MartinD 0 Denunciar post Postado Janeiro 24, 2014 Olá, boa noite. Então, há poucos dias atrás eu estava com um problema, não conseguia iniciar alguns programas (CCleaner, MV RegClean, Malwarebytes Anti-Malware, HijackThis). Também não conseguia entrar em algumas ferramentas do windows, como 'restauração do sistema' e também não conseguia escrever nada na opção 'executar'. O 'Painel de Controle' do menu iniciar simplesmente sumiu. Achando muito estranho, entrei em 'Gerenciador de Tarefas do Windows', e vi um programa que iniciava chamado "wscript". Então eu cliquei com o botão direito e selecionei "Finalizar árvore de processos" e tudo voltou ao normal, exceto pelo 'Painel de Controle' que continua sumido. Entrei na pasta do windows e deletei o ícone do "wscript", mas ele sempre volta, não consigo deletar de jeito nenhum. Agora consigo acessar todos os programas novamente, mas "wscript" continua no meu pc. Abaixo o log do HijackThis: Logfile of HijackThis v1.99.1Scan saved at 02:15:55, on 24/1/2014Platform: Windows XP SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v8.00 (8.00.6001.18702)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\spoolsv.exec:\arquivos de programas\idt\5902xp_6033v_012208\wdm\STacSV.exeC:\WINDOWS\Explorer.EXEC:\Arquivos de programas\Avira\AntiVir Desktop\sched.exeC:\Arquivos de programas\IDT\WDM\sttray.exeC:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exeC:\WINDOWS\system32\ctfmon.exeC:\Arquivos de programas\ATI Technologies\ATI.ACE\Core-Static\MOM.exeC:\Arquivos de programas\ATI Technologies\ATI.ACE\Core-Static\ccc.exeC:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exeC:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exeC:\Arquivos de programas\Mozilla Firefox\firefox.exeC:\Arquivos de programas\Mozilla Firefox\plugin-container.exeC:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXEC:\WINDOWS\system32\svchost.exeC:\Documents and Settings\Douglas\Desktop\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com.br/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre7\bin\ssv.dllO2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dllO2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\skypeieplugin.dllO2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre7\bin\jp2ssv.dllO3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [sysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exeO4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /minO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [startCCC] "C:\Arquivos de programas\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRunO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\skypeieplugin.dllO9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)O11 - Options group: [iNTERNATIONAL] InternationalO14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.aspO14 - IERESET.INF: START_PAGE_URL=http://www.google.comO16 - DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} (SysInfo Class) - http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.71.0.cabO16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cabO16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1223764967156O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} - http://www.yougamers.com/systeminfo/FMSI.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{2E3B2C04-2E61-4783-9DA0-850BB2B37B4D}: NameServer = 200.180.239.1,200.180.239.250O17 - HKLM\System\CS1\Services\Tcpip\..\{2E3B2C04-2E61-4783-9DA0-850BB2B37B4D}: NameServer = 200.180.239.1,200.180.239.250O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\skypeieplugin.dllO18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLLO20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dllO23 - Service: Avira Scheduler (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exeO23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Arquivos de programas\Mozilla Maintenance Service\maintenanceservice.exeO23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\arquivos de programas\idt\5902xp_6033v_012208\wdm\STacSV.exe Agradeço desde já. Abraço. Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Janeiro 24, 2014 Boa Noite! MartinD|- Caso possua pendrive infectado,pode formatá-lo.-/-|- Baixe: < UsbFix > ( ...de C_XX & El Desaparecido )|- Salve-o no desktop!|- Siga com sua instalação.|- Desmarque: "Desativar Autorun/AutoPlay automaticamente" -> OK|- Aperte a tecla "Shift" e conecte seu pendrive ao computador!|- Execute o arquivo UsbFix.exe,com um duplo clique.|- Escolha a opção "Suppression".|- Aguarde a conclusão e poste o relatório. ( C:\UsbFix.txt )Abs! Compartilhar este post Link para o post Compartilhar em outros sites
MartinD 0 Denunciar post Postado Janeiro 24, 2014 Boa noite, DigRam. Então, eu estou com o pendrive aqui mas eu não entendi muito bem as informações que tu me passou. Seguinte, eu baixo o UsbFix, salvo no desktop e clico para começar a instalação, mas não aparece nenhum opção "Desativar Autorun/AutoPlay automaticamente", ele vai direto para o painel de controle do UsbFix. Também não sei quando apertar a tecla Shift. Obrigado por me ajudar. Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Janeiro 26, 2014 Boa noite, DigRam. Então, eu estou com o pendrive aqui mas eu não entendi muito bem as informações que tu me passou. Seguinte, eu baixo o UsbFix, salvo no desktop e clico para começar a instalação, mas não aparece nenhum opção "Desativar Autorun/AutoPlay automaticamente", ele vai direto para o painel de controle do UsbFix. Também não sei quando apertar a tecla Shift. Obrigado por me ajudar. Bom Dia! MartinD |- Dispense a inserção do pendrive e acionamento da tecla Shift. |- Estando na interface do UsbFix,siga as intruções que lhe foram dadas. A+ Compartilhar este post Link para o post Compartilhar em outros sites
MartinD 0 Denunciar post Postado Janeiro 26, 2014 Abaixo o relatório do UsbFix ############################## | UsbFix V 7.161 | [supressão]Usuário: Douglas (Administrador) # SAGRADOAtualizado em 15/01/2014 por El Desaparecido - Team SosVirusComeçou em 14:48:35 | 26/01/2014Site : http://www.es.usbfix.netChangelog : http://www.usbfix.net/maj/Support : http://www.sosvirus.net/Upload Malware : http://www.sosvirus.net/upload_malware.phpContato : http://www.es.usbfix.net/contacto/PC: ECS (A780GM-A)CPU: AMD Phenom II X4 945 ProcessorRAM -> [Total : 2047 Mo| Free : 1539 Mo]Bios: American Megatrends Inc.Boot: Normal bootOS: Microsoft Windows XP Professional (5.1.2600 32-Bit) Service Pack 3WB: Windows Internet Explorer : 8.0.6001.18702WB: Mozilla Firefox : 26.0SC: Security Center Service [(!) Disabled]WU: Windows Update Service [Enabled]AS: Malwarebytes' Anti-Malware : 1.75.0001FW: Windows FireWall Service [Enabled]C:\ (%systemdrive%) -> Disco fixo # 59 Gb (25 Mb livre - 43%) [] # NTFSD:\ -> CD-ROME:\ -> Disco fixo # 174 Gb (53 Mb livre - 30%) [] # NTFS################## | Processos parados |Parado! C:\WINDOWS\system32\Ati2evxx.exe (ID: 932 |ParentID: 740)Parado! C:\WINDOWS\system32\Ati2evxx.exe (ID: 1408 |ParentID: 696)Parado! C:\WINDOWS\system32\spoolsv.exe (ID: 1444 |ParentID: 740)Parado! c:\arquivos de programas\idt\5902xp_6033v_012208\wdm\STacSV.exe (ID: 1556 |ParentID: 740)Parado! C:\WINDOWS\Explorer.EXE (ID: 248 |ParentID: 1724)Parado! C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe (ID: 1104 |ParentID: 740)Parado! C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe (ID: 1356 |ParentID: 740)Parado! C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE (ID: 1700 |ParentID: 740)Parado! C:\Arquivos de programas\IDT\WDM\sttray.exe (ID: 164 |ParentID: 248)Parado! C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe (ID: 168 |ParentID: 248)Parado! C:\WINDOWS\system32\ctfmon.exe (ID: 212 |ParentID: 248)Parado! C:\Arquivos de programas\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (ID: 244 |ParentID: 204)Parado! C:\Arquivos de programas\ATI Technologies\ATI.ACE\Core-Static\ccc.exe (ID: 544 |ParentID: 244)Parado! C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe (ID: 2176 |ParentID: 1356)################## | Regedit Run |04 - HKLM\..\Run : [RTHDCPL] RTHDCPL.EXE04 - HKLM\..\Run : [Alcmtr] ALCMTR.EXE04 - HKLM\..\Run : [sysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe04 - HKLM\..\Run : [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min04 - HKLM\..\Run : [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k04 - HKLM\..\Run : [startCCC] "C:\Arquivos de programas\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun04 - HKLM\..\RunOnce : []04 - HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\..\Run : []04 - HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\..\RunOnce : []04 - HKU\S-1-5-19\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE04 - HKU\S-1-5-20\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE04 - HKU\S-1-5-21-1644491937-602162358-725345543-1003\..\Run : [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe04 - HKU\S-1-5-18\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE################## | Procura genérica |(!) Ficheiros temporários suprimido.################## | Registro |Reparado ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoFolderOptions -> 0Reparado ! HKLM\Software\Microsoft\Security Center|AntiVirusDisableNotify -> 0Reparado ! HKLM\Software\Microsoft\Security Center|FirewallDisableNotify -> 0Reparado ! HKLM\Software\Microsoft\Security Center|UpdatesDisableNotify -> 0Reparado ! HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig -> 0################## | Listing |[20/04/2010 - 15:12:21 | SHD] - C:\$RECYCLE.BIN[26/12/2013 - 22:07:11 | D] - C:\Arquivos de programas[16/09/2013 - 13:45:06 | D] - C:\ATI[11/10/2008 - 11:16:15 | A | 0 Ko] - C:\AUTOEXEC.BAT[26/12/2013 - 22:07:19 | D] - C:\bc6[22/01/2014 - 15:51:07 | RSH | 0 Ko] - C:\boot.ini[28/10/2001 - 13:06:10 | N | 5 Ko] - C:\Bootfont.bin[23/01/2014 - 12:34:58 | D] - C:\Config.Msi[11/10/2008 - 11:16:15 | N | 0 Ko] - C:\CONFIG.SYS[22/01/2014 - 15:06:49 | D] - C:\Documents and Settings[21/12/2011 - 23:30:20 | D] - C:\Downloads[11/10/2008 - 11:16:15 | N | 0 Ko] - C:\IO.SYS[11/10/2008 - 11:16:15 | N | 0 Ko] - C:\MSDOS.SYS[03/08/2004 - 23:38:34 | N | 46 Ko | B2DE3452DE03674C6CEC68B8C8CE7C78] - C:\NTDETECT.COM[12/10/2008 - 01:29:30 | RASH | 246 Ko] - C:\ntldr[26/01/2014 - 12:55:30 | ASH | 2095104 Ko] - C:\pagefile.sys[26/11/2013 - 10:40:20 | D] - C:\Program Files[20/11/2013 - 15:26:52 | D] - C:\ProgramData[27/12/2013 - 19:19:42 | SHD] - C:\RECYCLER[11/10/2008 - 12:15:29 | N | 0 Ko] - C:\sqmdata00.sqm[11/10/2008 - 12:26:55 | N | 0 Ko] - C:\sqmdata01.sqm[11/10/2008 - 12:41:37 | N | 0 Ko] - C:\sqmdata02.sqm[11/10/2008 - 12:50:18 | N | 0 Ko] - C:\sqmdata03.sqm[11/10/2008 - 12:15:29 | N | 0 Ko] - C:\sqmnoopt00.sqm[11/10/2008 - 12:26:55 | N | 0 Ko] - C:\sqmnoopt01.sqm[11/10/2008 - 12:41:37 | N | 0 Ko] - C:\sqmnoopt02.sqm[11/10/2008 - 12:50:18 | N | 0 Ko] - C:\sqmnoopt03.sqm[25/03/2012 - 01:48:15 | SHD] - C:\System Volume Information[26/01/2014 - 14:48:37 | D] - C:\UsbFix[26/01/2014 - 14:48:48 | A | 5 Ko | 82F10CF13C94470C6458361BD9E7D153] - C:\UsbFix [Clean 1] SAGRADO.txt[25/01/2014 - 15:03:24 | D] - C:\WINDOWS[20/04/2010 - 15:12:21 | SHD] - E:\$RECYCLE.BIN[09/08/2009 - 17:14:13 | D] - E:\47845285df9b150b66e5b9b34b5d0974[11/10/2008 - 23:27:22 | D] - E:\a64f97eb095084c915773c55dda1dd[29/06/2013 - 18:35:33 | D] - E:\Downloads[15/11/2013 - 19:19:50 | D] - E:\Jogos[16/09/2013 - 14:12:01 | D] - E:\msdownld.tmp[11/10/2008 - 11:56:05 | RHD] - E:\MSOCache[11/10/2008 - 17:30:16 | D] - E:\Musicas[27/12/2013 - 19:19:42 | SHD] - E:\RECYCLER[17/03/2010 - 21:16:28 | D] - E:\SAVE[28/12/2013 - 18:09:33 | SHD] - E:\System Volume Information################## | Vaccin |E:\Autorun.inf -> Vacina criada por UsbFix (El Desaparecido)################## | E.O.F | http://www.usbfix.net - http://www.sosvirus.net | Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Janeiro 27, 2014 Bom Dia! MartinD|- Worms de pendrive ocasionaram seus problemas,onde recomendo a formatação do mesmo,caso necessite utilizá-lo neste ou em outro PC.-/-|- Baixe: < fixacl.exe >|- Salve-o no desktop,e execute-o aí mesmo.|- Terminando,reinicie o computador!-/-|- Baixe: < zoek > ( ... by Smeenk )|- Ou aqui! < zoek.exe >|- Salve-o e descompacte-o para o desktop!|- Estarão disponíveis: zoek.com, zoek.scr, zoek.pif e zoek.exe|- Desabilite seu antivírus!|- Para Windows 7,execute zoek.exe como administrador.[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]"Start Page"="http://www.google.com.br"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]iedefaults;http://www.google.com.brC:\bc6;fsC:\sqmdata00.sqm;fC:\sqmdata01.sqm;fC:\sqmdata02.sqm;fC:\sqmdata03.sqm;fC:\sqmnoopt00.sqm;fC:\sqmnoopt01.sqm;fC:\sqmnoopt02.sqm;fC:\sqmnoopt03.sqm;fhijackthis;autoclean;emptyalltemp;|- Copie e cole estas informações,em vermelho,no campo da ferramenta.|- Clique "Run Script". Zoek.exe is running now.Do not start any browser windows, they will be closed automatically.Please wait! This window will close when finished.A logfile will open afterwards and can also be found on your systemdrive as zoek-results.log |- Surgirão estas informações,pedindo-lhe que aguarde o surgimento do relatório.|- Ps: Essas informações,podem permanecer estáticas na tela por 20 minutos ou mais.|- Aceite e/ou confirme o reboot! zoek.hta failed by unknown error.Restart computer, and try again. |- Ps: Ao obter algum erro,reinicie o PC e execute,novamente,a ferramenta.|- Poste o relatório,que estará em C:\zoek-results.txt <<Abs! Compartilhar este post Link para o post Compartilhar em outros sites
MartinD 0 Denunciar post Postado Janeiro 27, 2014 Boa tarde, DigRam. O que eu faço com aquele relatório do fixacl? Abaixo o relatório do Zoek: Zoek.exe v5.0.0.0 Updated 25-January-2014Tool run by Douglas on seg 27/01/2014 at 14:22:03,25.Microsoft Windows XP Professional 5.1.2600 Service Pack 3 x86Running in: Normal Mode Internet Access DetectedLaunched: C:\Documents and Settings\Douglas\Desktop\zoek.scr [scan all users] [script inserted]==== Older Logs ======================C:\zoek-results2014-01-27-155129.log 763 bytesC:\zoek-results2014-01-27-160924.log 17596 bytes==== Suspicious Entries Found ======================[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]"3389:TCP"="3389:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22009"==== Deleting CLSID Registry Keys ========================== Deleting CLSID Registry Values ========================== Deleting Services ========================== Deleting Files \ Folders ======================"C:\sqmdata00.sqm" not found"C:\sqmdata01.sqm" not found"C:\sqmdata02.sqm" not found"C:\sqmdata03.sqm" not found"C:\sqmnoopt00.sqm" not found"C:\sqmnoopt01.sqm" not found"C:\sqmnoopt02.sqm" not found"C:\sqmnoopt03.sqm" not foundC:\bc6 deleted==== Firefox Extensions Registry ======================[HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions]"fmconverter@gmail.com"="C:\Arquivos de programas\Freemake\Freemake Video Converter\BrowserPlugin\Firefox" [22/01/2014 05:26]==== Firefox Extensions ======================ProfilePath: C:\Documents and Settings\Douglas\Dados de aplicativos\Mozilla\Firefox\Profiles\9g5l6ikc.default- Lightshot herramienta de captura de pantallas - %ProfilePath%\extensions\{394DCBA4-1F92-4f8e-8EC9-8D2CB90CB69B}- Save Images - %ProfilePath%\extensions\LDSI_plashcor@gmail.com.xpi- FlashGot - %ProfilePath%\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}.xpi- Adblock Plus - %ProfilePath%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi==== Firefox Plugins ======================Profilepath: C:\Documents and Settings\Douglas\Dados de aplicativos\Mozilla\Firefox\Profiles\9g5l6ikc.default2557FBC582910A71CDEB0F22886D118D - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_12_0_0_43.dll - Shockwave FlashA9191AE22A8F1287B5E2DF33E3A57253 - C:\Arquivos de programas\Java\jre7\bin\plugin2\npjp2.dll - Java Platform SE 7 U519B10927CFD0F7AD39E40C0E34005B1AD - C:\Arquivos de programas\Java\jre7\bin\dtplugin\npdeployJava1.dll - Java Deployment Toolkit 7.0.510.13C2321043FA2CA4C32FF449DE6116B5D9 - C:\WINDOWS\system32\Adobe\Director\np32dsw_1205146.dll - Shockwave for Director / Shockwave for Director69AA47F09AA281C7D3C7716CA7E283B4 - C:\Arquivos de programas\Adobe\Reader 11.0\Reader\browser\nppdf32.dll - Adobe Acrobat380F9A643A149B9030142E7171EFA91B - C:\Arquivos de programas\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll - Adobe AcrobatAB87EEFFD18F2BAAFC274E7075EA6C67 - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll - Windows Presentation Foundation / Windows Presentation FoundationCF4ABE599858E10EEB911E16FBCFD87D - C:\Arquivos de programas\Windows Media Player\npdrmv2.dll - Microsoft® DRM76E34EA1089E92709C5725407B565DA1 - C:\Arquivos de programas\Windows Media Player\npdsplay.dll - Windows Media Player Plug-in Dynamic Link Library02A4A41FAC9BF96155B3E8068D1DF4B6 - C:\Arquivos de programas\Windows Media Player\npwmsdrm.dll - Microsoft® DRM==== Chrome Look ======================HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome\Extensionsjbolfgndggfhhpbnkgnpjkfhinclbigj - C:\Arquivos de programas\Freemake\Freemake Video Converter\BrowserPlugin\Chrome\Freemake.Plugin.Chrome.crx[18/01/2014 00:05]lifbcibllhkdhoafpjfnlhfpfgnpldfl - C:\Arquivos de programas\Skype\Toolbars\Skype for Chromium\skype_chrome_extension.crx[22/11/2012 10:30]==== Set IE to Default ======================Old Values:[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]"Start Page"="https://www.google.com.br/"New Values:[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]"Start Page"="https://www.google.com.br/"==== All HKCU SearchScopes ======================HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"{0633EE93-D776-472f-A0FF-E1416B8B2E3A} Bing Url="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC"{6A1806CD-94D4-4689-BA73-E35EA1EA9990} Google Url="http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}"==== HijackThis Entries ======================R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com.br/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre7\bin\ssv.dllO2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dllO2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\skypeieplugin.dllO2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre7\bin\jp2ssv.dllO3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [sysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exeO4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /minO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [startCCC] "C:\Arquivos de programas\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRunO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [ab2] C:\Documents and Settings\Douglas\Dados de aplicativos\bd3\ab2.jsO4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\skypeieplugin.dllO9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.aspO14 - IERESET.INF: START_PAGE_URL=http://www.google.comO16 - DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} (SysInfo Class) - http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.1.71.0.cabO16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cabO16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1223764967156O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} - http://www.yougamers.com/systeminfo/FMSI.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{2E3B2C04-2E61-4783-9DA0-850BB2B37B4D}: NameServer = 200.180.239.1,200.180.239.250O17 - HKLM\System\CS1\Services\Tcpip\..\{2E3B2C04-2E61-4783-9DA0-850BB2B37B4D}: NameServer = 200.180.239.1,200.180.239.250O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\skypeieplugin.dllO18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLLO22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dllO22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dllO23 - Service: Avira Scheduler (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exeO23 - Service: Avira Real-Time Protection (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Arquivos de programas\Mozilla Maintenance Service\maintenanceservice.exeO23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\arquivos de programas\idt\5902xp_6033v_012208\wdm\STacSV.exe==== Empty IE Cache ======================C:\Documents and Settings\Administrador\Configurações locais\Temporary Internet Files\Content.IE5 emptied successfullyC:\Documents and Settings\Administrador\Configuraþ§es locais\Temporary Internet Files\Content.IE5 emptied successfullyC:\Documents and Settings\Administrador.SAGRADO\Configurações locais\Temporary Internet Files\Content.IE5 emptied successfullyC:\Documents and Settings\Administrador.SAGRADO\Configuraþ§es locais\Temporary Internet Files\Content.IE5 emptied successfullyC:\Documents and Settings\Administrador.SAGRADO.000\Configurações locais\Temporary Internet Files\Content.IE5 emptied successfullyC:\Documents and Settings\Administrador.SAGRADO.000\Configuraþ§es locais\Temporary Internet Files\Content.IE5 emptied successfullyC:\Documents and Settings\Douglas\Configurações locais\Temporary Internet Files\Content.IE5 emptied successfullyC:\Documents and Settings\Douglas\Configuraþ§es locais\Temporary Internet Files\Content.IE5 emptied successfullyC:\Documents and Settings\LocalService\Configurações locais\Temp\Temporary Internet Files\Content.IE5 emptied successfullyC:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5 emptied successfullyC:\Documents and Settings\LocalService\Configuraþ§es locais\Temp\Temporary Internet Files\Content.IE5 emptied successfullyC:\Documents and Settings\LocalService\Configuraþ§es locais\Temporary Internet Files\Content.IE5 emptied successfullyC:\Documents and Settings\NetworkService\Configurações locais\Temporary Internet Files\Content.IE5 emptied successfullyC:\Documents and Settings\NetworkService\Configuraþ§es locais\Temporary Internet Files\Content.IE5 emptied successfullyC:\WINDOWS\system32\config\systemprofile\Configurações locais\Temporary Internet Files\Content.IE5 emptied successfullyC:\WINDOWS\system32\config\systemprofile\Configuraþ§es locais\Temporary Internet Files\Content.IE5 emptied successfullyC:\WINDOWS\system32\config\systemprofile\Configurações locais\Temporary Internet Files\Content.IE5 emptied successfullyC:\WINDOWS\system32\config\systemprofile\Configuraþ§es locais\Temporary Internet Files\Content.IE5 emptied successfully==== Empty FireFox Cache ======================No FireFox Cache found==== Empty Chrome Cache ======================No Chrome User Data found==== Empty All Flash Cache ======================Flash Cache Emptied Successfully==== Empty All Java Cache ======================Java Cache cleared successfully==== C:\zoek_backup content ======================C:\zoek_backup (files=18 folders=4 67230 bytes)==== Empty Temp Folders ======================C:\WINDOWS\Temp will be emptied at reboot==== After Reboot ========================== Empty Temp Folders ======================C:\WINDOWS\Temp successfully emptiedC:\DOCUME~1\Douglas\CONFIG~1\Temp successfully emptied==== EOF on seg 27/01/2014 at 14:30:26,26 ====================== Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Janeiro 27, 2014 Boa Tarde! MartinD O que eu faço com aquele relatório do fixacl? |- Pode postá-lo. O4 - HKCU\..\Run: [ab2] C:\Documents and Settings\Douglas\Dados de aplicativos\bd3\ab2.js|- Com o HijackThis,dê Fix nesta entrada.C:\Documents and Settings\Douglas\Dados de aplicativos\bd3 <<|- Delete esta pasta,caso a encontre. -/- |- Baixe: < Pre_Scan > ( ... par g3n-h@ckm@n & Saachaa )|- Role a página e clique: Télécharger Pre_Scan ( Winlogon.exe )|- Salve-o no desktop! < ( winlogon ) >|- Ps: A ferramenta virá renomeada como "winlogon.exe".|- Desabilite seu antivírus,antispyware,sandbox e/ou firewall.|- Feche o navegador programas que estejam abertos e execute a ferramenta!< >|- Duplo-clique em Pre_scan.exe ou winlogon.exe.|- Clique: Scan|Kill|- Ps: Durante o scan,sua área de trabalho irá desaparecer e janelas pretas irão surgir na tela.|- Poderá haver reboot e prosseguimento do scan. << Aguarde!|- Poste,ao concluir,o relatório! ( Pre_Scan.txt )|- Para enviar,acesse!: |- Ou...1fichier.com|- Ou...myfile.tkAbs! Compartilhar este post Link para o post Compartilhar em outros sites
MartinD 0 Denunciar post Postado Janeiro 27, 2014 Boa noite, DigRam.Então, baixei o "Pre_Scan" com o nome de "Winlogon", mas o ícone é diferente e não aparece aquela tela que tu me mostrou com a opção "Scan|Kill". Quando clico no programa ele já começa a escanear. Mesmo assim deixei, a tela ficou preta como disse. De repente apareceu uma aba escrito "Proxy Detected" e as opções "Delete proxy" e "Keep proxy", não sabia o que fazer, então selecionei "Keep proxy". Após o termino, dei reboot como o programa pediu e após reiniciar no meu desktop apareceu o ícone "Meus locais de rede", e dois ícones do "Internet Explorer". Mais um ícone escrito "Donate" e "Pre_Scan". O programa "Winlogon" sumiu, acho que agora ele é o "Pre-Scan". E o "Painel de controle" agora está acessível o menu "Iniciar". Com o "HijackThis" deu tudo certo, dei fix na entrada e deletei o arquivo. Abaixo o relatório do fixacl: http://myfile.tk/3/aclreset.txt Abaixo o rlatório do Pre_Scan: http://myfile.tk/3/Pre_Scan_27_01_2014_19_30_15.txt Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Janeiro 28, 2014 Bom Dia! MartinD|- Evite utilizar seu pendrive,caso não o tenha formatado.¤¤¤¤¤¤¤¤¤¤ | RegistryRepaired : [HKU\S-1-5-21-1644491937-602162358-725345543-1003 | Desktop]|[Wallpaper] : -> C:\Documents and Settings\Douglas\Dados de aplicativos\Microsoft\Wallpaper1.bmpRepaired : [HKLM\software\Policies\Microsoft\Windows NT\SystemRestore]|[DisableConfig] : 1 -> 0Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{20D04FE0-3AEA-1069-A2D8-08002B30309D}] : 1 -> 0Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{208D2C60-3AEA-1069-A2D7-08002B30309D}] : 1 -> 0Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{871C5380-42A0-1069-A2EA-08002B30309D}] : 1 -> 0Repaired : [HKU\S-1-5-21-1644491937-602162358-725345543-1003\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]|[Hidden] : 2 -> 0Repaired : [HKU\S-1-5-21-1644491937-602162358-725345543-1003\software\Microsoft\Windows\CurrentVersion\Policies\Explorer]|[NoControlPanel] : 1 -> 0Repaired : [HKU\S-1-5-21-1644491937-602162358-725345543-1003\software\Microsoft\Windows\CurrentVersion\Policies\Explorer]|[NoFolderOptions] : 1 -> 0Repaired : [HKU\S-1-5-21-1644491937-602162358-725345543-1003\software\Microsoft\Windows\CurrentVersion\Policies\Explorer]|[NoWindowsUpdate] : 1 -> 0############|- O restabelecimento ou acesso ao Painel de controle,além de outras,teve sua política corrigida no Registro do Windows por PreScan.-/- De repente apareceu uma aba escrito "Proxy Detected" e as opções "Delete proxy" e "Keep proxy", não sabia o que fazer, então selecionei "Keep proxy". |- Se não utiliza proxy,poderia ter escolhido "Delete proxy".-/-|- Remova as ferramentas que foram empregadas,com o DelFix.|- Baixe: |DelFix| ( ... de Xplode )|- Estando na página,clique na seta verde para o download.|- Salve-a em um local conveniente! ( desktop! )|- Feche aplicativos que estejam abertos.|- Execute-a!|- Com as duas checkbox marcadas!|- Clique "Run".|- Tudo Ok?Abs! Compartilhar este post Link para o post Compartilhar em outros sites
MartinD 0 Denunciar post Postado Janeiro 28, 2014 Boa tarde, DigRam! Tudo bem, vou formatar o pendrive. Eu não faço uso de proxy, deveria escanear novamente usando o Pre_Scan e deleta-lo? Antes de eu deletar as ferramentas, verifiquei o System32 e o ícone do wscript continua lá, não consigo deleta-lo ainda. Não faz mal deixa-lo alí? Abraço! Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Janeiro 29, 2014 Bom Dia! MartinD Eu não faço uso de proxy, deveria escanear novamente usando o Pre_Scan e deleta-lo? |- Não! Utilize a ferramenta ProxyFix.-/-|- Baixe: < ProxyFix > ( ... by Maxstar )|- Salve-o no desktop!|- Execute o ProxyFix.exe,como administrador!|- Tecle [B] >> ENTER. |- Ao concluir,clique [D] >> ENTER.|- Poste o relatório! Antes de eu deletar as ferramentas, verifiquei o System32 e o ícone do wscript continua lá, não consigo deleta-lo ainda. Não faz mal deixa-lo alí? |- Não faz mal,pois é legítimo e não mais será solicitado ficheiros maliciosos,pois foram removidos. Abs! Compartilhar este post Link para o post Compartilhar em outros sites
MartinD 0 Denunciar post Postado Janeiro 29, 2014 Boa tarde, DigRam! Então, em relação o proxy vou deixar quieto, meu irmão disse pra não mexer, pelo menos por enquanto. Acho que ele usa pra alguma coisa e eu também não entendo muito disso. No resto está tudo certo, só tenho algumas pequenas dúvidas quanto alguns arquivos que apareceram aqui. O nome dos arquivos são: Bootfont (Arquivo BIN) IO (Arquivo de Sistema) MSDOS (Arquivo de Sistema) NTDETECT (Aplicativo do MS-DOS) Preciso manter esses arquivos no PC? Abraço! Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Janeiro 29, 2014 Boa Noite! MartinD Preciso manter esses arquivos no PC? |- Pode mantê-los,pois não são maliciosos.|- No mais...bom trabalho! :) Abs! Compartilhar este post Link para o post Compartilhar em outros sites
MartinD 0 Denunciar post Postado Janeiro 29, 2014 Boa noite, DigRam! Então está tudo certo! Muito obrigado mesmo, pela ajuda e paciência! Me ajudou imensamente! Tu é o cara! :lol: Um forte abraço! E obrigado mais uma vez! Podem fechar o tópico. Compartilhar este post Link para o post Compartilhar em outros sites
DigRam 144 Denunciar post Postado Janeiro 30, 2014 PROBLEMA RESOLVIDO Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico. Compartilhar este post Link para o post Compartilhar em outros sites
