Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Caue0088

Peço análise em log, por favor.

Recommended Posts

Olá, meu PC está lento demais em relação a aberturas de janelas (se é assim que posso descrever), por exemplo, clico num ícone tal para abrir um programa tal e demora muito, mas muito mesmo para se aparecer a janela, e as vezes acaba nem abrindo.

Outra coisa é que sempre que inico o Windows o ewido da um alerta sobre um tal TrojanDownloader.Zlob.az que não consigo limpar. Fora tambem que quando estou navegando normalmente pela internet, aparecem popups do nada, sendo que nem estou com página nenhuma aberta, e às vezes, na barra de ferramentas junto ao relógio, também aparece um ícone de alerta (que não é de nenhum anti-spyware meu), quando clico nele me leva à site como do "SpyTrooper", "SpyAxe" (coisas do tipo).

Aí vai o log:

Logfile of HijackThis v1.99.1

Scan saved at 13:39:39, on 7/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\cisvc.exe

C:\Arquivos de programas\ewido\security suite\ewidoctrl.exe

C:\Arquivos de programas\ewido\security suite\ewidoguard.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\ARQUIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\ARQUIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\mqsvc.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\mqtgsvc.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\Arquivos de programas\SpywareGuard\sgmain.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqgalry.exe

C:\Arquivos de programas\SpywareGuard\sgbhp.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Discador UOL 10.0 Light\Discador Light.exe

C:\WINDOWS\system32\mssearchnet.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqgalry.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqkygrp.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqdstcp.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqscnvw.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Arquivos de programas\SpywareGuard\dlprotect.dll

O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)

O3 - Toolbar: (no name) - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - (no file)

O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\ARQUIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] C:\Arquivos de programas\Puxa Rápido\Atualiza.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [HP Software Update] "C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"

O4 - Startup: SpywareGuard.lnk = C:\Arquivos de programas\SpywareGuard\sgmain.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicialização rápida do HP Image Zone.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqthb08.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol.com.br/discadorUOL/lig...tiveInstall.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BA3E9302-DB56-4E04-90FC-FD88F3CDD5C3}: NameServer = 200.147.255.101 200.221.11.100

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\ewido\security suite\ewidoguard.exe

O23 - Service: Serviço de proteção automática do Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARQUIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARQUIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\SymWSC.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

Baixe:

KillBox

CCleaner

Ad-Aware

smitRem > Salve no desktop.

- Instale o Ad-Aware, atualize mas não use ainda.

- Instale o CCleaner, mas também não use.

- Se for possível, atualize o Ewido.

Dê um duplo-clique em smitRem.exe e clique em Start. A pasta smitRem será criada no desktop. Aguarde o momento de usar.

Salve ou imprima estas instruções:

1 - Rode o KillBox e marque Delete on Reboot e coloque em Full Path of File to Delete:

C:\WINDOWS\system32\mssearchnet.exe

Clique no botão com o X, em Yes e novamente em Yes.

2 - Vá na pasta smitRem. Dê um duplo-clique em RunThis.bat.

É normal o desktop e os ícones desaparecer/reaparecer. Espere o exame ser concluído. O log smitfiles.txt será criado na raiz do disco (em C:\).

3 - Faça um full scan com o Ad-Aware. Coloque na Quarentena todos os arquivos detectados.

4 - Faça um full scan com o Ewido. Salve o log.

5 - Faça um scan com o HijackThis, marque as entradas abaixo e clique em Fix checked:

O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)

O3 - Toolbar: (no name) - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - (no file)

6 - Rode o CCleaner clicando em Executar Cleaner.

7 - Reinicie em modo normal, faça um scan com o HijackThis e salve o log.

Poste os logs > smitfiles.txt, Ewido e HijackThis.

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Obrigado em ajudar. Fiz o que você pediu, somente no passo em que se usa o KiilBox que não aconteceu tudo como você falou, fiz tudo certo: marquei a caixa Delete on Reboot, coloquei o determinado diretório em Full Path of File to Delete, mas na hora de apertar o botão com o X, apareceu somente uma mensagem, a qual cliquei em "Sim", depois desta não apereceu outra, o computador reiniciou e então segui os outros passos. Aí segue os seguintes logs (smitfiles.txt, ewido e HijackThis):

    ---------------smitfiles.txt---------------

    smitRem © log file

    version 2.7

    by noahdfear

    Microsoft Windows XP [versÆo 5.1.2600]

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    checking for ShudderLTD key

    ShudderLTD key not present!

    checking for PSGuard.com key

    PSGuard.com key not present!

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Existing Pre-run Files

    ~~~ Program Files ~~~

    ~~~ Shortcuts ~~~

    ~~~ Favorites ~~~

    Antivirus Test Online.url

    ~~~ system32 folder ~~~

    msvol.tlb

    ncompat.tlb

    nvctrl.exe

    mscornet.exe

    logfiles

    ~~~ Icons in System32 ~~~

    ts.ico

    ot.ico

    ~~~ Windows directory ~~~

    ~~~ Drive root ~~~

    ~~~ Miscellaneous Files/folders ~~~

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Remaining Post-run Files

    ~~~ Program Files ~~~

    ~~~ Shortcuts ~~~

    ~~~ Favorites ~~~

    ~~~ system32 folder ~~~

    mscornet.exe

    ~~~ Icons in System32 ~~~

    ~~~ Windows directory ~~~

    ~~~ Drive root ~~~

    ~~~ Miscellaneous Files/folders ~~~

    ~~~ Wininet.dll ~~~

    CLEAN! :)

    ---------------ewido---------------

    ---------------------------------------------------------

    ewido security suite - Relatório de verificação

    ---------------------------------------------------------

    + Criado em: 17:42:45, 8/11/2005

    + Relatório-Checksum: E84D2D99

    + Resultado da verificação:

    [600] C:\WINDOWS\system32\ld29A7.tmp -> TrojanDownloader.Zlob.az : Erro durante a limpeza

    :mozilla.6:C:\Documents and Settings\Cauê\Dados de aplicativos\Mozilla\Firefox\Profiles\faxhh1pv.default\cookies.txt -> Spyware.Cookie.Tribalfusion : Limpo com backup

    C:\WINDOWS\system32\__delete_on_reboot__ld29A7.tmp -> TrojanDownloader.Zlob.az : Limpo com backup

    ::Fim do Relatório

    ---------------HijackThis---------------

    Logfile of HijackThis v1.99.1

    Scan saved at 17:58:13, on 8/11/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

    C:\WINDOWS\system32\cisvc.exe

    C:\Arquivos de programas\ewido\security suite\ewidoctrl.exe

    C:\Arquivos de programas\ewido\security suite\ewidoguard.exe

    C:\WINDOWS\system32\inetsrv\inetinfo.exe

    C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\navapsvc.exe

    C:\ARQUIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\nvsvc32.exe

    C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\SAVScan.exe

    C:\WINDOWS\system32\tcpsvcs.exe

    C:\WINDOWS\System32\snmp.exe

    C:\ARQUIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

    C:\WINDOWS\system32\svchost.exe

    C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

    C:\WINDOWS\system32\mqsvc.exe

    C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\SymWSC.exe

    C:\WINDOWS\system32\mqtgsvc.exe

    C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

    C:\WINDOWS\system32\RUNDLL32.EXE

    C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

    C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

    C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

    C:\Arquivos de programas\SpywareGuard\sgmain.exe

    C:\Arquivos de programas\SpywareGuard\sgbhp.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\Arquivos de programas\HP\Digital Imaging\bin\hpqgalry.exe

    C:\ARQUIV~1\MOZILL~1\FIREFOX.EXE

    C:\Arquivos de programas\Messenger\msmsgs.exe

    C:\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

    O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Arquivos de programas\SpywareGuard\dlprotect.dll

    O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"

    O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\ARQUIV~1\SYMNET~1\SNDMon.exe /Consumer

    O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] C:\Arquivos de programas\Puxa Rápido\Atualiza.exe

    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    O4 - HKLM\..\Run: [HP Software Update] "C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe"

    O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"

    O4 - Startup: SpywareGuard.lnk = C:\Arquivos de programas\SpywareGuard\sgmain.exe

    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

    O4 - Global Startup: Inicialização rápida do HP Image Zone.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqthb08.exe

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

    O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol.com.br/discadorUOL/lig...tiveInstall.cab

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe

    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

    O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido\security suite\ewidoctrl.exe

    O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\ewido\security suite\ewidoguard.exe

    O23 - Service: Serviço de proteção automática do Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\navapsvc.exe

    O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARQUIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

    O23 - Service: SAVScan - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\SAVScan.exe

    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

    O23 - Service: Speed Disk service - Symantec Corporation - C:\ARQUIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\SymWSC.exe

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Remova do C:\ o primeiro smitfiles.txt e repita estes procedimentos em modo de segurança:

    1 - Vá na pasta smitRem. Dê um duplo-clique em RunThis.bat. Espere o exame ser concluído.

    2 - Faça um full scan com o Ad-Aware. Coloque na Quarentena todos os arquivos detectados.

    3 - Faça um full scan com o Ewido. Salve o log.

    4 - Rode o CCleaner clicando em Executar Cleaner.

    Poste os logs > smitfiles.txt e Ewido.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Fiz os passos, só queria relatar que na hora que fui remover o smitfiles.txt, notei uma pasta "estranha" em C:, nomeada Inetpub. Procurei sobre isso no Google, mas não achei resultados claros, porém vi que parece ter alguma coisa a ver com invasão, se não entendi errado. Estou meio preocupado. Você sabe me dizer algo sobre isso? Aí vão os logs que você pediu:

    ---------------smitfiles.txt---------------

    smitRem © log file

    version 2.7

    by noahdfear

    Microsoft Windows XP [versÆo 5.1.2600]

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    checking for ShudderLTD key

    ShudderLTD key not present!

    checking for PSGuard.com key

    PSGuard.com key not present!

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Existing Pre-run Files

    ~~~ Program Files ~~~

    ~~~ Shortcuts ~~~

    ~~~ Favorites ~~~

    Antivirus Test Online.url

    ~~~ system32 folder ~~~

    msvol.tlb

    mssearchnet.exe

    ncompat.tlb

    nvctrl.exe

    mscornet.exe

    ~~~ Icons in System32 ~~~

    ts.ico

    ot.ico

    ~~~ Windows directory ~~~

    ~~~ Drive root ~~~

    ~~~ Miscellaneous Files/folders ~~~

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Remaining Post-run Files

    ~~~ Program Files ~~~

    ~~~ Shortcuts ~~~

    ~~~ Favorites ~~~

    ~~~ system32 folder ~~~

    ~~~ Icons in System32 ~~~

    ~~~ Windows directory ~~~

    ~~~ Drive root ~~~

    ~~~ Miscellaneous Files/folders ~~~

    ~~~ Wininet.dll ~~~

    CLEAN! :)

    ---------------ewido---------------

    ---------------------------------------------------------

    ewido security suite - Relatório de verificação

    ---------------------------------------------------------

    + Criado em: 21:43:04, 8/11/2005

    + Relatório-Checksum: 6AADC330

    + Resultado da verificação:

    C:\Documents and Settings\Cauê\Cookies\cauê@msnportal.112.2o7[1].txt -> Spyware.Cookie.2o7 : Limpo com backup

    :mozilla.6:C:\RECYCLER\NPROTECT\00016928.MOZ -> Spyware.Cookie.Clickzs : Limpo com backup

    :mozilla.7:C:\RECYCLER\NPROTECT\00016928.MOZ -> Spyware.Cookie.Clickzs : Limpo com backup

    ...

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • :mozilla.23:C:\RECYCLER\NPROTECT\00018695.MOZ -> Spyware.Cookie.Hitbox : Limpo com backup

    :mozilla.24:C:\RECYCLER\NPROTECT\00018695.MOZ -> Spyware.Cookie.Hitbox : Limpo com backup

    ...

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • :mozilla.21:C:\RECYCLER\NPROTECT\00019060.MOZ -> Spyware.Cookie.Casalemedia : Limpo com backup

    :mozilla.32:C:\RECYCLER\NPROTECT\00019060.MOZ -> Spyware.Cookie.Adition : Limpo com backup

    ...

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • :mozilla.23:C:\RECYCLER\NPROTECT\00019200.MOZ -> Spyware.Cookie.Casalemedia : Limpo com backup

    :mozilla.24:C:\RECYCLER\NPROTECT\00019200.MOZ -> Spyware.Cookie.Casalemedia : Limpo com backup

    ...

    ::Fim do Relatório

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Não era preciso postar todo este resultado do Ewido. São cookies e estavam na lixeira protegida do Norton.

    O smitRem resolveu o problema com o mssearchnet.exe que deu erro na primeira vez com o KillBox. Esse erro impediu a remoção com sucesso do Desktop hijacker.

    No Post-run do smitRem que postou da primeira vez, ainda havia um arquivo infectado:

    ~~~ system32 folder ~~~

    mscornet.exe

    Isso possibilitou a recriação dos outros arquivos. Agora o Post-run está limpo.

    Como está o PC agora?

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Puxa, como disse na MP, me desculpe pela bobagem que fiz ao colocar todo o log do ewido. O computador parede estar OK sim, somente sobre aquela pasta que eu te disse que estou meio com dúvida em relação a ela poder ter ligação com invasão, essas coisas. Mas o computador parece estar OK sim, obrigado. Você sabe me dizer algo sobre a pasta, ou será que ela faz parte do conteúdo instalado de algum programa, ou coisa do tipo, e simplesmente não tem problema?

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    A pasta inetpub é do Internet Information Services. É uma pasta do sistema. É

    relacionada para uso com servidor FTP.

    Para finalizar, vá no Painel de Controle > Sistema > Restauração do Sistema > marque Desativar a restauração do sistema > Aplicar > OK.

    Depois desmarque novamente.

    Leia este artigo Proteja seu PC para evitar novas infecções.

    Como não tem mais problemas, clique no botão Alertar e diga que o problema está resolvido.

    Um abraço.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Então, Sam Spade, conforme combinado por MP, solicitei o desbloqueio do tópico e aqui está o novo log do HijackThis. O problema é o citado na MP: um ícone na Barra de Ferramentas, junto aos ícones ocultos quando inativos ao lado do relógio, que fica informando que o computador está infectado e tal e que recomenda baixar um anti-spyware (tudo em inglês). Ao clicar nele, é aberta uma página de um tal anti-spyware SpyAxe (que parece meio suspeito). Aí vai o log:

    Logfile of HijackThis v1.99.1

    Scan saved at 13:31:15, on 11/11/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

    C:\WINDOWS\system32\cisvc.exe

    C:\Arquivos de programas\ewido\security suite\ewidoctrl.exe

    C:\Arquivos de programas\ewido\security suite\ewidoguard.exe

    C:\WINDOWS\system32\inetsrv\inetinfo.exe

    C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\navapsvc.exe

    C:\ARQUIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

    C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\SAVScan.exe

    C:\WINDOWS\system32\tcpsvcs.exe

    C:\WINDOWS\System32\snmp.exe

    C:\ARQUIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

    C:\WINDOWS\system32\svchost.exe

    C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

    C:\WINDOWS\system32\mqsvc.exe

    C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\SymWSC.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\mqtgsvc.exe

    C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

    C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

    C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

    C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

    C:\Arquivos de programas\SpywareGuard\sgmain.exe

    C:\Arquivos de programas\SpywareGuard\sgbhp.exe

    C:\Arquivos de programas\HP\hpcoretech\comp\hptskmgr.exe

    C:\Arquivos de programas\HP\Digital Imaging\bin\hpqgalry.exe

    C:\Arquivos de programas\Discador UOL 10.0 Light\Discador Light.exe

    C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

    C:\Arquivos de programas\Mozilla Firefox\firefox.exe

    C:\WINDOWS\system32\cidaemon.exe

    C:\WINDOWS\system32\cidaemon.exe

    C:\Arquivos de programas\Messenger\msmsgs.exe

    C:\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

    O3 - Toolbar: (no name) - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - (no file)

    O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"

    O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\ARQUIV~1\SYMNET~1\SNDMon.exe /Consumer

    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    O4 - HKLM\..\Run: [HP Software Update] "C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe"

    O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"

    O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

    O4 - Startup: SpywareGuard.lnk = C:\Arquivos de programas\SpywareGuard\sgmain.exe

    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

    O4 - Global Startup: Inicialização rápida do HP Image Zone.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqthb08.exe

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol.com.br/discadorUOL/lig...tiveInstall.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{BA3E9302-DB56-4E04-90FC-FD88F3CDD5C3}: NameServer = 200.221.11.100 200.147.255.101

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe

    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

    O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido\security suite\ewidoctrl.exe

    O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\ewido\security suite\ewidoguard.exe

    O23 - Service: Serviço de proteção automática do Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\navapsvc.exe

    O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARQUIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

    O23 - Service: SAVScan - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\SAVScan.exe

    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

    O23 - Service: Speed Disk service - Symantec Corporation - C:\ARQUIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\SymWSC.exe

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Novamente é uma infecção por uma variante do smitfraud/desktop hijacker:

    O3 - Toolbar: (no name) - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - (no file)

    SecurityToolbar = Malware, hailing from the folks responsible for the notorious Spy Trooper/World AntiiSpy/PS Guard.

    Você pode estar acessando os mesmos sites que causam estas infecções ou baixando arquivos ou programas suspeitos que podem estar causando isso. Verifique o que foi feito entre a infecção anterior e esta atual, para identificar o possível agente.

    Salve ou imprima e siga estas instruções em modo de segurança:

    1 - Vá na pasta smitRem. Dê um duplo-clique em RunThis.bat.

    É normal o desktop e os ícones desaparecer/reaparecer. Espere o exame ser concluído. O log smitfiles.txt será criado na raiz do disco (em C:\).

    2 - Faça um full scan com o Ad-Aware. Coloque na Quarentena todos os arquivos detectados.

    3 - Faça um full scan com o Ewido. Salve o log.

    4 - Faça um scan com o HijackThis, marque a entrada abaixo e clique em Fix checked:

    O3 - Toolbar: (no name) - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - (no file)

    5 - Rode o CCleaner clicando em Executar Cleaner.

    6 - Reinicie em modo normal, faça um scan com o HijackThis e salve o log.

    Poste os logs > smitfiles.txt, Ewido e HijackThis.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Aí vão os logs:

    ---------------smitfiles---------------

    smitRem © log file

    version 2.7

    by noahdfear

    Microsoft Windows XP [versÆo 5.1.2600]

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    checking for ShudderLTD key

    ShudderLTD key not present!

    checking for PSGuard.com key

    PSGuard.com key not present!

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Existing Pre-run Files

    ~~~ Program Files ~~~

    ~~~ Shortcuts ~~~

    ~~~ Favorites ~~~

    ~~~ system32 folder ~~~

    ncompat.tlb

    logfiles

    ~~~ Icons in System32 ~~~

    ~~~ Windows directory ~~~

    ~~~ Drive root ~~~

    ~~~ Miscellaneous Files/folders ~~~

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Remaining Post-run Files

    ~~~ Program Files ~~~

    ~~~ Shortcuts ~~~

    ~~~ Favorites ~~~

    ~~~ system32 folder ~~~

    ~~~ Icons in System32 ~~~

    ~~~ Windows directory ~~~

    ~~~ Drive root ~~~

    ~~~ Miscellaneous Files/folders ~~~

    ~~~ Wininet.dll ~~~

    CLEAN! :)

    ---------------ewido---------------

    ---------------------------------------------------------

    ewido security suite - Relatório de verificação

    ---------------------------------------------------------

    + Criado em: 17:14:09, 11/11/2005

    + Relatório-Checksum: AFEBF8FC

    + Resultado da verificação:

    C:\Documents and Settings\Cauê\Cookies\cauê@msnportal.112.2o7[1].txt -> Spyware.Cookie.2o7 : Limpo com backup

    C:\WINDOWS\system32\1024\ldC0FA.tmp -> TrojanDropper.Small.ahg : Limpo com backup

    ::Fim do Relatório

    ---------------HijackThis---------------

    Logfile of HijackThis v1.99.1

    Scan saved at 17:23:02, on 11/11/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

    C:\WINDOWS\system32\cisvc.exe

    C:\Arquivos de programas\ewido\security suite\ewidoctrl.exe

    C:\Arquivos de programas\ewido\security suite\ewidoguard.exe

    C:\WINDOWS\system32\inetsrv\inetinfo.exe

    C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\navapsvc.exe

    C:\ARQUIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

    C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\SAVScan.exe

    C:\WINDOWS\system32\tcpsvcs.exe

    C:\WINDOWS\System32\snmp.exe

    C:\ARQUIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

    C:\WINDOWS\system32\svchost.exe

    C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

    C:\WINDOWS\system32\mqsvc.exe

    C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\SymWSC.exe

    C:\WINDOWS\system32\mqtgsvc.exe

    C:\WINDOWS\Explorer.EXE

    C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

    C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

    C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

    C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

    C:\Arquivos de programas\SpywareGuard\sgmain.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\Arquivos de programas\SpywareGuard\sgbhp.exe

    C:\Arquivos de programas\Messenger\msmsgs.exe

    C:\Arquivos de programas\HP\Digital Imaging\bin\hpqgalry.exe

    C:\WINDOWS\system32\NOTEPAD.EXE

    C:\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

    O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"

    O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\ARQUIV~1\SYMNET~1\SNDMon.exe /Consumer

    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    O4 - HKLM\..\Run: [HP Software Update] "C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe"

    O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"

    O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

    O4 - Startup: SpywareGuard.lnk = C:\Arquivos de programas\SpywareGuard\sgmain.exe

    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

    O4 - Global Startup: Inicialização rápida do HP Image Zone.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqthb08.exe

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol.com.br/discadorUOL/lig...tiveInstall.cab

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe

    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

    O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido\security suite\ewidoctrl.exe

    O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\ewido\security suite\ewidoguard.exe

    O23 - Service: Serviço de proteção automática do Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\navapsvc.exe

    O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARQUIV~1\NORTON~1\NORTON~2\NPROTECT.EXE

    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

    O23 - Service: SAVScan - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton Antivirus\SAVScan.exe

    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

    O23 - Service: Speed Disk service - Symantec Corporation - C:\ARQUIV~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\SymWSC.exe

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Agora parece ok sim, aquele ícone insuportável que aparecia toda hora sumiu mesmo, tudo ok. Andei analisando como eu poderia ter me infectado neste intervalo de tempo, mas infelizmente não cheguei a uma conclusão, pois tenho certeza de não ter visitado sites "suspeitos" e nem feito downloads...

    Tentarei evitar de entrar em sites do tipo e baixar algo dos mesmos, mas se caso eu volte a me infectar (o que espero que demore a voltar acontecer, até porque vou tentar tomar os devidos cuidados.) posso voltar aqui e te "encher" novamente com pedidos de análise de logs rsrs?

    Te agradeço de novo pela assistência, muito obrigado mesmo. Agora é só eu alertar os moderadores de bloquear o tópico de novo né?

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×