Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
maletboy

Por favor, gostaria que alguém analisasse meu log do hijackthis.

Recommended Posts

olá amigos. alguém poderia me ajudar, porque aqui no meu pc tá aparecendo uma mensagem em inglês, dizendo q meu computador está infectado, meu painel de controle sumiu (quando tento ir em adicionar ou remover programas, aparece "operação cancelada devido a restrições existentes no computador..."

estou colocando aqui um log do hijackthis e outro do bankerfix. obrigado.

Logfile of HijackThis v1.99.1

Scan saved at 00:14:41, on 12/8/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS2\System32\smss.exe

C:\WINDOWS2\SYSTEM32\winlogon.exe

C:\WINDOWS2\system32\services.exe

C:\WINDOWS2\system32\lsass.exe

C:\WINDOWS2\system32\svchost.exe

C:\WINDOWS2\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS2\system32\spoolsv.exe

C:\Arquivos de programas\Bonjour\mDNSResponder.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

C:\WINDOWS2\system32\svchost.exe

C:\WINDOWS2\Explorer.exe

C:\WINDOWS2\system32\pctspk.exe

C:\ARQUIV~1\SPYWAR~1\SpywareTerminatorShield.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\WINDOWS2\system32\ctfmon.exe

C:\Arquivos de programas\Click21\DialUP.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Erick Max\Desktop\HostsXpert\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.click21.com.br/?UID=emnet&DOMINIO=click21.com.br&VERSAO=2.0.2

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS2\system32\printer.exe

O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Arquivos de programas\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [spywareTerminator] "C:\ARQUIV~1\SPYWAR~1\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS2\system32\WinAvXX.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS2\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS2\system32\WinAvXX.exe

O4 - Startup: system.exe

O4 - Global Startup: autorun.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Descarregar tudo com o FlashGet - C:\Arquivos de programas\FlashGet\jc_all.htm

O8 - Extra context menu item: &Descarregar utilizando o FlashGet - C:\Arquivos de programas\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Arquivos de programas\Bonjour\ExplorerPlugin.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FLASHGET\FLASHGET.EXE

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FLASHGET\FLASHGET.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\arquivos de programas\bonjour\mdnsnsp.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by133fd.bay133.hotmail.msn.com/activex/HMAtchmt.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{69B6EBA9-8028-4C43-8822-958E827CCE8C}: NameServer = 200.227.128.20 200.227.128.21

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS2\system32\hrum212.txt

O20 - Winlogon Notify: klogon - C:\WINDOWS2\system32\klogon.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Unknown owner - C:\Arquivos de programas\WinClamAVShield\sp_clamsrv.exe (file missing)

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

BankerFix 2.4 - Removedor de Bankers

Linha Defensiva - http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

Data: 8/8/2007 - 2:16

-------------------------------------------------------

Lista de Definição: 2007-08-05-1

=======================================================

Arquivo infectado detectado: C:\Documents and Settings\Erick Max\Menu Iniciar\Programas\Inicializar\system.exe

Arquivo infectado removido com sucesso!

Killando arquivos em Help

-----------------------------------

Killing '*'

Removendo Arquivos em Help

-----------------------------------

Arquivos ruins restantes

-----------------------------------

----- Fim -------------------------

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom Dia maletboy!

>@< Faça o download do ComboFix.

>@< Baixe-a para o Desktop!

>@< Feche todas as janelas e execute a ferramenta!

>@< Abrirá a janela Auto Scan. Aguarde!

>@< Digite a opção para continuar < Enter >

>@< Aguarde a conclusão!

>@< Poste o relatório: C:\ComboFix.txt,na sua resposta + Log do HJT,atualizado.

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • olá Joram. eu fiz o que você me passou e aqui estão os logs do Combo Fix e o do Hijackthis:

    ComboFix 07-08-09.3 - "Erick Max" 2007-08-12 10:44:41.1 - FAT32x86

    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.92 [GMT -3:00]

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

    C:\Autorun.inf

    C:\DOCUME~1\ALLUSE~1\MENUIN~1\PROGRA~1\INICIA~1.\autorun.exe

    C:\DOCUME~1\ERICKM~1\MENUIN~1\PROGRA~1\INICIA~1.\system.exe

    C:\WINDOWS2\system32\printer.exe

    C:\WINDOWS2\system32\WinAvXX.exe

    ((((((((((((((((((((((((( Files Created from 2007-07-12 to 2007-08-12 )))))))))))))))))))))))))))))))

    2007-08-12 10:43 51,200 --a------ C:\WINDOWS2\nircmd.exe

    2007-08-08 11:37 <DIR> d-------- C:\!KillBox

    2007-08-07 10:57 1,536 --a------ C:\WINDOWS2\system32\TrueSoft.dat

    2007-07-14 16:11 15,950 --a------ C:\WINDOWS2\system32\winmds.exe

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-08-11 16:56 32 --ahs---- C:\WINDOWS2\system32\drivers\fidbox2.idx

    2007-08-11 16:56 32 --ahs---- C:\WINDOWS2\system32\drivers\fidbox2.dat

    2007-08-11 16:56 32 --ahs---- C:\WINDOWS2\system32\drivers\fidbox.idx

    2007-08-11 16:56 32 --ahs---- C:\WINDOWS2\system32\drivers\fidbox.dat

    2007-07-31 10:54 2516 --ahs---- C:\WINDOWS2\system32\KGyGaAvL.sys

    2007-07-03 14:29 22592 --a------ C:\WINDOWS2\system32\jFpmPe5f.exe

    2007-06-17 09:45 --------- d-------- C:\Arquivos de programas\PDF Password Remover v3.0

    2005-09-28 20:59 266 ---hs---- C:\Arquivos de programas\desktop.ini

    2005-09-28 20:59 11280 ---h----- C:\Arquivos de programas\folder.htt

    2004-03-11 13:27 40960 --ah----- C:\Arquivos de programas\Uninstall_CDS.exe

    2001-09-10 08:10 61440 --a------ C:\WINDOWS2\inf\i386\onetUSD.dll

    2001-09-06 08:58 139264 --a------ C:\WINDOWS2\inf\i386\Rtscan.dll

    2001-08-17 18:43 32768 --a------ C:\WINDOWS2\inf\i386\Wiamicro.dll

    2001-06-29 08:10 163840 --a------ C:\WINDOWS2\inf\i386\viceo.dll

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "PCTVOICE"="pctspk.exe" [2002-11-04 15:48 C:\WINDOWS2\system32\pctspk.exe]

    "SpywareTerminator"="C:\ARQUIV~1\SPYWAR~1\SpywareTerminatorShield.exe" [2007-04-08 01:07]

    "QuickTime Task"="C:\Arquivos de programas\QuickTime\qttask.exe" [2007-05-05 17:06]

    "TkBellExe"="C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2007-02-23 16:55]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "CTFMON.EXE"="C:\WINDOWS2\system32\ctfmon.exe" [2004-08-04 03:45]

    "MSMSGS"="C:\Arquivos de programas\Messenger\msmsgs.exe" [2004-08-04 00:56]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

    "Shell"="Explorer.exe C:\WINDOWS2\system32\printer.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

    "appinit_dlls"=C:\WINDOWS2\system32\hrum212.txt

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Acelerador Click21.lnk]

    path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Acelerador Click21.lnk

    backup=C:\WINDOWS2\pss\Acelerador Click21.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Acelerador Orolix.lnk]

    path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Acelerador Orolix.lnk

    backup=C:\WINDOWS2\pss\Acelerador Orolix.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Software Kodak EasyShare.lnk]

    path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Software Kodak EasyShare.lnk

    backup=C:\WINDOWS2\pss\Software Kodak EasyShare.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APVXDWIN]

    "C:\Arquivos de programas\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]

    C:\WINDOWS2\system32\spool\drivers\w32x86\3\hpztsb07.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

    "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\ISUSPM.exe" -startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

    "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

    "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

    C:\WINDOWS2\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

    "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

    "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinAVX]

    C:\WINDOWS2\system32\WinAvXX.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zhkzza.exe]

    C:\DOCUME~1\ERICKM~1\CONFIG~1\Temp\zhkzza.exe

    R1 sp_rsdrv2;Spyware Terminator Driver 2;\??\C:\WINDOWS2\system32\drivers\sp_rsdrv2.sys

    R2 WIBUKEY;WIBU-KEY Kernel Driver;C:\WINDOWS2\system32\DRIVERS\Wibukey.sys

    R3 SiS300i;SiS300i;C:\WINDOWS2\system32\DRIVERS\sis300ip.sys

    R3 SiS7018;Service for AC'97 Sample Driver (WDM);C:\WINDOWS2\system32\drivers\ac97sis.sys

    S3 P2k;Motorola USB Device;C:\WINDOWS2\system32\DRIVERS\P2k.sys

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13ff68f3-cc13-11d6-99e2-806d6172696f}]

    AutoRun\command- setup.exe

    Contents of the 'Scheduled Tasks' folder

    2007-08-11 20:53:34 C:\WINDOWS2\Tasks\plo.job - c:\windows2\system32\lsatipxo.exe

    2007-08-11 20:53:34 C:\WINDOWS2\Tasks\edckxrt.job - c:\windows2\system32\lsatipxo.exe

    2007-08-11 20:53:34 C:\WINDOWS2\Tasks\qozph.job - c:\windows2\system32\lsatipxo.exe

    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

    Rootkit scan 2007-08-12 10:50:35

    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    C:\WINDOWS2\system32GroupPolicy

    C:\WINDOWS2\system32jFpmPe5f.exe 32768 bytes

    C:\WINDOWS2\system32wmidx.ocx 98304 bytes

    C:\WINDOWS2\system32TrueSoft.dat 32768 bytes

    C:\WINDOWS2\system32npwmsdrm.dll 32768 bytes

    C:\WINDOWS2\system32asfsipc.dll 32768 bytes

    C:\WINDOWS2\system32wmaudsdk.dll 163840 bytes

    C:\WINDOWS2\system32pxhpinst.exe 65536 bytes

    C:\WINDOWS2\system32pxinsa64.exe 65536 bytes

    C:\WINDOWS2\system32pxinsi64.exe 131072 bytes

    C:\WINDOWS2\system32pxcpya64.exe 65536 bytes

    C:\WINDOWS2\system32pxcpyi64.exe 131072 bytes

    C:\WINDOWS2\system32mfc70.dll 983040 bytes

    C:\WINDOWS2\system32msvcr70.dll 360448 bytes

    C:\WINDOWS2\system32msvcp70.dll 491520 bytes

    C:\WINDOWS2\system32msflxgrd.ocx 262144 bytes

    C:\WINDOWS2\system32unibus_tcutil.dll 98304 bytes

    C:\WINDOWS2\system32WkWin32.dll 163840 bytes

    C:\WINDOWS2\system32WKDOS.EXE 65536 bytes

    C:\WINDOWS2\system32Wibuke32.cpl 720896 bytes

    C:\WINDOWS2\system32NeroBurnRights.cpl 65536 bytes

    C:\WINDOWS2\system32NeroCo.dll 65536 bytes

    C:\WINDOWS2\system32divx.dll 622592 bytes

    C:\WINDOWS2\system32Mpeg2Parser.ax 98304 bytes

    C:\WINDOWS2\system32Mpeg2Decoder.ax 163840 bytes

    C:\WINDOWS2\system32iviaudio.ax 491520 bytes

    C:\WINDOWS2\system32divxdec.ax 262144 bytes

    C:\WINDOWS2\system32DivX_c32.ax 262144 bytes

    C:\WINDOWS2\system32DivXc32.dll 425984 bytes

    C:\WINDOWS2\system32DivXc32f.dll 425984 bytes

    C:\WINDOWS2\system32DivXa32.acm 294912 bytes

    C:\WINDOWS2\system32xvidvfw.dll 196608 bytes

    C:\WINDOWS2\system32xvid.ax 98304 bytes

    C:\WINDOWS2\system32xvidcore.dll 786432 bytes

    C:\WINDOWS2\system32d3d9caps.dat 32768 bytes

    C:\WINDOWS2\system32d3d8caps.dat 32768 bytes

    C:\WINDOWS2\system32pthsp.dat 32768 bytes

    C:\WINDOWS2\system32pctspk.exe 196608 bytes

    C:\WINDOWS2\system32ptuninst.exe 98304 bytes

    C:\WINDOWS2\system32ptsetup.dll 163840 bytes

    C:\WINDOWS2\system32pncrt.dll 294912 bytes

    C:\WINDOWS2\system32pndx5016.dll 32768 bytes

    C:\WINDOWS2\system32pndx5032.dll 32768 bytes

    C:\WINDOWS2\system32rmoc3260.dll 196608 bytes

    C:\WINDOWS2\system32WELSOF32.DLL 131072 bytes

    C:\WINDOWS2\system32AXCTRL32.OCX 98304 bytes

    C:\WINDOWS2\system32AXAUTCTL.OCX 229376 bytes

    C:\WINDOWS2\system32RICHTX32.OCX 196608 bytes

    C:\WINDOWS2\system32IGLZW32S.DLL 65536 bytes

    C:\WINDOWS2\system32GEAR32PD.DLL 1245184 bytes

    C:\WINDOWS2\system32IGFPX32P.DLL 98304 bytes

    C:\WINDOWS2\system32FPXIG.DLL 294912 bytes

    C:\WINDOWS2\system32JPEGACC.DLL 65536 bytes

    C:\WINDOWS2\system32THREED32.OCX 229376 bytes

    C:\WINDOWS2\system32TABCTL32.OCX 229376 bytes

    C:\WINDOWS2\system32COMCTL32.OCX 622592 bytes

    C:\WINDOWS2\system32COMDLG32.OCX 163840 bytes

    C:\WINDOWS2\system32VB40032.DLL 753664 bytes

    C:\WINDOWS2\system32Unidrv.dll 229376 bytes

    C:\WINDOWS2\system32INLOADER.DLL 98304 bytes

    C:\WINDOWS2\system32wiafbdrv.dll 98304 bytes

    C:\WINDOWS2\system32WiaMicro.dll 32768 bytes

    C:\WINDOWS2\system32Roboex32.dll 327680 bytes

    scan completed successfully

    hidden files: 63

    **************************************************************************

    Completion time: 2007-08-12 10:53:43

    C:\ComboFix-quarantined-files.txt ... 2007-08-12 10:53

    --- E O F ---

    Logfile of HijackThis v1.99.1

    Scan saved at 10:55:08, on 12/8/2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS2\System32\smss.exe

    C:\WINDOWS2\SYSTEM32\winlogon.exe

    C:\WINDOWS2\system32\services.exe

    C:\WINDOWS2\system32\lsass.exe

    C:\WINDOWS2\system32\svchost.exe

    C:\WINDOWS2\System32\svchost.exe

    C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

    C:\WINDOWS2\system32\spoolsv.exe

    C:\Arquivos de programas\Bonjour\mDNSResponder.exe

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

    C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

    C:\WINDOWS2\system32\svchost.exe

    C:\WINDOWS2\system32\pctspk.exe

    C:\ARQUIV~1\SPYWAR~1\SpywareTerminatorShield.exe

    C:\Arquivos de programas\QuickTime\qttask.exe

    C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

    C:\WINDOWS2\system32\ctfmon.exe

    C:\Arquivos de programas\Click21\DialUP.exe

    C:\WINDOWS2\system32\WISPTIS.EXE

    C:\Arquivos de programas\Internet Explorer\iexplore.exe

    C:\WINDOWS2\explorer.exe

    C:\Documents and Settings\Erick Max\Desktop\HostsXpert\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.click21.com.br/?UID=emnet&DOMINIO=click21.com.br&VERSAO=2.0.2

    O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Arquivos de programas\FlashGet\jccatch.dll

    O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Arquivos de programas\FlashGet\fgiebar.dll

    O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

    O4 - HKLM\..\Run: [spywareTerminator] "C:\ARQUIV~1\SPYWAR~1\SpywareTerminatorShield.exe"

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS2\system32\ctfmon.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

    O8 - Extra context menu item: &Descarregar tudo com o FlashGet - C:\Arquivos de programas\FlashGet\jc_all.htm

    O8 - Extra context menu item: &Descarregar utilizando o FlashGet - C:\Arquivos de programas\FlashGet\jc_link.htm

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

    O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Arquivos de programas\Bonjour\ExplorerPlugin.dll

    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FLASHGET\FLASHGET.EXE

    O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FLASHGET\FLASHGET.EXE

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O10 - Unknown file in Winsock LSP: c:\arquivos de programas\bonjour\mdnsnsp.dll

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by133fd.bay133.hotmail.msn.com/activex/HMAtchmt.ocx

    O17 - HKLM\System\CCS\Services\Tcpip\..\{69B6EBA9-8028-4C43-8822-958E827CCE8C}: NameServer = 200.227.128.20 200.227.128.21

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O20 - AppInit_DLLs: C:\WINDOWS2\system32\hrum212.txt

    O20 - Winlogon Notify: klogon - C:\WINDOWS2\system32\klogon.dll

    O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

    O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe

    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

    O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

    O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Unknown owner - C:\Arquivos de programas\WinClamAVShield\sp_clamsrv.exe (file missing)

    O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

    Muito obrigado.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Boa Tarde maletboy!

    >@< Faça o download do SmitfraudFix.

    >@< Salve-o no Disco Local-C e descompacte-o aí mesmo,enviando o executável ( SmitfraudFix.cmd ),para o Desktop.

    >@< Mas não rode-o ainda!

    >@< Faça o download do Avenger.

    >@< Descompacte-o e crie uma pasta para o programa!Coloque esta pasta no Disco Local-C ou Desktop!

    >@< Rode o programa e marque Input script manually.

    >@< Clique no ícone da lupa!

    Files to delete:

    C:\WINDOWS2\System32\hrum212.txt

    C:\WINDOWS2\Tasks\plo.job

    C:\WINDOWS2\Tasks\edckxrt.job

    C:\WINDOWS2\Tasks\qozph.job

    C:\WINDOWS2\System32\lsatipxo.exe

    C:\WINDOWS2\system32\jFpmPe5f.exe

    registry keys to delete:

    HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zhkzza.exe

    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows\hrum212.txt

    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\printer.exe

    HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinAVX\WinAvXX.exe

    >@< Na caixa que abrir,cole o que foi copiado na área do quote,logo àcima!

    >@< Clique em Done.

    >@< Clique no ícone do semáforo!

    >@< Clique em Ok.

    >@< O computador irá reiniciar!

    >@< Aproveite êste reboot e entre em Modo de Segurança.

    >@< Execute o SmitfraudFix.cmd

    >@< Aperte a opção 2 >> Enter.

    >@< Quando aparecer a mensagem: Do you want to clean the registry,aperte a opção Y >> Enter.

    >@< Reinicie,normalmente,o computador!

    >@< Copie o Log ( rapport.txt ) e poste,na sua resposta + HijackThis,atualizado + Avenger.txt

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Ola..eu tenho exatamente o mesmo problema!alguem m pode ajudar?

    Logfile of HijackThis v1.99.1

    Scan saved at 17:49:53, on 03-09-2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Programas\Lavasoft\Ad-Aware 2007\aawservice.exe

    C:\WINDOWS\system32\spoolsv.exe

    F:\Os meus ficheiros recebidos\Ficheiros & ProGs\Ashampoo Magic Defrag\bin\aDefragService.exe

    C:\WINDOWS\Explorer.exe

    C:\Programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

    C:\WINDOWS\system32\printer.exe

    C:\Programas\Ficheiros comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

    C:\WINDOWS\system32\nvsvc32.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\SOUNDMAN.EXE

    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

    C:\WINDOWS\system32\VTTimer.exe

    C:\WINDOWS\system32\devldr32.exe

    C:\Programas\QuickTime\qttask.exe

    C:\Programas\Java\jre1.6.0_02\bin\jusched.exe

    C:\Programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

    C:\Programas\ADSLKeepAlive\ADSLKeepAlive.exe

    C:\Programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

    C:\Programas\MSN Messenger\MsnMsgr.Exe

    C:\Programas\Creative\Shared Files\CamTray.exe

    C:\Programas\Spybot - Search & Destroy\TeaTimer.exe

    C:\WINDOWS\system32\WgaTray.exe

    F:\Os meus ficheiros recebidos\Ficheiros & ProGs\Ashampoo Magic Defrag\bin\aDefragCtrl.exe

    C:\Programas\SAGEM\SAGEM F@st 800-840\dslmon.exe

    C:\Programas\InterVideo\Common\Bin\WinCinemaMgr.exe

    C:\Programas\MSN Messenger\usnsvc.exe

    C:\Programas\Internet Explorer\iexplore.exe

    C:\Program Files\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações

    R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programas\google\googletoolbar2.dll

    O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [AudioHQU] C:\Programas\Creative\SBLive\AudioHQ\AHQTBU.EXE

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programas\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programas\Java\jre1.6.0_02\bin\jusched.exe"

    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

    O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

    O4 - HKCU\..\Run: [ADSLKeepAlive] C:\Programas\ADSLKeepAlive\ADSLKeepAlive.exe

    O4 - HKCU\..\Run: [swg] C:\Programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

    O4 - HKCU\..\Run: [MsnMsgr] "C:\Programas\MSN Messenger\MsnMsgr.Exe" /background

    O4 - HKCU\..\Run: [Creative WebCam Tray] C:\Programas\Creative\Shared Files\CamTray.exe

    O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

    O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Programas\Spybot - Search & Destroy\TeaTimer.exe

    O4 - Startup: system.exe

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O4 - Global Startup: Ashampoo Magic Defrag.lnk = F:\Os meus ficheiros recebidos\Ficheiros & ProGs\Ashampoo Magic Defrag\bin\aDefragCtrl.exe

    O4 - Global Startup: autorun.exe

    O4 - Global Startup: DSLMON.lnk = C:\Programas\SAGEM\SAGEM F@st 800-840\dslmon.exe

    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programas\InterVideo\Common\Bin\WinCinemaMgr.exe

    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_02\bin\ssv.dll

    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_02\bin\ssv.dll

    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

    O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows/Initial/VideoEggPublisher.exe

    O17 - HKLM\System\CCS\Services\Tcpip\..\{08194654-068E-4394-AFB8-F149308F6D56}: NameServer = 212.55.154.174

    O17 - HKLM\System\CS1\Services\Tcpip\..\{08194654-068E-4394-AFB8-F149308F6D56}: NameServer = 212.55.154.174

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

    O20 - AppInit_DLLs: C:\WINDOWS\system32\hadjajr.ini

    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programas\Lavasoft\Ad-Aware 2007\aawservice.exe

    O23 - Service: AntiSpyware Scanning Engine (AntiSpywareSrv) - Unknown owner - C:\Programas\AntiSpywareApp\AntiSpywareSrv.srv.exe

    O23 - Service: AshampooDefragService - - F:\Os meus ficheiros recebidos\Ficheiros & ProGs\Ashampoo Magic Defrag\bin\aDefragService.exe

    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programas\Google\Common\Google Updater\GoogleUpdaterService.exe

    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×