Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
T_M_SILVA

Analisem meu log, por favor! "win32 small-BXP" persistente! :(

Recommended Posts

Um bom dia a todos do fórum REMOÇÃO DE MALWARE!

Gostaria de pedir-lhes encarecidamente que, caso seja possivel, analisem o meu log do HIJACK, pois não tenho muito conhecimento no assunto!

De aproximadamente duas semanas para cá, o meu anti-vírus avast4 passou a acusar a seguinte mensagem : new_drv.sys está infectado por "Win32 small-BXP". O avast sugere que eu mova o arquivo para a quarentena, e assim tenho feito, mas todas as vezes que ligo o computador, a situação se repete.

Ultimamente, quando conecto a internet, aparece a mensagem: DTCom Exploit bloqueado, invadido por (aqui aparece um numero de IP), a internet fica demasiadamente lenta, e então a desconecto (é internet discada).

Utilizei um freeware chamado Advanced Windows Care e ele removeu o new_drv.sys do regedit. Também removi "manualmente" o new_drv.sys da pasta C:\Windows (não sei se foi certo, mas por via das dúvidas, o salvei num disquete). Ainda assim, o problema persiste. :(

Vou postar o log abaixo e fico muito agradecido se alguém puder me ajudar.

Tenham um ótimo dia!

T_M_SILVA

Logfile of HijackThis v1.99.1

Scan saved at 08:57:31, on 1/7/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\sm56hlpr.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe

C:\Arquivos de programas\DoroPDFWriter\DoroServer.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Arquivos de programas\HDD Thermometer\HDD Thermometer.exe

C:\Arquivos de programas\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe

C:\WINDOWS\9129837.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Arquivos de programas\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\user\Desktop\HijackThis.exe

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Arquivos de programas\Free Download Manager\iefdmcks.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Emurayden PSX Emulator] C:\ARQUIVOS DE PROGRAMAS\EMURAYDEN\Emurayden PSX AutoLauncher.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DoroServer] C:\Arquivos de programas\DoroPDFWriter\DoroServer.exe

O4 - HKLM\..\Run: [googletalk] C:\Arquivos de programas\Google\Google Talk\googletalk.exe /autostart

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] C:\Arquivos de programas\Puxa Rápido\Atualiza.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Arquivos de programas\HDD Thermometer\HDD Thermometer.exe

O4 - HKCU\..\Run: [PcSync] C:\Arquivos de programas\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [bySoft FreeRAM] C:\Arquivos de programas\BySoft FreeRAM\FreeRAM.exe

O4 - HKCU\..\Run: [FreeRAM XP] "C:\Arquivos de programas\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win

O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe

O4 - HKCU\..\Run: [Free Download Manager] C:\Arquivos de programas\Free Download Manager\fdm.exe -autorun

O4 - Global Startup: Acelerador Orolix.lnk = C:\Arquivos de programas\Orolix\Acelerador\acelerador.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dllink.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: iPod Service - Unknown owner - C:\Arquivos de programas\iPod\bin\iPodService.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

- Faça o download do Killbox e execute-o:

  • Marque a opção Delete on Reboot. Copie a lista abaixo (selecione e clique em Editar > Copiar ou pressione Ctrl + C):

C:\WINDOWS\9129837.exe
  • Volte ao KillBox. Clique em File > Paste from clipboard. Clique no botão All Files;
  • Clique no killbox.png e responda Não à pergunta.

- Reinicie o computador em Modo Seguro (pressione a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização);

- Abra o HijackThis, clique em Do a system scan only e marque a entrada abaixo:

O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe

- Feche todas as janelas, clique em ht-fix.png e em Sim;

- Reinicie em modo normal, gere novo log e cole na sua resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Boa Noite, caro analista José Melo!

    Executei todos os procedimentos epigrafados acima. porém a mensagem de invasão do avast tornou a aparecer quando conectei a internet

    Estou postando novo log do Hijack This para análise!

    Logfile of HijackThis v1.99.1

    Scan saved at 23:32:24, on 3/7/2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\system32\nvsvc32.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

    C:\WINDOWS\Explorer.EXE

    C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    C:\WINDOWS\sm56hlpr.exe

    C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

    C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe

    C:\Arquivos de programas\DoroPDFWriter\DoroServer.exe

    C:\Arquivos de programas\Messenger\msmsgs.exe

    C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

    C:\Arquivos de programas\HDD Thermometer\HDD Thermometer.exe

    C:\Arquivos de programas\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe

    C:\Arquivos de programas\Orolix\Acelerador\acelerador.exe

    C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

    C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

    C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

    C:\Arquivos de programas\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\Documents and Settings\user\Desktop\ATALHOS PROGRAMAS\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :

    O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll

    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar2.dll

    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

    O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Arquivos de programas\Free Download Manager\iefdmcks.dll

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

    O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

    O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

    O4 - HKLM\..\Run: [sMSERIAL] sm56hlpr.exe

    O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

    O4 - HKLM\..\Run: [Emurayden PSX Emulator] C:\ARQUIVOS DE PROGRAMAS\EMURAYDEN\Emurayden PSX AutoLauncher.exe

    O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe"

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [DoroServer] C:\Arquivos de programas\DoroPDFWriter\DoroServer.exe

    O4 - HKLM\..\Run: [googletalk] C:\Arquivos de programas\Google\Google Talk\googletalk.exe /autostart

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] C:\Arquivos de programas\Puxa Rápido\Atualiza.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

    O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Arquivos de programas\HDD Thermometer\HDD Thermometer.exe

    O4 - HKCU\..\Run: [PcSync] C:\Arquivos de programas\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

    O4 - HKCU\..\Run: [bySoft FreeRAM] C:\Arquivos de programas\BySoft FreeRAM\FreeRAM.exe

    O4 - HKCU\..\Run: [FreeRAM XP] "C:\Arquivos de programas\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win

    O4 - HKCU\..\Run: [Free Download Manager] C:\Arquivos de programas\Free Download Manager\fdm.exe -autorun

    O4 - Global Startup: Acelerador Orolix.lnk = C:\Arquivos de programas\Orolix\Acelerador\acelerador.exe

    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

    O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlall.htm

    O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlselected.htm

    O8 - Extra context menu item: Download with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dllink.htm

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll

    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll

    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

    O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

    O23 - Service: iPod Service - Unknown owner - C:\Arquivos de programas\iPod\bin\iPodService.exe (file missing)

    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    Abraço!

    Tenha um bom dia!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Boa noite, Analista!

    Conforme fora instruido na mensagem anterior, estou postando abaixo o log do F-Secure Blacklight. Obs.: o programa não encontrou nenhum arquivo no scan!

    Atenciosamente!

    T_M_SILVA

    fsbl-20070706014708.log

    07/05/07 22:47:08 [info]: BlackLight Engine 1.0.64 initialized

    07/05/07 22:47:08 [info]: OS: 5.1 build 2600 (Service Pack 2)

    07/05/07 22:47:08 [Note]: 7019 4

    07/05/07 22:47:08 [Note]: 7005 0

    07/05/07 22:47:15 [Note]: 7006 0

    07/05/07 22:47:15 [Note]: 7011 1072

    07/05/07 22:47:15 [Note]: 7026 0

    07/05/07 22:47:16 [Note]: 7026 0

    07/05/07 22:47:20 [Note]: FSRAW library version 1.7.1022

    07/05/07 22:50:08 [Note]: 2000 1012

    07/05/07 22:51:18 [Note]: 7007 0

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    - Faça o download do ComboFix

    • Dê um duplo-clique no combofix.exe e tecle "Y" para prosseguir o Fix. Vai durar uma média de 10 minutos.
    • O ComboFix reiniciará o PC automaticamente para completar o processo de remoção.
    • Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.
    • Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, pois senão irá parar e seu desktop ficará em branco.
    • Para parar ou sair do ComboFix, tecle "N".
    • Cole o ComboFix.txt na sua resposta.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Boa Noite, Analista!

    Segue abaixo, o log do ComboFix, após execução dos procedimentos mencionados em sua mensagem.

    "user" - 2007-07-06 22:22:09 - ComboFix 07-07-04.4 - Service Pack 2

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

    C:\DOCUME~1\ALLUSE~1\DADOSD~1.\TEMP

    C:\WINDOWS\new_drv.sys

    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    -------\new_drv

    ((((((((((((((((((((((((( Files Created from 2007-06-07 to 2007-07-07 )))))))))))))))))))))))))))))))

    2007-07-06 22:17 51,200 --a------ C:\WINDOWS\nircmd.exe

    2007-07-05 22:43 <DIR> d-------- C:\Fraps

    2007-07-03 22:50 <DIR> d-------- C:\!KillBox

    2007-07-02 23:04 <DIR> d-------- C:\WINDOWS\system32\ActiveScan

    2007-07-01 08:47 <DIR> d-------- C:\Downloads

    2007-06-30 22:49 <DIR> d-------- C:\DOCUME~1\user\DADOSD~1\Free Download Manager

    2007-06-30 22:49 <DIR> d-------- C:\Arquivos de programas\Free Download Manager

    2007-06-30 22:40 <DIR> d-------- C:\Arquivos de programas\Puxa R*pido

    2007-06-28 18:52 487,424 -ra------ C:\WINDOWS\system32\msvcp70.dll

    2007-06-28 18:48 <DIR> d-------- C:\Arquivos de programas\NVIDIA Corporation

    2007-06-23 19:56 <DIR> d-------- C:\Arquivos de programas\18 WoS Pedal to the Metal

    2007-06-22 23:22 89,728 --a------ C:\WINDOWS\system32\drivers\usbvsp.sys

    2007-06-22 20:58 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\Spybot - Search & Destroy

    2007-06-20 23:01 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DADOSD~1\NCH Swift Sound

    2007-06-20 22:55 <DIR> d-------- C:\Arquivos de programas\NCH Swift Sound

    2007-06-18 23:42 <DIR> d-------- C:\Arquivos de programas\IObit

    2007-06-10 20:15 <DIR> d-------- C:\Arquivos de programas\YourWare Solutions

    2007-06-10 19:58 <DIR> d-------- C:\Arquivos de programas\Loonies

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-07-06 01:44:17 -------- d-----w C:\Arquivos de programas\ARQUIVOS DE INSTALAÇÃO

    2007-07-03 04:24:03 -------- d-----w C:\Arquivos de programas\Messenger

    2007-07-03 04:22:53 -------- d-----w C:\Arquivos de programas\HDD Thermometer

    2007-07-03 04:22:49 -------- d-----w C:\Arquivos de programas\Google

    2007-07-03 04:22:26 -------- d-----w C:\Arquivos de programas\DoroPDFWriter

    2007-07-01 01:48:35 -------- d-----w C:\Arquivos de programas\Puxa Rápido

    2007-06-28 21:52:00 -------- d--h--w C:\Arquivos de programas\InstallShield Installation Information

    2007-06-27 01:30:39 -------- d-----w C:\Arquivos de programas\eMule

    2007-06-21 02:01:28 -------- d-----w C:\DOCUME~1\user\DADOSD~1\NCH Swift Sound

    2007-06-20 02:37:00 -------- d-----w C:\Arquivos de programas\MediaCoder

    2007-06-14 04:48:47 -------- d-----w C:\DOCUME~1\user\DADOSD~1\uTorrent

    2007-05-20 19:12:55 -------- d-----w C:\Arquivos de programas\Tradução 18 wheels

    2007-05-20 03:24:58 -------- d-----w C:\Arquivos de programas\Cheats executavel 18 Wheels

    2007-05-18 21:26:45 -------- d-----w C:\Arquivos de programas\NVIDIA

    2007-05-13 03:21:42 0 ----a-w C:\WINDOWS\nsreg.dat

    2007-05-12 17:07:56 -------- d-----w C:\Arquivos de programas\Satsuki Decoder Pack

    2007-05-12 15:48:36 -------- d-----w C:\DOCUME~1\user\DADOSD~1\Video DVD Maker FREE

    2007-05-12 13:39:35 -------- d-----w C:\Arquivos de programas\RADVideo

    2007-05-12 05:58:14 -------- d-----w C:\Arquivos de programas\MOV to AVI MPEG WMV Converter

    2007-05-12 05:58:07 -------- d-----w C:\Arquivos de programas\MOV Converter

    2007-05-12 04:07:40 -------- d-----w C:\DOCUME~1\user\DADOSD~1\Media Player Classic

    2007-05-11 23:38:25 -------- d-----w C:\Arquivos de programas\HighwayPursuit

    2007-05-11 22:45:44 -------- d-----w C:\Arquivos de programas\Lavasoft

    2007-05-11 03:49:42 -------- d-----w C:\Arquivos de programas\Codec Pack - All In 1

    2007-05-11 03:48:47 737,280 ----a-w C:\WINDOWS\iun6002.exe

    2007-05-10 00:03:25 -------- d-----w C:\Arquivos de programas\GXTranscoder v2

    2007-05-09 04:09:02 -------- d-----w C:\Arquivos de programas\QuickTime

    2007-05-09 03:59:38 -------- d-----w C:\Arquivos de programas\Ahead

    2007-05-09 03:52:07 -------- d-----w C:\Arquivos de programas\Tsunami-Filter-Pack Mini

    2007-05-09 03:50:20 -------- d-----w C:\Arquivos de programas\Tsunami_Filter_Pack_Mini

    2007-05-07 22:53:19 -------- d-----w C:\Arquivos de programas\NimoCodec Pack

    2007-05-07 22:53:18 -------- d-----w C:\Arquivos de programas\XviD

    2007-05-07 22:53:17 -------- d-----w C:\Arquivos de programas\DivXCodec

    2007-05-07 22:53:17 -------- d-----w C:\Arquivos de programas\DivX

    2007-05-07 22:51:02 -------- d-----w C:\Arquivos de programas\XP Codec Pack

    2007-05-07 21:54:07 -------- d-----w C:\Arquivos de programas\ImTOO

    2007-05-04 23:18:17 61,400 ----a-w C:\WINDOWS\system32\perfc016.dat

    2007-05-04 23:18:17 413,126 ----a-w C:\WINDOWS\system32\perfh016.dat

    2007-04-30 15:46:10 745,600 ----a-w C:\WINDOWS\system32\aswBoot.exe

    2007-04-30 15:35:28 95,872 ----a-w C:\WINDOWS\system32\AVASTSS.scr

    2007-04-19 17:14:14 208,896 ----a-w C:\WINDOWS\system32\NVUNINST.EXE

    2007-04-19 17:14:14 208,896 ----a-w C:\WINDOWS\system32\nvudisp.exe

    2007-04-08 16:02:26 254,976 ----a-w C:\WINDOWS\Finding Nemo Movie Screensaver.scr

    2007-04-08 16:02:26 1,294,951 ----a-w C:\WINDOWS\Nemo.exe

    2005-07-14 15:31:20 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll

    2005-06-26 18:32:28 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll

    2005-06-22 01:37:42 45,568 --sha-r C:\WINDOWS\system32\cygz.dll

    2005-02-28 16:16:22 240,128 --sha-r C:\WINDOWS\system32\x.264.exe

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

    2006-10-22 23:08 62080 --a------ C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]

    2006-12-15 03:23 440056 --a------ C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]

    2007-01-19 23:55 2403392 -ra------ c:\arquivos de programas\google\googletoolbar2.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]

    2007-06-01 22:33 325048 --a------ C:\Arquivos de programas\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CC59E0F9-7E43-44FA-9FAA-8377850BF205}]

    2006-08-20 19:55 81920 --a------ C:\Arquivos de programas\Free Download Manager\iefdmcks.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "Cmaudio"="cmicnfg.cpl" []

    "avast!"="C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 12:42]

    "nwiz"="nwiz.exe" [2006-01-16 23:23 C:\WINDOWS\system32\nwiz.exe]

    "NvMediaCenter"="NvMCTray.dll" [2006-01-16 23:23 C:\WINDOWS\system32\nvmctray.dll]

    "SMSERIAL"="sm56hlpr.exe" [2004-08-11 01:42 C:\WINDOWS\sm56hlpr.exe]

    "HP Software Update"="C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12]

    "Emurayden PSX Emulator"="C:\ARQUIVOS DE PROGRAMAS\EMURAYDEN\Emurayden PSX AutoLauncher.exe" [2002-07-25 18:21]

    "SunJavaUpdateSched"="C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 03:23]

    "DoroServer"="C:\Arquivos de programas\DoroPDFWriter\DoroServer.exe" [2006-12-29 23:03]

    "googletalk"="C:\Arquivos de programas\Google\Google Talk\googletalk.exe" [2007-01-01 19:54]

    "QuickTime Task"="C:\Arquivos de programas\QuickTime\qttask.exe" [2007-05-09 01:08]

    "Atualizador - Puxa Rápido"="C:\Arquivos de programas\Puxa Rápido\Atualiza.exe" []

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "MSMSGS"="C:\Arquivos de programas\Messenger\msmsgs.exe" [2004-08-04 00:56]

    "swg"="C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-01 22:33]

    "RSD_HDDThermo"="C:\Arquivos de programas\HDD Thermometer\HDD Thermometer.exe" [2005-04-01 14:02]

    "PcSync"="C:\Arquivos de programas\Nokia\Nokia PC Suite 6\PcSync2.exe" []

    "BySoft FreeRAM"="C:\Arquivos de programas\BySoft FreeRAM\FreeRAM.exe" []

    "FreeRAM XP"="C:\Arquivos de programas\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" [2006-03-23 00:13]

    "Free Download Manager"="C:\Arquivos de programas\Free Download Manager\fdm.exe" [2006-08-21 00:24]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

    "LinkResolveIgnoreLinkInfo"=0 (0x0)

    "NoResolveSearch"=1 (0x1)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

    "LinkResolveIgnoreLinkInfo"=0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

    Usnsvc usnsvc

    Contents of the 'Scheduled Tasks' folder

    2007-05-06 13:34:07 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

    **************************************************************************

    catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net

    Rootkit scan 2007-07-06 22:25:14

    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully

    hidden files: 0

    **************************************************************************

    Completion time: 2007-07-06 22:26:18 - machine was rebooted

    C:\ComboFix-quarantined-files.txt ... 2007-07-06 22:26

    --- E O F ---

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    - Apague o arquivo em destaque:

    C:\WINDOWS\iun6002.exe

    - No mais, o log está limpo :)

    - Apague o arquivo backups que está em C:\Documents and Settings\user\Desktop\ATALHOS PROGRAMAS e C:\!Killbox;

    - Recomendo uma manutenção no computador para exclusão dos arquivos temporários, desnecessários e entradas inválidas no registro. Faça o download do CCleaner:

    • Abra o programa e clique em Executar Limpeza;
    • Após isto, clique em Erros > Procurar erros > Corrigir Erros

    - Desative e ative novamente a Restauração do Sistema

    - Leia o artigo Proteja seu PC para mais informações sobre como evitar infecções.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Bom dia, Analista!

    Primeiramente gostaria de agradecer por todo o auxilio prestado e também fazer reconhecimento ao excelente trabalho que vem prestando junto aos internautas que recorrem necessitando de orientações!

    Efetuei os procedimentos descritos na ultima mensagem, agora quando ligo o computador, o avast não mais acusa a presença do Win32 small-BXP, no entanto, uma das vez que conectei a maquina à internet posterior à execução de tais procedimentos, o avast exibiu a mensagem (DTcom Exploit Bloqueado, invadido por ... (Aparece um n.º de IP). Também percebi na unidade C:\ o surgimento de um arquivo denominado 118.tmp com 892MB de tamanho. Como devo proceder?

    Desde já agradeço!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Bom dia Analista!

    Desculpe a demora, pois estive impossibilitado de responder pela semana passada.

    Tentei fazer o scan do BitDefender, mas estava demasiadamente demorado (minha conexão é discada e naturalmente lenta) então abortei a operação. Mas os problemas concernentes à suposta presença de malwares cessaram :D

    Apenas gostaria de saber acerca do arquivo 118.tmp de 892MB que se encontra no C:, creio eu que ele tenha aparecido após a utilização do KillBox.

    Desde já agradeço!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Apenas gostaria de saber acerca do arquivo 118.tmp de 892MB que se encontra no C:, creio eu que ele tenha aparecido após a utilização do KillBox.

    O Killbox não cria nenhum arquivo com essa extensão. Se não reconhece, apague o arquivo.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Bom dia, Analista!

    Estou emitindo mais essa resposta, ainda que tardiamente, para que o tópico não permaneça em aberto e assim possa também sanar duvidas de outros internautas.

    Quanto ao referido arquivo ".tmp", já o apaguei. O computador se encontra funcionando regularmente, com notável ganho de desempenho, tanto on quanto off line. :D:D

    Mais uma vez agradeço pelo excelente auxílio que me prestou!

    T_M_SILVA

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×