Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Puma_concolor

Pelo amor de Deus HELP

Recommended Posts

Olá.. estou com o mesmo ad que o tópico http://forum.clubedohardware.com.br/index....howtopic=296862

... nossa como é chato viu... tentei seguir as instruções que foi passado para Anyone.. mas não deu em nada... imagino que talves tenha diferenças, então gostaria de saber se alguém pode me ajudar também.

C:\WINDOWS\ybgkfflbamv.exe

Win32:Adan-124 [Adw]

Compartilhar este post


Link para o post
Compartilhar em outros sites

Puma_concolor

Baixe o HijackThis versão atual.

Depois > Iniciar > Meu Computador > 02 cliques no C:/ > Coloca o HijackThis no C:/ (extraindo do zip --> para uma pasta própria tipo c:/Hijack).

obs.

coloque-a separadamente numa pasta, pois desta forma poderemos efetuar uma reversão se algo der errado em determinadas entradas (não são todas): ex: C:\HIJACK\HIJACKTHIS.EXE. Execute o hijack (Do a system scan and save a logfile)

cola o log na resposta aqui mesmo!

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Aqui vai o log

    Logfile of HijackThis v1.99.1

    Scan saved at 11:35:34, on 24/8/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    C:\WINDOWS\system32\nvsvc32.exe

    C:\WINDOWS\system32\fxssvc.exe

    C:\Arquivos de programas\Winamp\winampa.exe

    C:\WINDOWS\system32\RUNDLL32.EXE

    C:\WINDOWS\Mixer.exe

    C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe

    C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

    C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe

    C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    C:\Arquivos de programas\Microsoft AntiSpyware\gcasServ.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Skype\Phone\Skype.exe

    C:\WINDOWS\system32\tdcvjfw.exe

    C:\Arquivos de programas\Microsoft AntiSpyware\gcasDtServ.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Arquivos de programas\Winamp\winamp.exe

    C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

    C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

    C:\Arquivos de programas\FlashGet\flashget.exe

    C:\Downloads\hijackthis\HijackThis.exe

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARQUIV~1\FlashGet\jccatch.dll

    O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

    O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

    O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe

    O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"

    O4 - HKLM\..\Run: [HP Software Update] "C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

    O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    O4 - HKLM\..\Run: [gcasServ] "C:\Arquivos de programas\Microsoft AntiSpyware\gcasServ.exe"

    O4 - HKLM\..\Run: [cdnodfh] C:\WINDOWS\system32\tdcvjfw.exe r

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O8 - Extra context menu item: Download All by FlashGet - C:\Arquivos de programas\FlashGet\jc_all.htm

    O8 - Extra context menu item: Download using FlashGet - C:\Arquivos de programas\FlashGet\jc_link.htm

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\flashget.exe

    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\flashget.exe

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

    O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire Marbies&Diamonds) - http://200.189.188.245/g_bin/eng/marbles_2_0_0_21.cab

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab

    O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

    O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/pt/check/qdiagh.cab?326

    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

    O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    puma

    Vou pedir para você baixar 02 programinhas. Ok. Eles mostram alguns dados.

    Download rkfiles clica

    1. Criar um novo folder (pasta) name -> c:\Antispyware\RKFiles

    Extract o conteúdo de RKFiles.zip para o novo -> RKFiles folder.

    1. Reboot em Safe Mode, ou seja reinicie o computador no Modo de Segurança apertando a tecla F8 logo que iniciar até aparecer um menu onde você pode selecionar a opção "Modo Seguro" ou "Modo de Segurança".

    2. Abrir C:\Antispyware\RKFiles

    * Localizar e de um duplo click em RKFILES.BAT para start a tool (para tocar a ferramenta).

    * Espere com paciência.

    * Quando finalmente acabar -> um text file ira abrir.

    * Salve este text. p/ definição -> C:\Log.txt ou chame-o de RKFiles_log.txt

    2) Download Find_It__s clica aqui

    Unzip ou descompacta Find_It__s -> Numa pasta com o mesmo nome em C:/

    1) -> fecha todos os programas ativos deixando sua área de serviço -> windows normal

    -> 02 cliques em Findit's.bat. Espere com paciência o resultado.

    São 02 logs texto para verificação.

    Find_It__s e RKFiles_log.txt

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • log do find

    Microsoft Windows XP [versÆo 5.1.2600]

    PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

    »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    Dont delete file's in the section without guidance

    If any doubt back them up first

    * UPX! C:\WINDOWS\System32\ASWBOOT.EXE

    * UPX! C:\WINDOWS\System32\IKGQGJR.EXE

    * UPX! C:\WINDOWS\NAIL.EXE

    * UPX! C:\WINDOWS\SVCPROC.EXE

    »»»»» lagitamate file's can/will show in this section.

    * UPX! C:\WINDOWS\System32\DRPMON.DLL

    »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

    O volume na unidade C nÆo tem nome.

    O n£mero de s‚rie do volume ‚ 941E-8EDB

    Pasta de C:\WINDOWS\SYSTEM32

    »»»»» Checking for SAHAgent ico files.

    O volume na unidade C nÆo tem nome.

    O n£mero de s‚rie do volume ‚ 941E-8EDB

    Pasta de C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»».

    HKEY_CURRENT_USER\Software\aurora\AUC3n5trMsgSDisp

    HKEY_CURRENT_USER\Software\aurora\AUL3a5stSSChckin

    HKEY_CURRENT_USER\Software\aurora\AUL3a5stMotsSDay

    HKEY_CURRENT_USER\Software\aurora\AUP3D5om

    HKEY_CURRENT_USER\Software\aurora\AUB3D5om

    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky1S

    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky2S

    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky3S

    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky4S

    HKEY_CURRENT_USER\Software\aurora\AUE3v5nt

    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSBath

    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSysSInf

    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSCheckSIn

    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSMots

    HKEY_CURRENT_USER\Software\aurora\AUL3n5Title

    HKEY_CURRENT_USER\Software\aurora\AU3N5a7tionSCode

    HKEY_CURRENT_USER\Software\aurora\AUD3s5tSSEnd

    HKEY_CURRENT_USER\Software\aurora\AUC3u5rrentSMode

    HKEY_CURRENT_USER\Software\aurora\AUC3n5tFyl

    HKEY_CURRENT_USER\Software\aurora\AUM3o5deSSync

    HKEY_CURRENT_USER\Software\aurora\AUI3g5noreS

    HKEY_CURRENT_USER\Software\aurora\AUC1o3d5eOfSFinalAd

    HKEY_CURRENT_USER\Software\aurora\AUT3i5m7eOfSFinalAd

    HKEY_CURRENT_USER\Software\aurora\AUI3d5OfSInst

    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSCab

    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSEx

    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSLstest

    HKEY_CURRENT_USER\Software\aurora\AUS3t5atusOfSInst

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon\Driver

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon\Driver

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Monitors\ZepMon\Driver

    LOG DO RKFiles

    C:\Antispyware\RkFiles

    PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

    Files Found in system Folder............

    ------------------------

    C:\WINDOWS\system32\aswBoot.exe: UPX!t$

    C:\WINDOWS\system32\DrPMon.dll: UPX!

    C:\WINDOWS\system32\ir41_32.ax: PXfuPX!vPX

    C:\WINDOWS\system32\yhftqvd.exe: UPX!

    C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

    C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

    Files Found in all users startup Folder............

    ------------------------

    C:\WINDOWS\system32\aswBoot.exe: UPX!t$

    C:\WINDOWS\system32\DrPMon.dll: UPX!

    C:\WINDOWS\system32\ir41_32.ax: PXfuPX!vPX

    C:\WINDOWS\system32\yhftqvd.exe: UPX!

    Files Found in all users windows Folder............

    ------------------------

    C:\WINDOWS\Nail.exe: UPX!

    C:\WINDOWS\svcproc.exe: UPX!

    Finished

    bye

    OBS: quando rodei o RK.. logo abaixo estava escrito que não podia acha o arquivo.... ai veio Checking startup (alguma coisa) então continuei esperando e rolou esse log...

    E esse arquivo C:\WINDOWS\svcproc.exe o beta anti spy fica toda hora digamos.. acessando ele.. e aparece a janela de allowed.. como se ele tivesse deixado , permitido o acesso a isso... não sei se tem algo relevante... masssss

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Excelente Puma

    Acessar os seguintes sites:

    http://www.virustotal.com/flash/index_en.html

    http://virusscan.jotti.org/

    encontre o arquivo estranho, parece um executável do avast:

    C:WINDOWSsystem32aswBoot.exe

    Browse -> send -> Espera com paciência o resultado, passa o mouse e cola retornando com os resultados do viruscan.jotti .

    Download tool Marc clica.

    Unzip numa pasta em C:/

    Faça o download da ferramenta Killbox do Option^Explicit em:

    http://www.downloads.subratam.org/KillBox.zip

    Descompacta a ferramenta em uma pasta em C:/

    Download o Ad Aware CLICA AQUI. Procure atualizar, e siga as instruções do site. Não roda ainda.

    Desativar o antivirus e os antispys para rodar ferramentas.

    Utilize o utilitário de Limpeza do Windows para aliviar a carga em

    Ferramentas de Sistema >> Limpeza de Disco ou

    -> Iniciar > Executar > Na box (digite ou escreva): cleanmgr -> Ok ou enter

    Imprimir as instruções ou salvá-las em um arquivo texto para fácil acesso, facilitando no processo sem ter que ficar acessando o IE e a net.

    Desativa o Restore ou Sistema de Restauração. Não esqueça de reativá-lo após executar todas as etapas. Veja CLICA AQUI

    Faça o windows exibir todos os arquivos: Veja

    CLICA AQUI

    Rode-o. Marque a opção Delete on Reboot. Em Full Path of File to Delete, coloque:

    C:WINDOWSSystem32IKGQGJR.EXE

    Clique no "X" . Responda yes na primeira pergunta e No na segunda.

    Repita os passos, trocando apenas o arquivo em Full Path of File to Delete uma vez para cada arquivo abaixo:

    C:WINDOWSsystem32 dcvjfw.exe < - o mutante

    C:WINDOWSsystem32yhftqvd.exe

    C:WINDOWSNAIL.EXE

    C:WINDOWSSVCPROC.EXE

    C:WINDOWSSystem32DRPMON.DLL

    marcar unregister dl... - só para a(s) .dll(s)

    Reinicie o computador no Modo de Segurança apertando F8 logo que iniciar até aparecer um menu onde você pode selecionar a opção "Modo Seguro" ou "Modo de Segurança".

    Dar 02 cliques no ABIRemover.exe (tool marc) -> Start (importante!!)

    Lá, rode o HijackThis, clique em Do a system scan only e marque:

    F2 - REG:system.ini: Shell=Explorer.exe C:WINDOWSNail.exe

    O4 - HKLM..Run: [cdnodfh] C:WINDOWSsystem32 dcvjfw.exe r

    O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/pt/check/qdiagh.cab?326

    Depois de marcar estas entradas, feche todas as janelas e clique em Fix Checked.

    Rode o antispyware Ad-Aware. Siga as instruções clica

    Reinicie o computador normalmente.

    Obs. Provalvelmente voce não encontre mais esta entrada, pois ela muda constantemente.

    O4 - HKLM..Run: [cdnodfh] C:WINDOWSsystem32 dcvjfw.exe r

    Agora apresente por favor logs Find_It__s, e HJThis de novo.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Virus total

    Antivirus Version Update Result

    AntiVir 6.31.1.0 08.24.2005 no virus found

    Avast 4.6.695.0 08.24.2005 no virus found

    AVG 718 08.23.2005 no virus found

    Avira 6.31.1.0 08.24.2005 no virus found

    BitDefender 7.0 08.24.2005 no virus found

    CAT-QuickHeal 8.00 08.24.2005 no virus found

    ClamAV devel-20050725 08.24.2005 no virus found

    DrWeb 4.32b 08.24.2005 no virus found

    eTrust-Iris 7.1.194.0 08.24.2005 no virus found

    eTrust-Vet 11.9.1.0 08.24.2005 no virus found

    Fortinet 2.41.0.0 08.24.2005 no virus found

    F-Prot 3.16c 08.24.2005 no virus found

    Ikarus 0.2.59.0 08.24.2005 no virus found

    Kaspersky 4.0.2.24 08.24.2005 no virus found

    McAfee 4566 08.24.2005 no virus found

    NOD32v2 1.1200 08.23.2005 no virus found

    Norman 5.70.10 08.24.2005 no virus found

    Panda 8.02.00 08.24.2005 no virus found

    Sophos 3.96.0 08.24.2005 no virus found

    Sybari 7.5.1314 08.24.2005 no virus found

    Symantec 8.0 08.24.2005 no virus found

    TheHacker 5.8.2.094 08.24.2005 no virus found

    VBA32 3.10.4 08.24.2005 no virus found

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Ele parece bom..... :D

    agora voce manda brasa no passo a passo ok

    apresente por favor logs Find_It__s, e HJThis na volta.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • o jotti

    AntiVir Found nothing

    ArcaVir Found nothing

    Avast Found nothing

    AVG Antivirus Found nothing

    BitDefender Found nothing

    ClamAV Found nothing

    Dr.Web Found nothing

    F-Prot Antivirus Found nothing

    Fortinet Found nothing

    Kaspersky Anti-Virus Found nothing

    NOD32 Found nothing

    Norman Virus Control Found nothing

    UNA Found nothing

    VBA32 Found nothing

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Tudo bem Puma

    estou esperrando agora voce terminar o passo a passo

    veja la acima como esta explicado....

    Download tool Marc clica.

    Unzip numa pasta em C:/

    Faça o download da ferramenta Killbox do Option^Explicit em:

    http://www.downloads.subratam.org/KillBox.zip

    ....

    ....

    ....

    Agora apresente por favor logs Find_It__s, e HJThis de novo.

    :rolleyes:

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Antes de postar os 2 logs, no passo em que você pede pra FIX CHECKED, eu não encontrei os arquivos

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

    O4 - HKLM\..\Run: [cdnodfh] C:\WINDOWS\system32\tdcvjfw.exe r

    Logfile of HijackThis v1.99.1

    Scan saved at 17:47:07, on 24/8/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\Arquivos de programas\Winamp\winampa.exe

    C:\WINDOWS\system32\RUNDLL32.EXE

    C:\WINDOWS\Mixer.exe

    C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe

    C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

    C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe

    C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    C:\Arquivos de programas\Microsoft AntiSpyware\gcasServ.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Skype\Phone\Skype.exe

    C:\WINDOWS\system32\alsgoco.exe

    C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    C:\Arquivos de programas\Microsoft AntiSpyware\gcasDtServ.exe

    C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    C:\WINDOWS\system32\nvsvc32.exe

    C:\WINDOWS\system32\fxssvc.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\Downloads\hijackthis\HijackThis.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARQUIV~1\FlashGet\jccatch.dll

    O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

    O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

    O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe

    O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"

    O4 - HKLM\..\Run: [HP Software Update] "C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

    O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    O4 - HKLM\..\Run: [gcasServ] "C:\Arquivos de programas\Microsoft AntiSpyware\gcasServ.exe"

    O4 - HKLM\..\Run: [vrukmcc] C:\WINDOWS\system32\alsgoco.exe r

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O8 - Extra context menu item: Download All by FlashGet - C:\Arquivos de programas\FlashGet\jc_all.htm

    O8 - Extra context menu item: Download using FlashGet - C:\Arquivos de programas\FlashGet\jc_link.htm

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\flashget.exe

    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\flashget.exe

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

    O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire Marbies&Diamonds) - http://200.189.188.245/g_bin/eng/marbles_2_0_0_21.cab

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab

    O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

    O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    Find_ it

    Microsoft Windows XP [versÆo 5.1.2600]

    PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

    »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    Dont delete file's in the section without guidance

    If any doubt back them up first

    * UPX! C:\WINDOWS\System32\ALSGOCO.EXE

    * UPX! C:\WINDOWS\System32\ASWBOOT.EXE

    »»»»» lagitamate file's can/will show in this section.

    * UPX! C:\WINDOWS\System32\DRPMON.DLL

    »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

    O volume na unidade C nÆo tem nome.

    O n£mero de s‚rie do volume ‚ 941E-8EDB

    Pasta de C:\WINDOWS\SYSTEM32

    »»»»» Checking for SAHAgent ico files.

    O volume na unidade C nÆo tem nome.

    O n£mero de s‚rie do volume ‚ 941E-8EDB

    Pasta de C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»».

    HKEY_CURRENT_USER\Software\aurora\AUI3d5OfSInst

    HKEY_CURRENT_USER\Software\aurora\AUC3n5trMsgSDisp

    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky1S

    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky2S

    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky3S

    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky4S

    HKEY_CURRENT_USER\Software\aurora\AUC1o3d5eOfSFinalAd

    HKEY_CURRENT_USER\Software\aurora\AUT3i5m7eOfSFinalAd

    HKEY_CURRENT_USER\Software\aurora\AUD3s5tSSEnd

    HKEY_CURRENT_USER\Software\aurora\AU3N5a7tionSCode

    HKEY_CURRENT_USER\Software\aurora\AUP3D5om

    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSCheckSIn

    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSMots

    HKEY_CURRENT_USER\Software\aurora\AUM3o5deSSync

    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSCab

    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSEx

    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSLstest

    HKEY_CURRENT_USER\Software\aurora\AUB3D5om

    HKEY_CURRENT_USER\Software\aurora\AUE3v5nt

    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSBath

    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSysSInf

    HKEY_CURRENT_USER\Software\aurora\AUL3n5Title

    HKEY_CURRENT_USER\Software\aurora\AUC3u5rrentSMode

    HKEY_CURRENT_USER\Software\aurora\AUC3n5tFyl

    HKEY_CURRENT_USER\Software\aurora\AUI3g5noreS

    HKEY_CURRENT_USER\Software\aurora\AUS3t5atusOfSInst

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon\Driver

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon\Driver

    O infeliz continua aqui me dizendo oi.. :cry:

    Apareceu o seguinte aviso do microsoft antispyware:

    An apllication Change has been allowed

    - microsoft antispyware has blocked the windows service (C:\WINDOWS\SVCPROC.EXE) to be installed

    -this windows service was blocked based on your previous input.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Apareceu o seguinte aviso do microsoft antispyware:

    An apllication Change has been allowed

    - microsoft antispyware has blocked the windows service (C:WINDOWSSVCPROC.EXE) to be installed

    -this windows service was blocked based on your previous input.

    desativa provisoriamente, ou da um exit nos antivirus e antispywares quando for executar os procedimentos.

    eu não encontrei o

    O4 - HKLM..Run: [cdnodfh] C:WINDOWSsystem32 dcvjfw.exe r

    ele muda, um mutante, mas deixa um rastro... a letra r ... :D

    Por favor -> clica aqui

    baixa esta ferramenta na sua area de trabalho ou em algum canto ai.

    Rode a Kill Box. Marque a opção Delete on Reboot. Em Full Path of File to Delete, coloque o mutante (não vai fazer coisa errada heim) que foi ou pode ser este :

    C:WINDOWSsystem32alsgoco.exe

    Clique no "X" . Responda yes na primeira pergunta e No na segunda.

    Repita os passos, trocando apenas o arquivo em Full Path of File to Delete uma vez para cada arquivo abaixo:

    C:WINDOWSSystem32DRPMON.DLL

    marcar unregister dlls... - só para a(s) .dll(s)

    Reinicie o computador no Modo de Segurança apertando F8 logo que iniciar até aparecer um menu onde você pode selecionar a opção "Modo Seguro" ou "Modo de Segurança".

    Rodar a ferramenta que voce baixou em algum canto ai (isto n pode esquecer)

    Lá, rode o HijackThis, clique em Do a system scan only e marque:

    O4 - HKLM..Run: [vrukmcc] C:WINDOWSsystem32alsgoco.exe r a letra r

    Depois de marcar estas entradas, feche todas as janelas e clique em Fix Checked.

    reiniciar -> apresente por favor logs Find_It__s, e HJThis na volta.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Logfile of HijackThis v1.99.1

    Scan saved at 22:22:08, on 24/8/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\Arquivos de programas\Winamp\winampa.exe

    C:\WINDOWS\system32\RUNDLL32.EXE

    C:\WINDOWS\Mixer.exe

    C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe

    C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

    C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe

    C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Skype\Phone\Skype.exe

    C:\WINDOWS\system32\yxagvjn.exe

    C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    C:\WINDOWS\system32\nvsvc32.exe

    C:\WINDOWS\system32\fxssvc.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\Downloads\hijackthis\HijackThis.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARQUIV~1\FlashGet\jccatch.dll

    O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

    O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

    O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe

    O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"

    O4 - HKLM\..\Run: [HP Software Update] "C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

    O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    O4 - HKLM\..\Run: [gcasServ] "C:\Arquivos de programas\Microsoft AntiSpyware\gcasServ.exe"

    O4 - HKLM\..\Run: [tntewkk] C:\WINDOWS\system32\yxagvjn.exe r

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O8 - Extra context menu item: Download All by FlashGet - C:\Arquivos de programas\FlashGet\jc_all.htm

    O8 - Extra context menu item: Download using FlashGet - C:\Arquivos de programas\FlashGet\jc_link.htm

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\flashget.exe

    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\flashget.exe

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

    O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire Marbies&Diamonds) - http://200.189.188.245/g_bin/eng/marbles_2_0_0_21.cab

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab

    O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

    O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    Microsoft Windows XP [versÆo 5.1.2600]

    PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

    »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    Dont delete file's in the section without guidance

    If any doubt back them up first

    * UPX! C:\WINDOWS\System32\ASWBOOT.EXE

    * UPX! C:\WINDOWS\System32\YXAGVJN.EXE

    »»»»» lagitamate file's can/will show in this section.

    »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

    O volume na unidade C nÆo tem nome.

    O n£mero de s‚rie do volume ‚ 941E-8EDB

    Pasta de C:\WINDOWS\SYSTEM32

    »»»»» Checking for SAHAgent ico files.

    O volume na unidade C nÆo tem nome.

    O n£mero de s‚rie do volume ‚ 941E-8EDB

    Pasta de C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»».

    HKEY_CURRENT_USER\Software\aurora\AUI3d5OfSInst

    HKEY_CURRENT_USER\Software\aurora\AUC3n5trMsgSDisp

    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky1S

    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky2S

    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky3S

    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky4S

    HKEY_CURRENT_USER\Software\aurora\AUC1o3d5eOfSFinalAd

    HKEY_CURRENT_USER\Software\aurora\AUT3i5m7eOfSFinalAd

    HKEY_CURRENT_USER\Software\aurora\AUD3s5tSSEnd

    HKEY_CURRENT_USER\Software\aurora\AU3N5a7tionSCode

    HKEY_CURRENT_USER\Software\aurora\AUP3D5om

    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSCheckSIn

    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSMots

    HKEY_CURRENT_USER\Software\aurora\AUM3o5deSSync

    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSCab

    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSEx

    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSLstest

    HKEY_CURRENT_USER\Software\aurora\AUC3n5tFyl

    Essa praga é eterna é ???? nossa que trabalhão hein...

    Ahh quando rodei o scan do HijackThis, reparei que na janela que abre antes, apareceu um infeliz de novo.. o C:\WINDOWS\System32\YXAGVJN.EXE com o r no fim...

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Essa praga é eterna é ???? nossa que trabalhão hein...

    voce já esta familiarizado com ela!.

    infeliz de novo..

    Prepara.... HJThis + killbox

    Roda a HJThis e veja

    Pega a killbox e mata o infeliz .... com o r

    Marca a entrada n. 4 por exemplo

    O4 - HKLM\..\Run: [tntewkk] C:\WINDOWS\system32\yxagvjn.exe r

    Fix

    depois

    Iniciar -> executar -> escrever a palavra regedit - > ok -> tecla F3 -> escreva a palavra bonita Aurora -> enter -> ai com o mouse do lado direito deleta a Aurora

    reiniciar -> apresente por favor logs Find_It__s, e HJThis na volta.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Logfile of HijackThis v1.99.1

    Scan saved at 23:20:23, on 24/8/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Arquivos de programas\Winamp\winampa.exe

    C:\WINDOWS\system32\RUNDLL32.EXE

    C:\WINDOWS\Mixer.exe

    C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe

    C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

    C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe

    C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    C:\WINDOWS\system32\cmjlbly.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Skype\Phone\Skype.exe

    C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    C:\WINDOWS\system32\nvsvc32.exe

    C:\WINDOWS\system32\fxssvc.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

    C:\WINDOWS\system32\wuauclt.exe

    C:\Downloads\hijackthis\HijackThis.exe

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARQUIV~1\FlashGet\jccatch.dll

    O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

    O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

    O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe

    O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"

    O4 - HKLM\..\Run: [HP Software Update] "C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

    O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    O4 - HKLM\..\Run: [gcasServ] "C:\Arquivos de programas\Microsoft AntiSpyware\gcasServ.exe"

    O4 - HKLM\..\Run: [esqfhk] C:\WINDOWS\system32\cmjlbly.exe r

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O8 - Extra context menu item: Download All by FlashGet - C:\Arquivos de programas\FlashGet\jc_all.htm

    O8 - Extra context menu item: Download using FlashGet - C:\Arquivos de programas\FlashGet\jc_link.htm

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\flashget.exe

    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\flashget.exe

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

    O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire Marbies&Diamonds) - http://200.189.188.245/g_bin/eng/marbles_2_0_0_21.cab

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab

    O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

    O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

    Microsoft Windows XP [versÆo 5.1.2600]

    PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

    »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    Dont delete file's in the section without guidance

    If any doubt back them up first

    * UPX! C:\WINDOWS\System32\ASWBOOT.EXE

    * UPX! C:\WINDOWS\System32\CMJLBLY.EXE

    * UPX! C:\WINDOWS\NAIL.EXE

    * UPX! C:\WINDOWS\SVCPROC.EXE

    * UPX! C:\WINDOWS\YBGKFF~1.EXE

    »»»»» lagitamate file's can/will show in this section.

    * UPX! C:\WINDOWS\System32\DRPMON.DLL

    »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

    O volume na unidade C nÆo tem nome.

    O n£mero de s‚rie do volume ‚ 941E-8EDB

    Pasta de C:\WINDOWS\SYSTEM32

    »»»»» Checking for SAHAgent ico files.

    O volume na unidade C nÆo tem nome.

    O n£mero de s‚rie do volume ‚ 941E-8EDB

    Pasta de C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»».

    HKEY_CURRENT_USER\Software\aurora\AUI3d5OfSInst

    HKEY_CURRENT_USER\Software\aurora\AUC3n5trMsgSDisp

    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky1S

    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky2S

    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky3S

    HKEY_CURRENT_USER\Software\aurora\AUs3t5icky4S

    HKEY_CURRENT_USER\Software\aurora\AUC1o3d5eOfSFinalAd

    HKEY_CURRENT_USER\Software\aurora\AUT3i5m7eOfSFinalAd

    HKEY_CURRENT_USER\Software\aurora\AUD3s5tSSEnd

    HKEY_CURRENT_USER\Software\aurora\AU3N5a7tionSCode

    HKEY_CURRENT_USER\Software\aurora\AUP3D5om

    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSCheckSIn

    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSMots

    HKEY_CURRENT_USER\Software\aurora\AUM3o5deSSync

    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSCab

    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSEx

    HKEY_CURRENT_USER\Software\aurora\AUI3n5ProgSLstest

    HKEY_CURRENT_USER\Software\aurora\AUB3D5om

    HKEY_CURRENT_USER\Software\aurora\AUE3v5nt

    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSBath

    HKEY_CURRENT_USER\Software\aurora\AUT3h5rshSysSInf

    HKEY_CURRENT_USER\Software\aurora\AUL3n5Title

    HKEY_CURRENT_USER\Software\aurora\AUC3u5rrentSMode

    HKEY_CURRENT_USER\Software\aurora\AUC3n5tFyl

    HKEY_CURRENT_USER\Software\aurora\AUI3g5noreS

    HKEY_CURRENT_USER\Software\aurora\AUS3t5atusOfSInst

    HKEY_CURRENT_USER\Software\aurora\AUL3a5stSSChckin

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon\Driver

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon\Driver

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Monitors\ZepMon\Driver

    Lá está mais uma vez o infeliz....O4 - HKLM\..\Run: [esqfhk] C:\WINDOWS\system32\cmjlbly.exe r

    Novidades.. uma janela que eu nunca mais tinha visto... uma tal de Aurora.. ahuahuahuha, voltou a abrir quando abro algo no Internet explorer. sempre que ele pergunta se quero continuar executando o script digo não... aff

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Novidades.. uma janela que eu nunca mais tinha visto... uma tal de Aurora.. ahuahuahuha,

    Paciência Puma... assim

    Se ficar a raiz, como foi o caso do mutante…:ph34r: , volta tudo a tona com carga total. Então vamos ter que caminhar tudo novamente. Vamos usar outro esquema.

    Faça o download do Ewido:

    http://www.ewido.net/en/download/

    Instale e atualize, mas não faça um scan ainda.

    Faça o download do NailFix.CMD de um dos links:

    http://www.noidea.us/easyfile/file.php?dow...050515010747824

    http://andymanchesta.com/Downloads/nailfix.zip

    Extraia para uma pasta qualquer, mas não rode o arquivo ainda!

    Talvez você queira salvar ou imprimir essas instruções, pois agora você deve reiniciar o computador e não terá acesso ao tópico.

    Para seus antivirus e antispywares por enquanto.

    Iniciar -> Executar. Digite services.msc e clique em OK. Procure o serviço "System Startup Service"(SvcProc). Dê um clique direito nele e clique em Propriedades. Clique em Parar e troque o Tipo de Inicialização para Desativado.

    Roda a Hijackthis para voce ver o mutante :ph34r:. voce já sabe como identificá-lo.

    Rode a Kill Box. Marque a opção Delete on Reboot. Em Full Path of File to Delete, colocar:

    C:\WINDOWS\NAIL.EXE

    Clique no "X" . Responda yes na primeira pergunta e No na segunda.

    Repita os passos, trocando apenas o arquivo em Full Path of File to Delete uma vez para cada arquivo abaixo, e não esqueça do mutante:

    :ph34r::chicote:

    C:\WINDOWS\SVCPROC.EXE

    C:\WINDOWS\YBGKFF~1.EXE

    C:\WINDOWS\System32\DRPMON.DLL

    marcar unregister dlls... - só para a(s) .dll(s)

    Reinicie o computador no Modo de Segurança apertando F8 logo que iniciar até aparecer um menu onde você pode selecionar a opção Modo Seguro.

    Quando iniciar no Modo de Segurança, clique em

    Depois rode o Nailfix.cmd. Você verá uma tela piscar e sumir.

    Rode o Ewido e faça um scan completo. Salve o log dele para postar no tópico depois.

    Rode o HijackThis, clique em Do a system scan only e marque:

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

    -> entrada mutante -> O4 - HKLM\..\Run: :ph34r::chicote:

    O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

    Feche qualquer janela aberta e clique em Fix Checked.

    Reinicie o computador normalmente.

    Veja se os problemas continuam e poste um log do HijackThis e o log do Ewido quando você fez o scan no Modo de Segurança.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • OK, que nem diria o Jack Estripador, vamos por partes:

    1º - Baixei os dois programas solicitados, atualizei o Ewido mas não rodei o scaner.

    2º - Rodei o Kill Box, mas o arquivo mutante não apareceu em azul como deveria.

    3º - Entrei no modo services.msc e desativei o tipo de inicialização do SvcProc, só naão tinha a Opção de parar, pois pra mim ela estava inativa, sendo assim so escolhi o tipo de inicialização.

    4º - Rodei o NAILFix, simplesmente só pisca mesmo a tela?

    5º Rodei o Ewido, log segue abaixo (ainda em modo de segurança):

    ---------------------------------------------------------

    ewido security suite - Relatório de verificação

    ---------------------------------------------------------

    + Criado em: 14:33:31, 26/8/2005

    + Relatório-Checksum: A3ED8AE9

    + Resultado da verificação:

    HKLM\SOFTWARE\Classes\CLSID\{BFC9677B-8006-4336-9D49-2C797AEFCB9E} -> Dialer.Generic : Limpo com backup

    HKLM\SOFTWARE\Classes\Interface\{8578D35E-C6C0-4808-9A80-0F6C29A2C423} -> Spyware.HotBar : Limpo com backup

    HKLM\SOFTWARE\Classes\Interface\{BC190DA5-0187-4D99-B3AC-6C45EA1B9324} -> Spyware.HotBar : Limpo com backup

    HKLM\SOFTWARE\Classes\TypeLib\{71EFE583-62FE-4419-9918-CA3B683F7B36} -> Spyware.HotBar : Limpo com backup

    HKLM\SOFTWARE\HbTools -> Spyware.HotBar : Limpo com backup

    HKLM\SOFTWARE\HbTools\HbTools -> Spyware.HotBar : Limpo com backup

    HKLM\SOFTWARE\HbTools\HbTools\PI -> Spyware.HotBar : Limpo com backup

    HKLM\SOFTWARE\HbTools\HbTools\PI\3.2 -> Spyware.HotBar : Limpo com backup

    HKLM\SOFTWARE\HbTools\Hotbar -> Spyware.HotBar : Limpo com backup

    HKLM\SOFTWARE\HbTools\Hotbar\Install -> Spyware.HotBar : Limpo com backup

    HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{7E66936C-FEA0-4984-AD26-7B6661AC5B2E} -> Spyware.HotBar : Limpo com backup

    HKLM\SOFTWARE\ShopperReports -> Spyware.HotBar : Limpo com backup

    HKLM\SOFTWARE\ShopperReports\ShopperReports -> Spyware.HotBar : Limpo com backup

    HKLM\SOFTWARE\ShopperReports\ShopperReports\PostInstaller -> Spyware.HotBar : Limpo com backup

    HKU\S-1-5-21-1708537768-1677128483-1343024091-1003\Software\ShopperReports -> Spyware.HotBar : Limpo com backup

    HKU\S-1-5-21-1708537768-1677128483-1343024091-1003\Software\ShopperReports\ShopperReports -> Spyware.HotBar : Limpo com backup

    HKU\S-1-5-21-1708537768-1677128483-1343024091-1003\Software\ShopperReports\ShopperReports\PostInstaller -> Spyware.HotBar : Limpo com backup

    C:\Arquivos de programas\Microsoft AntiSpyware\Quarantine\22346960-6D90-4E21-8455-CFF6AC\339DAA76-CCF2-4256-8871-4AAAC2 -> Trojan.Agent.db : Limpo com backup

    C:\Arquivos de programas\Microsoft AntiSpyware\Quarantine\5749DE9B-BFC5-4568-BB53-13FA77\C572BBB2-1044-4B3C-8611-F88039 -> Trojan.Agent.db : Limpo com backup

    C:\Arquivos de programas\Microsoft AntiSpyware\Quarantine\5C0AB751-DCFD-42ED-BBD1-A2E6EC\C77118A8-CA5F-45B1-9D42-C686D3 -> Trojan.Agent.db : Limpo com backup

    C:\Arquivos de programas\Microsoft AntiSpyware\Quarantine\9419D29C-E443-49C1-B2D3-765DF8\558F4EDC-5982-44E2-B633-AF9FCA -> Trojan.Agent.db : Limpo com backup

    C:\Arquivos de programas\Microsoft AntiSpyware\Quarantine\C220165F-B526-410B-8485-62210C\E92DAF53-DAD3-4C57-81E4-D76681 -> Trojan.Agent.db : Limpo com backup

    C:\Arquivos de programas\Microsoft AntiSpyware\Quarantine\E7485CC2-25AF-4AF0-A11D-28FFAD\3D2183C3-5C8E-4108-BF72-7C2863 -> Trojan.Agent.db : Limpo com backup

    C:\Documents and Settings\Roberta\Cookies\roberta@abetterinternet[1].txt -> Spyware.Cookie.Abetterinternet : Limpo com backup

    C:\Documents and Settings\Roberta\Cookies\roberta@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Limpo com backup

    C:\Documents and Settings\Roberta\Cookies\roberta@casalemedia[2].txt -> Spyware.Cookie.Casalemedia : Limpo com backup

    C:\Documents and Settings\Roberta\Cookies\roberta@paypopup[2].txt -> Spyware.Cookie.Paypopup : Limpo com backup

    C:\Documents and Settings\Roberta\Cookies\roberta@tradedoubler[2].txt -> Spyware.Cookie.Tradedoubler : Limpo com backup

    C:\WINDOWS\system32\AdCache -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_0_250700.gif -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_0_262300.gif -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_0_277800.gif -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_0_294200.gif -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_0_313400.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_0_313400.swf -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_0_315000.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_0_315000.swf -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_0_401800.gif -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_0_402100.gif -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_0_402400.gif -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_0_445900.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_0_446000.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_4_183000.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_4_183000.swf -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_4_183100.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_0_4_183100.swf -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_1_0_448500.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_1_0_448600.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_1_0_453800.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_0_319200.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_0_319200.swf -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_0_325500.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_0_334100.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_0_334100.swf -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_0_341400.gif -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_0_341400.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_0_375400.gif -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_0_375400.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_0_814200.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_0_815600.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_0_815900.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_4_265500.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_4_265500.swf -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_4_273100.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_4_273100.swf -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_4_349200.htm -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_4_349200.swf -> Adware.Cydoor : Limpo com backup

    C:\WINDOWS\system32\AdCache\B_434_2_4_359400.htm -> Adware.Cydoor : Limpo com backup

    ::Fim do Relatório

    6º - Executei tabm o HIJACKTHIS, log abaixo:

    Logfile of HijackThis v1.99.1

    Scan saved at 14:43:36, on 26/8/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\Arquivos de programas\Winamp\winampa.exe

    C:\WINDOWS\system32\RUNDLL32.EXE

    C:\WINDOWS\Mixer.exe

    C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe

    C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

    C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe

    C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Skype\Phone\Skype.exe

    C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    C:\Arquivos de programas\Microsoft AntiSpyware\gcasDtServ.exe

    C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    C:\Arquivos de programas\ewido\security suite\ewidoctrl.exe

    C:\Arquivos de programas\ewido\security suite\ewidoguard.exe

    C:\WINDOWS\system32\nvsvc32.exe

    C:\WINDOWS\system32\fxssvc.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Downloads\hijackthis\HijackThis.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARQUIV~1\FlashGet\jccatch.dll

    O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

    O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

    O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe

    O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"

    O4 - HKLM\..\Run: [HP Software Update] "C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

    O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    O4 - HKLM\..\Run: [gcasServ] "C:\Arquivos de programas\Microsoft AntiSpyware\gcasServ.exe"

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O8 - Extra context menu item: Download All by FlashGet - C:\Arquivos de programas\FlashGet\jc_all.htm

    O8 - Extra context menu item: Download using FlashGet - C:\Arquivos de programas\FlashGet\jc_link.htm

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\flashget.exe

    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\flashget.exe

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

    O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire Marbies&Diamonds) - http://200.189.188.245/g_bin/eng/marbles_2_0_0_21.cab

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab

    O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

    O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido\security suite\ewidoctrl.exe

    O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\ewido\security suite\ewidoguard.exe

    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    Obs.: a entrada O23 - Service System Start Up Service (SvcProc) - Unknown Owner - C:\Windows\svcproc.exe não apareceu em nenhum momento no hijackthis.

    Obs2: Estarei rodando novamente o Ewido em modo NORMAL.

    Obs3: Vou dar uma saida rapida, poste aí se eu fiz certo ou errado q quando eu chegar eu mando brasa!

    valeu

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Obs2: Estarei rodando novamente o Ewido em modo NORMAL.

    Não precisa mais.

    Vou dar uma saida rapida, poste aí se eu fiz certo ou errado

    Muito bem, voce concluiu com sucesso a retirada do Aurora.

    :-BEER

    q quando eu chegar eu mando brasa!

    Agora acabou!. Somente resta isto

    Agradeço seus retornos...

    valeu

    Puma

    :joia:

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • nÃO TEM MAIS NADA ACUSADO PELO: AVAST, SPYBOT, AD AWARE se, EWIDO, antispy microsoft....

    LINDOOOOOOOOO!!!

    Agora só queria mais uma dica... o que eu posso manter ou trocar no meu pc ???

    Pra não ter mais tantos prols..

    O que eu tiro também.. porque foi tanto programa que nem sei o e deixar ou sei lá.. ou pra lixeira.. ehehehehe

    Muitissimo obrigada pela sua paciencia e ajuda... nossa valeu meesmo..

    Abraços Puma

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    nÃO TEM MAIS NADA ACUSADO PELO: AVAST, SPYBOT, AD AWARE se, EWIDO, antispy microsoft....

    :-BEER

    Agora só queria mais uma dica... o que eu posso manter ou trocar no meu pc ???

    Pra não ter mais tantos prols..

    Seu PC tem uma boa config. N precisa mudar nada.

    O que eu tiro também.. porque foi tanto programa que nem sei o e deixar ou sei lá.. ou pra lixeira.. ehehehehe

    As ferramentas voce pode retirar todas, pois sao especificas para os casos. Conserve o Ad Aware, o Ewido e trial, deixa o SB S D ou antispyware (somente um ne) ativo, coloque uma firewall, mais dados acessar este site

    http://linhadefensiva.uol.com.br/artigos/proteja-seu-pc/

    Muitissimo obrigada pela sua paciencia e ajuda... nossa valeu meesmo..

    q isto... fazemos com prazer

    <div class='bbimg'>%7Boption%7Dhttp://img108.imageshack.us/img108/1301/images43tt.jpg' border='0' alt='Imagem postada pelo usuário' /></div>

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    CASO RESOLVIDO!

    Caso o autor do tópico necessite, o mesmo será reaberto, para isso o mesmo deverá procurar um Moderador da área e solicitar o desbloqueio!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×