 681BA7F162BF3799A49996529B587C9FA4B34247--- c:\windows\system32\webcheck.dll ---Company: Microsoft CorporationFile Description: Web Site MonitorFile Version: 8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)Product Name: Windows® Internet ExplorerCopyright: © Microsoft Corporation. All rights reserved.Original Filename: WEBCHECK.DLLFile size: 236544Created time: 2008-04-14 12:00Modified time: 2009-03-08 07:34MD5: CC8915DB4E33E8FB29CA0D2DBF75306ESHA1: 42647487989A1481C061E34B54632A9EAAE03CFD---- Directory of c:\arquivos de programas\MSECache ----2009-08-21 13:03 . 2009-08-21 13:03	2480	----a-w-	c:\arquivos de programas\MSECache\O2007Cnv\1033\README.HTM2009-08-21 12:54 . 2009-08-21 12:54	37874117	----a-w-	c:\arquivos de programas\MSECache\O2007Cnv\1033\O12Conv.cab2009-08-21 12:54 . 2009-08-21 12:54	384512	----a-w-	c:\arquivos de programas\MSECache\O2007Cnv\1033\O12Conv.msi2009-08-21 12:54 . 2009-08-21 12:54	1431477	----a-w-	c:\arquivos de programas\MSECache\O2007Cnv\1033\Catalog\files12.cat---- Directory of c:\documents and settings\All Users\Dados de aplicativos\NOS ----2009-08-13 03:27 . 2009-08-13 03:27	1047703	----a-w-	c:\documents and settings\All Users\Dados de aplicativos\NOS\Adobe_Downloads\nos_10473.dat2009-08-13 03:26 . 2009-08-13 03:27	742	----a-w-	c:\documents and settings\All Users\Dados de aplicativos\NOS\getUninst_Adobe.dat((((((((((((((((((((((((((((( SnapShot@2010-09-21_22.39.42 ))))))))))))))))))))))))))))))))))))))))).+ 2010-09-23 02:38 . 2010-09-23 02:38	16384 	c:\windows\temp\Perflib_Perfdata_250.dat.(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))..*Nota* entradas vazias e legítimas por defeito não são mostradas. REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840]"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"SoundMAXPnP"="c:\arquivos de programas\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-03 13508608]"BigDog303"="c:\windows\VM303_STI.EXE" [2005-10-25 61440]"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2009-08-16 198160][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\fsproflt]@=""[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Speed Launch.lnk]backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Enable Office Keyboard Driver.lnk]path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Enable Office Keyboard Driver.lnkbackup=c:\windows\pss\Enable Office Keyboard Driver.lnkCommon Startup[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^HP Digital Imaging Monitor.lnk]backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup[HKLM\~\startupfolder\C:^Documents and Settings^cauan^Menu Iniciar^Programas^Inicializar^Adobe Gamma.lnk]backup=c:\windows\pss\Adobe Gamma.lnkStartup[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]2005-10-28 19:25	94208	----a-w-	c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDog303]2005-10-25 15:56	61440	----a-w-	c:\windows\VM303_STI.EXE[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]2007-05-29 19:33	52840	----a-w-	c:\arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]2006-11-12 10:48	157592	----a-w-	c:\arquivos de programas\DAEMON Tools\daemon.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]2006-02-19 05:41	49152	----a-w-	c:\arquivos de programas\HP\HP Software Update\hpwuSchd2.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]2010-03-30 14:16	1820040	----a-w-	c:\arquivos de programas\LogMeIn Hamachi\hamachi-2-ui.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware]2010-04-29 18:39	437584	----a-w-	c:\arquivos de programas\Malwarebytes' Anti-Malware\mbamgui.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]2009-07-26 19:44	3883840	----a-w-	c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MULTIMEDIA KEYBOARD]2002-01-31 18:13	151552	----a-w-	c:\arquivos de programas\Netropa\Multimedia Keyboard\MMKeybd.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]2001-07-09 13:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]2008-01-03 14:26	13508608	----a-w-	c:\windows\system32\nvcpl.dll[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]2009-11-11 01:08	417792	----a-w-	c:\arquivos de programas\QuickTime\QTTask.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]2009-10-09 16:11	25623336	----a-r-	c:\arquivos de programas\Skype\Phone\Skype.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]2010-02-18 14:43	248040	----a-w-	c:\arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]2009-08-16 07:24	198160	----a-w-	c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vptray]2007-10-07 23:48	125368	----a-w-	c:\arquiv~1\SYMANT~1\VPTray.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]2009-07-01 16:37	37888	----a-w-	c:\arquivos de programas\Winamp\winampa.exe[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]"DisableMonitoring"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="c:\\Arquivos de programas\\Garena\\Garena.exe"="c:\\Arquivos de programas\\BitTorrent\\bittorrent.exe"="c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqste08.exe"="c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposfx08.exe"="c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposid01.exe"="c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="c:\\Arquivos de programas\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="c:\\Arquivos de programas\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"="c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpoews01.exe"="c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"="c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"="c:\\Arquivos de programas\\Orbitdownloader\\orbitdm.exe"="c:\\Arquivos de programas\\Orbitdownloader\\orbitnet.exe"="c:\\Arquivos de programas\\Skype\\Plugin Manager\\skypePM.exe"="c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=R1 kbfilter;Keyboard Filter Driver;c:\windows\system32\drivers\kbfilter.sys [19/11/2009 14:00 10240]R1 msikbd2k;Multimedia Keyboard Filter Driver;c:\windows\system32\drivers\Msikbd2k.sys [6/12/2009 00:23 6656]R1 UsbFltr;WayTechUSBFilterDriver;c:\windows\system32\drivers\UsbFltr.sys [19/11/2009 14:00 9600]R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\arquivos de programas\LogMeIn Hamachi\hamachi-2.exe [30/3/2010 11:16 1107336]R2 MBAMService;MBAMService;c:\arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe [3/10/2009 00:47 304464]R2 nhksrv;Netropa NHK Server;c:\arquivos de programas\Netropa\Multimedia Keyboard\nhksrv.exe [6/12/2009 00:23 28672]R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\arquivos de programas\Arquivos comuns\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [28/5/2010 20:14 102448]R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [3/10/2009 00:47 20952]S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2/8/2005 18:10 32512]S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]S3 SavRoam;SAVRoam;c:\arquivos de programas\Symantec AntiVirus\SavRoam.exe [7/10/2007 20:48 116664]S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [31/7/2009 20:28 646392].Conteúdo da pasta 'Tarefas Agendadas'2010-09-16 c:\windows\Tasks\AppleSoftwareUpdate.job- c:\arquivos de programas\Apple Software Update\SoftwareUpdate.exe [2008-07-30 14:34]2010-09-23 c:\windows\Tasks\User_Feed_Synchronization-{1A3160BA-7D07-45CA-A5D2-B47A2886176D}.job- c:\windows\system32\msfeedssync.exe [2009-03-08 07:31]..------- Scan Suplementar -------.uInternet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1046uSearchURL,(Default) = hxxp://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBRIE: &Download by Orbit - c:\arquivos de programas\Orbitdownloader\orbitmxt.dll/201IE: &Grab video by Orbit - c:\arquivos de programas\Orbitdownloader\orbitmxt.dll/204IE: Do&wnload selected by Orbit - c:\arquivos de programas\Orbitdownloader\orbitmxt.dll/203IE: Down&load all by Orbit - c:\arquivos de programas\Orbitdownloader\orbitmxt.dll/202IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000TCP: {C96D40A8-18BF-4E8D-9769-374DEC533367} = 208.67.222.222,208.67.220.220FF - ProfilePath - c:\documents and settings\cauan\Dados de aplicativos\Mozilla\Firefox\Profiles\5sbtt2b4.default\FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dllFF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\np-mswmp.dllFF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\npdeployJava1.dllFF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dllFF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dllFF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll---- FIREFOX POLICIES ----c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);.- - - - ORFÃOS REMOVIDOS - - - -AddRemove-Raganrok Renewal - c:\windows\IFinst27.exeAddRemove-Ragnarok Online - c:\windows\IFinst27.exeAddRemove-Ragnarok Sakray - c:\windows\IFinst27.exe**************************************************************************Procurando processos ocultos ... Procurando entradas auto inicializáveis ocultas ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run BigDog303 = c:\windows\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)????????????????0?????????@?????????????? Procurando ficheiros/arquivos ocultos ... Varredura completada com sucessoarquivos/ficheiros ocultos: **************************************************************************[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]"ImagePath"="c:\windows\system32\GameMon.des -service".--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------- - - - - - - > 'explorer.exe'(3592)c:\windows\system32\ieframe.dllc:\windows\system32\webcheck.dll.------------------------ Outros Processos em Execução ------------------------.c:\arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exec:\arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exec:\arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exec:\arquivos de programas\Symantec AntiVirus\DefWatch.exec:\arquivos de programas\Java\jre6\bin\jqs.exec:\windows\system32\nvsvc32.exec:\windows\system32\HPZipm12.exec:\arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exec:\arquivos de programas\Symantec AntiVirus\Rtvscan.exec:\windows\system32\wdfmgr.exe.**************************************************************************.Tempo para conclusão: 2010-09-22 23:45:46 - Máquina reiniciouComboFix-quarantined-files.txt 2010-09-23 02:45Pré-execução: 468.197.376 bytes disponíveisPós execução: 465.244.160 bytes disponíveis- - End Of File - - 02986668050513D1378CD313F253DB30

B)

Diogo R · Setembro 24, 2010

Olá.

1.

:veja: Clique no botão Iniciar

:veja: Clique em Executar

:veja: Digite combofix /uninstall e dê Enter

:veja: Delete a pasta C:\Qoobox e o arquivo C:\combofix.txt, se ainda existirem.

2.

:veja: Desative temporiariamente seu AntiVirus

:veja: Utilize o Navegador Internet Explorer para fazer o scaniamento!

:veja: Acesse o site '>http://www.eset.com/onlinescan/index.php"]AQUI

:veja: Faça o scan com o Nod32 de acordo com o flash abaixo:

:veja: Ao final da verificação marque a caixa "Delete Quarantined files" e clique em [FINISH]

:veja: Será gerado um relatório, que estará em:

C:\Arquivos de programas\EsetOnlineScanner\log.txt

Copie e Cole o log aqui...

T+

FreedomFSA · Setembro 27, 2010

Diogo R,

Desculpa a demora, tive uns contra tempos.

Mais é o seguinte, não conseguir fazer o scan como você pedio...

Pq o IE da um erro ('>http://img202.imageshack.us/img202/6079/ieerror.jpg"]( LINK ) quando eu vo fazer o scan ...

E pelo FF, não da pra fazer... mas la no site da ESET fala de um arquivo de você baixa que pode resolver o problema da incompatibilidade do browser. Ainda não baixei ele.. mas vo baixar e logo logo posto aqui si a parada rolo ou não rolo.

FreedomFSA · Setembro 29, 2010

Diogo R,

Consegui fazer o scan

vai ai o LOG gerado

[email="ESETSmartInstaller@High"]ESETSmartInstaller@High[/email] as downloader log:Can not read file from [email="internet.ESETSmartInstaller@High"]internet.ESETSmartInstaller@High[/email] as downloader log:Can not read file from internet.# version=7# OnlineScannerApp.exe=1.0.0.1# OnlineScanner.ocx=1.0.0.6211# api_version=3.0.2# EOSSerial=4634430abfbcb54e89ec864d3db12d75# end=finished# remove_checked=true# archives_checked=true# unwanted_checked=true# unsafe_checked=false# antistealth_checked=true# utc_time=2010-09-28 02:12:26# local_time=2010-09-27 11:12:26 (-0300, Hora oficial do Brasil)# country="Brazil"# lang=1033# osver=5.1.2600 NT Service Pack 3# compatibility_mode=512 16777215 100 0 0 0 0 0# compatibility_mode=8192 67108863 100 0 0 0 0 0# scanned=53812# found=2# cleaned=2# scan_time=4504C:\WINDOWS\system32\autorun.i Win32/Tifaut.C worm (cleaned by deleting - quarantined) 00000000000000000000000000000000 CD:\Advanced.SystemCare.Pro.v3.3.1.rar probably a variant of Win32/Injector.PV trojan (deleted - quarantined) 00000000000000000000000000000000 C

Diogo R · Setembro 29, 2010

Olá FreedomFSA

1.

:veja: Delete a pasta C:\Arquivos de programas\EsetOnlineScanner

2.

Como está o maquina?

T+

FreedomFSA · Setembro 30, 2010

A maquina ta boa... ta melhor que antes.. BEM melhor :D

Eu so queria pedir uma dica de algum anti spyware bom

Fora isso ta de boas

Diogo R · Outubro 1, 2010

Olá FreedomFSA

Fico feliz em poder ajudar.

Na verdade, fica o BOM senso de uma navegação, CHEGA de cliques não devidos, cuidados com disco removíveis, e sites considerados arriscados.

Evitando esses aspectos é bem dificil você ser infectado.

Em MINHA recomendação de softwares free:

Anti-Virus: Avira AntiVir

Anti-Spyware- malwarebytes anti malware (não contem proteção residente, uma verificação semanal ou mensal é recomendável, e faça sempre as atualizações do software deproteção.

E tenha um Firewall para controle de sua rede.

Foi um prazer.

Grande Abraço :)

T+

FreedomFSA · Outubro 2, 2010

Diogo R,

Fico grato pela sua ajuda, você me ajudo muito mesmo :D

Mas antes queria pedir um ultimo favor...

Minha mae abrio um email "malicioso"... ai tu ja ta ligado na parada ...

Agora é que agora a maquina foi infectada por um malware (eu acho) chamado "MSN BIN SIS"

Eu usei o CCleaner pra ele não si inicinar com o SO...mas acho que ele ta la ainda ...

Desde já,Grato

:D

Diogo R · Outubro 4, 2010

Olá FreedomFSA

Foi como eu disse, depende do senso, faça regras e explicações para os usuários que acessam seu pc, para que não haja esse ocorrido :)

1.

Poste um novo log hijackthis aqui.

T+

FreedomFSA · Outubro 4, 2010

Vai ai o Log do HijackThis:

Logfile of Trend Micro HijackThis v2.0.4Scan saved at 20:12:46, on 4/10/2010Platform: Windows XP SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v8.00 (8.00.6001.18702)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exeC:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\Explorer.EXEC:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exeC:\WINDOWS\system32\spoolsv.exeC:\Arquivos de programas\Netropa\Multimedia Keyboard\nhksrv.exeC:\Arquivos de programas\Symantec AntiVirus\DefWatch.exeC:\Arquivos de programas\LogMeIn Hamachi\hamachi-2.exeC:\Arquivos de programas\Java\jre6\bin\jqs.exeC:\Arquivos de programas\Analog Devices\Core\smax4pnp.exeC:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exeC:\WINDOWS\VM303_STI.EXEC:\WINDOWS\system32\nvsvc32.exeC:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exeC:\WINDOWS\system32\HPZipm12.exeC:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exeC:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exeC:\Arquivos de programas\Symantec AntiVirus\Rtvscan.exeC:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\System32\svchost.exeC:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exeC:\Arquivos de programas\Windows Live\Contacts\wlcomm.exeC:\Arquivos de programas\Mozilla Firefox\firefox.exeC:\Arquivos de programas\Mozilla Firefox\plugin-container.exeC:\Arquivos de programas\Last.fm\LastFM.exeC:\WINDOWS\system32\svchost.exeC:\Arquivos de programas\Winamp\winamp.exeC:\Hijack\HiJackThis.exeR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBRR1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1046O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dllO2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dllO2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dllO2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dllO2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dllO2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dllO2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dllO3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dllO3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Arquivos de programas\Orbitdownloader\GrabPro.dllO4 - HKLM\..\Run: [SoundMAXPnP] C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osbootO4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /backgroundO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.aspO15 - Trusted Zone: http://www.eset.comO15 - Trusted Zone: http://forum.imasters.com.brO16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cabO16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/pt/uno1/GAME_UNO1.cabO16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cabO16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{C96D40A8-18BF-4E8D-9769-374DEC533367}: NameServer = 208.67.222.222,208.67.220.220O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLLO22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dllO22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dllO23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exeO23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Arquivos de programas\Symantec AntiVirus\DefWatch.exeO23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Arquivos de programas\LogMeIn Hamachi\hamachi-2.exeO23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exeO23 - Service: LiveUpdate - Symantec Corporation - C:\ARQUIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXEO23 - Service: MBAMService - Malwarebytes Corporation - C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exeO23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Arquivos de programas\Netropa\Multimedia Keyboard\nhksrv.exeO23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exeO23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Arquivos de programas\WinPcap\rpcapd.exeO23 - Service: SAVRoam (SavRoam) - symantec - C:\Arquivos de programas\Symantec AntiVirus\SavRoam.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exeO23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Arquivos de programas\Symantec AntiVirus\Rtvscan.exe--End of file - 9370 bytes

^_^

Diogo R · Outubro 5, 2010

Olá

Não vejo nada demais em seu log.

Vamos por uma outra opção de verificação online:

1.

:veja: Faça o Scan Online com o KaspersKy aqui

:veja: Faça de acordo com o flash Abaixo:

:veja: Copie e cole o log aqui...

T+

Arquivado

[Arquivado] &nbspAnálise de LOG doHijackThis

Recommended Posts

FreedomFSA 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Diogo R 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

FreedomFSA 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Diogo R 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

FreedomFSA 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

FreedomFSA 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Diogo R 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

FreedomFSA 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Diogo R 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

FreedomFSA 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Diogo R 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

FreedomFSA 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

FreedomFSA 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Diogo R 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

FreedomFSA 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Diogo R 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

FreedomFSA 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Diogo R 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

FreedomFSA 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Diogo R 0