[Resolvido] &nbspLog para analise

[Edvan 30]

Amigos, O BB bloqueou essa maquina para acesso ao Gerenciador Financeiro, dizendo que está com virus e pediu para agente formatar..

 

Daí eu pergunto a contaminação é seria ao ponto de formatação?

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 14:54:50, on 30/05/2012

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\SCardSvr.exe

C:\Arquivos de programas\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

C:\WINDOWS\SYSTEM32\DWRCS.EXE

C:\Fortes\FireBird\FireBird_1_5\bin\fbguard.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

C:\Fortes\RemProt\remprots.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Arquivos de programas\UltraVNC\winvnc.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HP1006MC.EXE

C:\Fortes\FireBird\FireBird_1_5\bin\fbserver.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\alg.exe

C:\ARQUIV~1\ALWILS~1\Avast5\avastUI.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\UltraVNC\winvnc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.superdownloads.com.br

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fornecido por Superdownloads

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll

O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Arquivos de programas\Alwil Software\Avast5\aswWebRepIE.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll

O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {577EBCA9-8ED3-45FC-A514-55B3817D4BCF} - C:\ARQUIV~1\IRISDE~1\IRISDE~2.DLL

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Arquivos de programas\Alwil Software\Avast5\aswWebRepIE.dll

O4 - HKLM\..\Run: [PPort10reminder] "C:\Arquivos de programas\ScanSoft\PaperPort\Ereg\ereg.exe" -r "C:\Documents and Settings\All Users\Dados de aplicativos\ScanSoft\PaperPort\10\Config\Ereg\ereg.ini"

O4 - HKLM\..\Run: [avast5] C:\ARQUIV~1\ALWILS~1\Avast5\avastUI.exe /nogui

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O15 - Trusted Zone: http://www.ead.sebrae.com.br

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://ccd.serpro.gov.br/acserprorfb//x86//capicom.cab

O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{07EE63CB-D644-49FD-AA13-CE14A1E7D072}: NameServer = 10.4.65.16

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = funpec.br

O17 - HKLM\System\CS1\Services\Tcpip\..\{07EE63CB-D644-49FD-AA13-CE14A1E7D072}: NameServer = 10.4.65.16

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = funpec.br

O17 - HKLM\System\CS2\Services\Tcpip\..\{07EE63CB-D644-49FD-AA13-CE14A1E7D072}: NameServer = 10.4.65.16

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = funpec.br

O20 - Winlogon Notify: GbPluginBb - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll

O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehcef.dll

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Arquivos de programas\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Fortes\FireBird\FireBird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Fortes\FireBird\FireBird_1_5\bin\fbserver.exe

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Arquivos de programas\Google\Update\GoogleUpdate.exe

O23 - Service: Serviço do Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Arquivos de programas\Google\Update\GoogleUpdate.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Arquivos de programas\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

O23 - Service: RemProtNTService - Fortes Informática Ltda - C:\Fortes\RemProt\remprots.exe

O23 - Service: uvnc_service - UltraVNC - C:\Arquivos de programas\UltraVNC\winvnc.exe

O23 - Service: wksauto - WK Sistemas - D:\Pgms\Radar\WKSAuto.exe

 

--

End of file - 8732 bytes

[DigRam 144]

Boa Tarde! Edvan

 

|- Baixe: < BankerFix 3.1 >

|- Salve-o diretamente no disco local! ( C ;D ; ... )

|- Desabilite,temporariamente,o seu antivírus.

|- Ps: Após baixar o BankerFix,não execute-o na primeira em que aparecer na tela.

 

 

|- Feche a janela e abra-a,novamente,à partir do arquivo "Iniciar-BankerFix.vbs" que fica na pasta C:\LinhaDefensiva.

|- A janela do BankerFix 3.1,abrir-se-á com a seguinte pergunta: "Instalar o Bankerfix 3.1?"

|- Clique em Sim!

|- Uma janela informando que o BankerFix 3.1 será baixado,via internet,abrir-se-á.

|- Clique OK -> Aguarde!

|- Na próxima janela,clique em OK.

|- O BankerFix 3.1 será iniciado!

|- Pressione qualquer tecla,para dar continuidade ao processo. <- Aguarde!

|- Terminado o scan,leia a mensagem na tela e aperte Enter.

|- Habilite o seu anti-vírus.

|- Retorne com o relatório,do BankerFix,que estará em: C:\LinhaDefensiva\relatorio.txt

 

-/-/-

 

|- Baixe: < > ( ... by sUBs )

|- Salve-o no desktop! ( Área de trabalho! )

|- Ps: Desabilite seu antivírus,antispywares e/ou firewall. ( Menos o do Windows! )

|- Feche algum programa/arquivo que esteja aberto.

|- Feche,também,seu navegador! ( IE,Firefox,Opera ou Google Chrome )

|- Ps: Esteja conectado(a) à Internet. <- Importante!

|- Execute ComboFix.exe,com um duplo clique.

|- Para Windows Vista e/ou 7,dê clique direito em ComboFix.exe e execute-o como administrador.

|- Ps: Instale o "Console de Recuperação",caso seja solicitado!

|- Ps: Ficará,portanto,à seu critério optar por sua instalação.

|- Surgindo alguma mensagem de erro,execute ComboFix.exe em Modo de Segurança com rede.

|- Ps: Para completar as remoções,talvez haja necessidade da ferramenta reiniciar o computador.

|- Abrir-se-á a janela Auto Scan.

 

 

|- Aguarde a finalização de todas as Etapas.

|- Durante o scan,evite utilizar o mouse ou teclado!

|- Concluindo,poste: C:\ComboFix.txt

|- "ComboFix é uma ferramenta que pode danificar o sistema. Utilize-o,somente,sob supervisão de analistas de segurança."

 

Abraços!

[Edvan 30]

Obrigado amigo DigRam!

 

BankerFix 3.1 VALKYRIE - Removedor de Bankers

Linha Defensiva | http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

-------------------------------------------------------

Data: 2012-05-30 - 16:00

-------------------------------------------------------

Lista de Definição: 2012-03-19-1 | CORE: 2012-01-27-1

=======================================================

 

 

 

----- Fim -------------------------

 

P.S: pelo visto o ComboFix pegou um monte heim!

 

ComboFix 12-05-30.04 - f002640 30/05/2012 16:09:59.1.2 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2031.1225 [GMT -3:00]

Executando de: c:\documents and settings\f002640\Desktop\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

ADS - system32: deleted 2 bytes in 1 streams.

ADS - drivers: deleted 309 bytes in 1 streams.

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\arquivos de programas\DIPJ2009v2.0.exe

c:\arquivos de programas\Sicap2009Instala.exe

c:\arquivos de programas\Sicap2010Atual.exe

c:\arquivos de programas\Sicap2010Instala.exe

c:\documents and settings\f001738\WINDOWS

c:\documents and settings\f002024\Dados de aplicativos\121218.bat

c:\documents and settings\f002024\WINDOWS

c:\documents and settings\fernando.FUN0086\WINDOWS

c:\windows\system\chron32.dll

c:\windows\system32\cllcnl.dll.velho

c:\windows\system32\CNCAtFilial.dll.velho

c:\windows\system32\CNCContas.dll.velho

c:\windows\system32\CNCFil.dll.velho

c:\windows\system32\cncger.dll.velho

c:\windows\system32\CNCREL.dll.velho

c:\windows\system32\cnger.dll.velho

c:\windows\system32\config\frasesdebanheiro.pps

c:\windows\system32\DFCGrade.dll.velho

c:\windows\system32\dfcrel20.dll.velho

c:\windows\system32\DFLGER.dll.velho

c:\windows\system32\dflRel.dll.velho

c:\windows\system32\og70as.dll.velho

c:\windows\system32\OSC60as.dll.velho

c:\windows\system32\OTP60as.dll.velho

c:\windows\system32\RadarInterop.dll.velho

c:\windows\system32\RadarRelInterop.dll.velho

c:\windows\system32\WKAlteraDF.dll.velho

c:\windows\system32\WKCNProp.dll.velho

c:\windows\system32\WKDFConx.dll.velho

c:\windows\system32\WKDFCtrl.dll.velho

c:\windows\system32\WKDFEdit.dll.velho

c:\windows\system32\WKEdit.dll.velho

c:\windows\system32\wkempresa.dll.velho

c:\windows\system32\wkesconx.dll.velho

c:\windows\system32\WKESEdit.dll.velho

c:\windows\system32\WKImportacao.dll.velho

c:\windows\system32\wklrel.dll.velho

c:\windows\system32\WKMens.dll.velho

.

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_TDSSserv

-------\Service_TDSSserv

.

.

(((((((((((((((( Arquivos/Ficheiros criados de 2012-04-28 to 2012-05-30 ))))))))))))))))))))))))))))

.

.

2012-05-30 18:17 . 2012-05-30 18:17 -------- d-----w- c:\documents and settings\f002640\Dados de aplicativos\Malwarebytes

2012-05-30 17:49 . 2012-05-30 17:48 476904 ----a-w- c:\arquivos de programas\Mozilla Firefox\plugins\npdeployJava1.dll

2012-05-30 17:49 . 2012-05-30 17:48 472808 ----a-w- c:\windows\system32\deployJava1.dll

2012-05-30 17:45 . 2012-05-30 17:45 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

2012-05-30 17:44 . 2012-05-30 17:44 388608 ----a-w- C:\HiJackThis.exe

2012-05-30 17:30 . 2012-05-30 19:01 -------- d-----w- C:\LinhaDefensiva

2012-05-17 13:33 . 2012-05-17 13:33 -------- d-----w- c:\documents and settings\f002640\Configurações locais\Dados de aplicativos\IsolatedStorage

.

.

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-05-30 19:25 . 2011-12-29 10:36 28880 ----a-w- c:\windows\system32\drivers\GbpNdisrd.sys

2012-05-30 18:27 . 2011-05-25 17:46 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2012-05-30 17:48 . 2008-06-16 17:22 73728 ----a-w- c:\windows\system32\javacpl.cpl

2012-04-05 12:34 . 2009-01-29 19:37 46408 ----a-w- c:\windows\system32\drivers\gbpkm.sys

2012-04-04 18:56 . 2011-05-25 17:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys

2012-03-07 00:15 . 2010-08-10 10:40 41184 ----a-w- c:\windows\avastSS.scr

2012-03-07 00:15 . 2009-03-25 11:20 201352 ----a-w- c:\windows\system32\aswBoot.exe

2012-03-07 00:03 . 2011-05-25 17:29 612184 ----a-w- c:\windows\system32\drivers\aswSnx.sys

2012-03-07 00:03 . 2009-03-25 11:20 337880 ----a-w- c:\windows\system32\drivers\aswSP.sys

2012-03-07 00:02 . 2009-03-25 11:20 35672 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2012-03-07 00:01 . 2009-03-25 11:20 53848 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2012-03-07 00:01 . 2009-03-25 11:20 95704 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2012-03-07 00:01 . 2009-03-25 11:20 89048 ----a-w- c:\windows\system32\drivers\aswmon.sys

2012-03-07 00:01 . 2009-03-25 11:20 20696 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2012-03-06 23:58 . 2009-03-25 11:20 24920 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2011-05-19 11:57 . 2011-05-19 11:57 1920512 ----a-w- c:\arquivos de programas\capicom_dc_sdk.msi

2011-05-19 11:41 . 2011-05-19 11:41 390960 ----a-w- c:\arquivos de programas\instalador-certificados_v3.4.exe

2011-05-19 11:27 . 2011-05-19 11:26 7323152 ----a-w- c:\arquivos de programas\SafeSign-Identity-Client-3.0.44-admin.exe

2010-06-01 19:10 . 2010-06-01 19:10 4044103 ----a-w- c:\arquivos de programas\aiccertisign.exe

2010-05-13 13:30 . 2010-05-13 13:30 12280276 ----a-w- c:\arquivos de programas\SetupSefipV8.4PS02.exe

2009-08-14 14:13 . 2009-08-14 14:13 282624 ----a-w- c:\arquivos de programas\Tabelas.exe

2009-08-14 14:12 . 2009-08-14 14:11 10152328 ----a-w- c:\arquivos de programas\instala01.exe

2009-04-15 20:43 . 2009-04-15 20:43 6293680 ----a-w- c:\arquivos de programas\CNPJv2.6.exe

2009-04-14 11:20 . 2009-04-14 11:19 6775738 ----a-w- c:\arquivos de programas\SafeSign.exe

2009-04-14 11:14 . 2009-04-14 11:14 388481 ----a-w- c:\arquivos de programas\instalador_certificados.exe

2008-09-11 13:30 . 2008-09-11 13:30 5372271 ----a-w- c:\arquivos de programas\SafeSign-Identity-Client-2[1].3.2-admin.exe

2008-09-11 13:28 . 2008-09-11 13:28 1543706 ----a-w- c:\arquivos de programas\GemPCTwin_PC_SC_Installer.exe

2008-09-05 16:32 . 2008-09-05 16:32 2403344 ----a-w- c:\arquivos de programas\WLinstaller.exe

2008-07-22 19:39 . 2008-07-22 19:39 5010288 ----a-w- c:\arquivos de programas\SETUP.EXE

2008-03-12 13:04 . 2009-09-15 20:16 67696 ----a-w- c:\arquivos de programas\mozilla firefox\components\jar50.dll

2008-03-12 13:04 . 2009-09-15 20:16 54376 ----a-w- c:\arquivos de programas\mozilla firefox\components\jsd3250.dll

2008-03-12 13:04 . 2009-09-15 20:16 34952 ----a-w- c:\arquivos de programas\mozilla firefox\components\myspell.dll

2008-03-12 13:04 . 2009-09-15 20:16 46720 ----a-w- c:\arquivos de programas\mozilla firefox\components\spellchk.dll

2008-03-12 13:04 . 2009-09-15 20:16 172144 ----a-w- c:\arquivos de programas\mozilla firefox\components\xpinstal.dll

.

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por padrão não são apresentadas.

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2012-03-07 00:15 123536 ----a-w- c:\arquivos de programas\Alwil Software\Avast5\ashShell.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PPort10reminder"="c:\arquivos de programas\ScanSoft\PaperPort\Ereg\ereg.exe" [2005-06-29 729088]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]

2012-05-09 12:01 1313864 ----a-w- c:\arquivos de programas\GbPlugin\gbieh.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginCef]

2011-10-17 20:19 699848 ------w- c:\arquivos de programas\GbPlugin\gbiehcef.dll

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Acrobat Assistant.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Acrobat Assistant.lnk

backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Gamma Loader.lnk]

backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Inicialização rápida do HP Photosmart Premier.lnk]

backup=c:\windows\pss\Inicialização rápida do HP Photosmart Premier.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]

2006-09-05 10:28 540672 ----a-r- c:\arquivos de programas\VIAudioi\SBADeck\ADeck.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

2007-06-01 13:21 153136 ----a-w- c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CertificateRegistration]

2006-10-12 16:50 40960 ----a-w- c:\windows\system32\aetcrss1.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

2004-08-04 03:45 15360 ----a-w- c:\windows\system32\ctfmon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gemstrmw]

2003-08-30 02:35 24576 ------w- c:\windows\system32\gemstrmw.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

2005-09-24 03:08 49152 ----a-w- c:\arquivos de programas\HP\HP Software Update\hpwuSchd2.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]

2005-10-28 15:55 40960 ----a-w- c:\arquivos de programas\ScanSoft\PaperPort\IndexSearch.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2007-03-01 18:57 153136 ----a-w- c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OrderReminder]

2006-01-30 09:00 98304 ----a-r- c:\arquivos de programas\Hewlett-Packard\OrderReminder\OrderReminder.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]

2005-10-28 15:54 36864 ----a-w- c:\arquivos de programas\ScanSoft\PaperPort\pptd40nt.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]

2003-09-30 03:14 155648 ----a-r- c:\arquivos de programas\Arquivos comuns\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2008-03-25 07:28 144784 ----a-w- c:\arquivos de programas\Java\jre1.6.0_06\bin\jusched.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]

2006-08-03 06:53 53248 ----a-r- c:\windows\system32\VTTimer.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]

2006-08-25 05:52 176128 ----a-r- c:\windows\system32\VTTrayp.exe

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Java\\jre1.6.0_06\\bin\\javaw.exe"=

"c:\\Fortes\\RemProt\\remprots.exe"=

"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\HP1006MC.EXE"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5900:TCP"= 5900:TCP:vnc5900

"5800:TCP"= 5800:TCP:vnc5800

.

R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [29/01/2009 16:37 46408]

R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [25/05/2011 14:29 612184]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [25/03/2009 08:20 337880]

R2 AdobeActiveFileMonitor;Adobe Active File Monitor;c:\arquivos de programas\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe [20/10/2004 04:47 98304]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [25/03/2009 08:20 20696]

R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\fortes\FireBird\FireBird_1_5\bin\fbguard.exe -s --> c:\fortes\FireBird\FireBird_1_5\bin\fbguard.exe -s [?]

R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [13/06/2008 16:53 214088]

R2 PhotoshopElementsDeviceConnect;Photoshop Elements Device Connect;c:\arquivos de programas\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe [20/10/2004 03:40 118784]

R2 RemProtNTService;RemProtNTService;c:\fortes\RemProt\remprots.exe [30/04/2010 14:09 616448]

R2 uvnc_service;uvnc_service;c:\arquivos de programas\UltraVNC\winvnc.exe [10/11/2008 08:29 1148480]

R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\fortes\FireBird\FireBird_1_5\bin\fbserver.exe -s --> c:\fortes\FireBird\FireBird_1_5\bin\fbserver.exe -s [?]

R3 NdisrdMP;NdisrdMP;c:\windows\system32\drivers\GbpNdisrd.sys [29/12/2011 07:36 28880]

S2 gupdate;Google Update Service (gupdate);c:\arquivos de programas\Google\Update\GoogleUpdate.exe [10/02/2010 18:01 135664]

S2 wksauto;wksauto;d:\pgms\Radar\WKSAuto.exe [30/08/2010 15:35 143360]

S3 GemCCID;GemCCID;c:\windows\system32\drivers\GemCCID.sys [04/04/2008 09:02 87424]

S3 GTwinUSB;GTwinUSB;c:\windows\system32\drivers\GTwinUSB.sys [11/09/2008 10:28 61776]

S3 gupdatem;Serviço do Google Update (gupdatem);c:\arquivos de programas\Google\Update\GoogleUpdate.exe [10/02/2010 18:01 135664]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [25/05/2011 14:46 40776]

S3 Ndisrd;GAS Tecnologia Service;c:\windows\system32\drivers\GbpNdisrd.sys [29/12/2011 07:36 28880]

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\aetsprov]

2006-10-31 18:30 73728 ----a-w- c:\windows\system32\aetsprov.dll

.

Conteúdo da pasta 'Tarefas Agendadas'

.

2012-05-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\arquivos de programas\Google\Update\GoogleUpdate.exe [2010-02-10 21:01]

.

2012-05-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\arquivos de programas\Google\Update\GoogleUpdate.exe [2010-02-10 21:01]

.

2012-05-30 c:\windows\Tasks\User_Feed_Synchronization-{428E32BF-8A99-4963-B273-2398800DB126}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 07:31]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

uDefault_Search_URL = hxxp://www.google.com/ie

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html

Trusted Zone: sebrae.com.br\www.ead

TCP: DhcpNameServer = 10.4.65.16

TCP: Interfaces\{07EE63CB-D644-49FD-AA13-CE14A1E7D072}: NameServer = 10.4.65.16

FF - ProfilePath - c:\documents and settings\f002640\Dados de aplicativos\Mozilla\Firefox\Profiles\8ji5kgwj.default\

FF - prefs.js: browser.search.selectedEngine - Search the web (Babylon)

FF - prefs.js: browser.startup.homepage - hxxp://search.babylon.com/?AF=109540&babsrc=HP_ss&mntrId=2420ac430000000000000014859de9dc

FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?AF=109540&babsrc=adbartrp&mntrId=2420ac430000000000000014859de9dc&q=

FF - user.js: extensions.BabylonToolbar_i.id - 2420ac430000000000000014859de9dc

FF - user.js: extensions.BabylonToolbar_i.hardId - 2420ac430000000000000014859de9dc

FF - user.js: extensions.BabylonToolbar_i.instlDay - 15356

FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17

FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17

FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1714:08

FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon

FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar

FF - user.js: extensions.BabylonToolbar_i.aflt - babsst

FF - user.js: extensions.BabylonToolbar_i.smplGrp - none

FF - user.js: extensions.BabylonToolbar_i.tlbrId - base

FF - user.js: extensions.BabylonToolbar_i.newTab - false

FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=109540

FF - user.js: extensions.BabylonToolbar_i.babExt -

FF - user.js: extensions.BabylonToolbar_i.srcExt - ss

FF - user.js: extensions.BabylonToolbar_i.instlRef - sst

.

- - - - ORFÃOS REMOVIDOS - - - -

.

MSConfigStartUp-MsgrUpd - c:\windows\system32\MsgrUpd.exe

MSConfigStartUp-swg - c:\arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2012-05-30 16:26

Windows 5.1.2600 Service Pack 2 NTFS

.

Procurando processos ocultos ...

.

Procurando entradas auto inicializáveis ocultas ...

.

Procurando ficheiros/arquivos ocultos ...

.

.

c:\windows\TEMP\_avast_\unp176191913.tmp 569344 bytes executable

.

Varredura completada com sucesso

arquivos/ficheiros ocultos: 1

.

**************************************************************************

.

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net

Windows 5.1.2600

.

CreateFile("\\.\PHYSICALDRIVE0"): O arquivo já está sendo usado por outro processo.

device: opened successfully

user: error reading MBR

kernel: MBR read successfully

user != kernel MBR !!!

.

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

.

- - - - - - - > 'winlogon.exe'(944)

c:\arquivos de programas\GbPlugin\gbiehcef.dll

c:\arquivos de programas\GBPLUGIN\gbieh.dll

.

- - - - - - - > 'explorer.exe'(1848)

c:\windows\system32\WININET.dll

c:\arquivos de programas\GBPLUGIN\gbieh.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\aetsprov.dll

c:\arquivos de programas\GbPlugin\gbiehcef.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Alwil Software\Avast5\AvastSvc.exe

c:\windows\System32\SCardSvr.exe

c:\windows\SYSTEM32\DWRCS.EXE

c:\fortes\FireBird\FireBird_1_5\bin\fbguard.exe

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\windows\System32\spool\DRIVERS\W32X86\3\HP1006MC.EXE

c:\windows\system32\wdfmgr.exe

c:\fortes\FireBird\FireBird_1_5\bin\fbserver.exe

.

**************************************************************************

.

Tempo para conclusão: 2012-05-30 16:30:47 - Máquina reiniciou

ComboFix-quarantined-files.txt 2012-05-30 19:30

.

Pré-execução: 27 pasta(s) 46.295.601.152 bytes disponíveis

Pós execução: 29 pasta(s) 48.786.714.624 bytes disponíveis

.

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

.

- - End Of File - - 358CEEB715CB73F2494DBF3D22FEE9C0

[DigRam 144]

Boa Tarde! Edvan

 

|- Baixe: < SFT > ( ... de Pierre13 )

|- Salve-o no desktop!

|- Para Windows Vista e 7,execute "SFT.exe" como administrador!

 

 

|- Aguarde seu término,que é rápido,e poste o relatório! ( SFT.txt )

 

##########

Rapport de SFT (Pierre13) du Mardi 03 Avril 2012 à 11:15:32

Mis à jour le 25/03/2012

Outil lancé en Mode normal et En tant qu'administrateur

Windows 7 Service Pack 1 (32 bits)

 

192 éléments supprimés => 167.05 Mo libérés.

##########

 

|- Ps: Devido ao tamanho do relatório,não poste-o diretamente!

|- Acesse,para isso,

 

-/-

 

|- Verifique se com esta limpeza,já podes ter acesso ao BB.

 

Abraços!

[Edvan 30]

Log http://cjoint.com/12mi/BEEv2SNfYM1.htm

 

Mais alguma coisa amigo?

[DigRam 144]

Log http://cjoint.com/12mi/BEEv2SNfYM1.htm

 

Mais alguma coisa amigo?

Olá! Edvan

 

|- Verifique se já possuis acesso ao seu banco. ( BB )

|- Tendo êxito,encerramos o caso.

 

Abraços!

[Edvan 30]

Olá! Edvan

 

|- Verifique se já possuis acesso ao seu banco. ( BB )

|- Tendo êxito,encerramos o caso.

 

Abraços!

 

Ok..Amanha o rapaz vem aqui na sala e faço o teste junto com ele..

 

OBS: Quero aproveitar e saber porque nao consigo desinstalar esses dois programas!

 

Ja tentei pelo Adicionar ou remover programas do painel de controle mais eles nao são listados lá, tentei também pelo Revo Uninstaller mais nao é mostrado para desinstalação.

 

Quando clico com o botão direito do mouse em cima dele e fecho, demora um pouco e ele volta novamente a aparecer perto do relogio..muito estranho isso!

 

[DigRam 144]

Boa Noite! Edvan

 

|- Fiz uma busca e não encontrei desinstaladores para os softwares.

 

|- < http://support.dameware.com/kb/article.aspx?ID=100000 >

 

|- Para o Dameware,já pesquisou,logo àcima?

 

Abraços!

[Edvan 30]

Não posso fazer o teste do BB agora, mais de antemão, posso ir desinstalando o Combofix?

Teria mais alguma coisa a se fazer?

 

Obrigado amigo. :thumbsup:

[DigRam 144]

Não posso fazer o teste do BB agora, mais de antemão, posso ir desinstalando o Combofix?

Teria mais alguma coisa a se fazer?

 

Obrigado amigo. :thumbsup:

Olá! Edvan

 

|- Como é uma ferramenta que está sempre apresentando atualizações,pode desinstalar.

|- E os 2 softwares,que queria desinstalar! Conseguiu removê-los?

 

Teria mais alguma coisa a se fazer?

|- Sim! Mas estou aguardando primeiro,o resultado de seu acesso ao BB. Onde,pelo visto,terei que remover o "WinVNC" e o "DameWare" por outros meios.

Cabe aqui uma pergunta. Você sempre teve acesso ao BB,com esses softwares instalados?

 

Abraços!

[Edvan 30]

Estou pelo celular acessando o forum, a maquina esta reiniciando antes de carregar os icones de area de trabalho so consigo entrar em modo de segurança. Tentei fazer uma restauracao para a data de ontem mesmo assim nao consegue logar em modo norma, antes de aparecer a area de trabalho ela reinicia.

[DigRam 144]

Estou pelo celular acessando o forum, a maquina esta reiniciando antes de carregar os icones de area de trabalho so consigo entrar em modo de segurança. Tentei fazer uma restauracao para a data de ontem mesmo assim nao consegue logar em modo norma, antes de aparecer a area de trabalho ela reinicia.

Olá! Edvan

 

|- Tente em Modo de Segurança acessar a última configuração válida.

|- Caso não tenha êxito,verifique seus drivers,principalmente o de vídeo. Atualize-o ou reinstále-o novamente.

 

Abraços!

[Edvan 30]

DigRam pode arquivar o tópico como Resolvido!.

 

O rapaz que veio aqui disse que podia formtar mesmo, ate pq a maquina está com muitos programas instalados e faz anos que nao passou por uma formatação, entao ele decidiu formatar, ja começei fazer os BACKUPS.

 

Valeu amigo.

[DigRam 144]

PROBLEMA RESOLVIDO

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.