Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
maletboy

Por favor, gostaria que alguém analisasse meu log do hijackthis.

Recommended Posts

maletboy    0

olá amigos. alguém poderia me ajudar, porque aqui no meu pc tá aparecendo uma mensagem em inglês, dizendo q meu computador está infectado, meu painel de controle sumiu (quando tento ir em adicionar ou remover programas, aparece "operação cancelada devido a restrições existentes no computador..."

estou colocando aqui um log do hijackthis e outro do bankerfix. obrigado.

Logfile of HijackThis v1.99.1

Scan saved at 00:14:41, on 12/8/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS2\System32\smss.exe

C:\WINDOWS2\SYSTEM32\winlogon.exe

C:\WINDOWS2\system32\services.exe

C:\WINDOWS2\system32\lsass.exe

C:\WINDOWS2\system32\svchost.exe

C:\WINDOWS2\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS2\system32\spoolsv.exe

C:\Arquivos de programas\Bonjour\mDNSResponder.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

C:\WINDOWS2\system32\svchost.exe

C:\WINDOWS2\Explorer.exe

C:\WINDOWS2\system32\pctspk.exe

C:\ARQUIV~1\SPYWAR~1\SpywareTerminatorShield.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\WINDOWS2\system32\ctfmon.exe

C:\Arquivos de programas\Click21\DialUP.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Erick Max\Desktop\HostsXpert\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.click21.com.br/?UID=emnet&DOMINIO=click21.com.br&VERSAO=2.0.2

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS2\system32\printer.exe

O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Arquivos de programas\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [spywareTerminator] "C:\ARQUIV~1\SPYWAR~1\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS2\system32\WinAvXX.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS2\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS2\system32\WinAvXX.exe

O4 - Startup: system.exe

O4 - Global Startup: autorun.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Descarregar tudo com o FlashGet - C:\Arquivos de programas\FlashGet\jc_all.htm

O8 - Extra context menu item: &Descarregar utilizando o FlashGet - C:\Arquivos de programas\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Arquivos de programas\Bonjour\ExplorerPlugin.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FLASHGET\FLASHGET.EXE

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FLASHGET\FLASHGET.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\arquivos de programas\bonjour\mdnsnsp.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by133fd.bay133.hotmail.msn.com/activex/HMAtchmt.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{69B6EBA9-8028-4C43-8822-958E827CCE8C}: NameServer = 200.227.128.20 200.227.128.21

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS2\system32\hrum212.txt

O20 - Winlogon Notify: klogon - C:\WINDOWS2\system32\klogon.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Unknown owner - C:\Arquivos de programas\WinClamAVShield\sp_clamsrv.exe (file missing)

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

BankerFix 2.4 - Removedor de Bankers

Linha Defensiva - http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

Data: 8/8/2007 - 2:16

-------------------------------------------------------

Lista de Definição: 2007-08-05-1

=======================================================

Arquivo infectado detectado: C:\Documents and Settings\Erick Max\Menu Iniciar\Programas\Inicializar\system.exe

Arquivo infectado removido com sucesso!

Killando arquivos em Help

-----------------------------------

Killing '*'

Removendo Arquivos em Help

-----------------------------------

Arquivos ruins restantes

-----------------------------------

----- Fim -------------------------

Compartilhar este post


Link para o post
Compartilhar em outros sites
joram    0

Bom Dia maletboy!

>@< Faça o download do ComboFix.

>@< Baixe-a para o Desktop!

>@< Feche todas as janelas e execute a ferramenta!

>@< Abrirá a janela Auto Scan. Aguarde!

>@< Digite a opção para continuar < Enter >

>@< Aguarde a conclusão!

>@< Poste o relatório: C:\ComboFix.txt,na sua resposta + Log do HJT,atualizado.

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites
maletboy    0
  • Autor do tópico
  • olá Joram. eu fiz o que você me passou e aqui estão os logs do Combo Fix e o do Hijackthis:

    ComboFix 07-08-09.3 - "Erick Max" 2007-08-12 10:44:41.1 - FAT32x86

    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.92 [GMT -3:00]

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

    C:\Autorun.inf

    C:\DOCUME~1\ALLUSE~1\MENUIN~1\PROGRA~1\INICIA~1.\autorun.exe

    C:\DOCUME~1\ERICKM~1\MENUIN~1\PROGRA~1\INICIA~1.\system.exe

    C:\WINDOWS2\system32\printer.exe

    C:\WINDOWS2\system32\WinAvXX.exe

    ((((((((((((((((((((((((( Files Created from 2007-07-12 to 2007-08-12 )))))))))))))))))))))))))))))))

    2007-08-12 10:43 51,200 --a------ C:\WINDOWS2\nircmd.exe

    2007-08-08 11:37 <DIR> d-------- C:\!KillBox

    2007-08-07 10:57 1,536 --a------ C:\WINDOWS2\system32\TrueSoft.dat

    2007-07-14 16:11 15,950 --a------ C:\WINDOWS2\system32\winmds.exe

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-08-11 16:56 32 --ahs---- C:\WINDOWS2\system32\drivers\fidbox2.idx

    2007-08-11 16:56 32 --ahs---- C:\WINDOWS2\system32\drivers\fidbox2.dat

    2007-08-11 16:56 32 --ahs---- C:\WINDOWS2\system32\drivers\fidbox.idx

    2007-08-11 16:56 32 --ahs---- C:\WINDOWS2\system32\drivers\fidbox.dat

    2007-07-31 10:54 2516 --ahs---- C:\WINDOWS2\system32\KGyGaAvL.sys

    2007-07-03 14:29 22592 --a------ C:\WINDOWS2\system32\jFpmPe5f.exe

    2007-06-17 09:45 --------- d-------- C:\Arquivos de programas\PDF Password Remover v3.0

    2005-09-28 20:59 266 ---hs---- C:\Arquivos de programas\desktop.ini

    2005-09-28 20:59 11280 ---h----- C:\Arquivos de programas\folder.htt

    2004-03-11 13:27 40960 --ah----- C:\Arquivos de programas\Uninstall_CDS.exe

    2001-09-10 08:10 61440 --a------ C:\WINDOWS2\inf\i386\onetUSD.dll

    2001-09-06 08:58 139264 --a------ C:\WINDOWS2\inf\i386\Rtscan.dll

    2001-08-17 18:43 32768 --a------ C:\WINDOWS2\inf\i386\Wiamicro.dll

    2001-06-29 08:10 163840 --a------ C:\WINDOWS2\inf\i386\viceo.dll

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "PCTVOICE"="pctspk.exe" [2002-11-04 15:48 C:\WINDOWS2\system32\pctspk.exe]

    "SpywareTerminator"="C:\ARQUIV~1\SPYWAR~1\SpywareTerminatorShield.exe" [2007-04-08 01:07]

    "QuickTime Task"="C:\Arquivos de programas\QuickTime\qttask.exe" [2007-05-05 17:06]

    "TkBellExe"="C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2007-02-23 16:55]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "CTFMON.EXE"="C:\WINDOWS2\system32\ctfmon.exe" [2004-08-04 03:45]

    "MSMSGS"="C:\Arquivos de programas\Messenger\msmsgs.exe" [2004-08-04 00:56]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

    "Shell"="Explorer.exe C:\WINDOWS2\system32\printer.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

    "appinit_dlls"=C:\WINDOWS2\system32\hrum212.txt

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Acelerador Click21.lnk]

    path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Acelerador Click21.lnk

    backup=C:\WINDOWS2\pss\Acelerador Click21.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Acelerador Orolix.lnk]

    path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Acelerador Orolix.lnk

    backup=C:\WINDOWS2\pss\Acelerador Orolix.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Software Kodak EasyShare.lnk]

    path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Software Kodak EasyShare.lnk

    backup=C:\WINDOWS2\pss\Software Kodak EasyShare.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APVXDWIN]

    "C:\Arquivos de programas\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]

    C:\WINDOWS2\system32\spool\drivers\w32x86\3\hpztsb07.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

    "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\ISUSPM.exe" -startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

    "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

    "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

    C:\WINDOWS2\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

    "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

    "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinAVX]

    C:\WINDOWS2\system32\WinAvXX.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zhkzza.exe]

    C:\DOCUME~1\ERICKM~1\CONFIG~1\Temp\zhkzza.exe

    R1 sp_rsdrv2;Spyware Terminator Driver 2;\??\C:\WINDOWS2\system32\drivers\sp_rsdrv2.sys

    R2 WIBUKEY;WIBU-KEY Kernel Driver;C:\WINDOWS2\system32\DRIVERS\Wibukey.sys

    R3 SiS300i;SiS300i;C:\WINDOWS2\system32\DRIVERS\sis300ip.sys

    R3 SiS7018;Service for AC'97 Sample Driver (WDM);C:\WINDOWS2\system32\drivers\ac97sis.sys

    S3 P2k;Motorola USB Device;C:\WINDOWS2\system32\DRIVERS\P2k.sys

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13ff68f3-cc13-11d6-99e2-806d6172696f}]

    AutoRun\command- setup.exe

    Contents of the 'Scheduled Tasks' folder

    2007-08-11 20:53:34 C:\WINDOWS2\Tasks\plo.job - c:\windows2\system32\lsatipxo.exe

    2007-08-11 20:53:34 C:\WINDOWS2\Tasks\edckxrt.job - c:\windows2\system32\lsatipxo.exe

    2007-08-11 20:53:34 C:\WINDOWS2\Tasks\qozph.job - c:\windows2\system32\lsatipxo.exe

    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

    Rootkit scan 2007-08-12 10:50:35

    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    C:\WINDOWS2\system32GroupPolicy

    C:\WINDOWS2\system32jFpmPe5f.exe 32768 bytes

    C:\WINDOWS2\system32wmidx.ocx 98304 bytes

    C:\WINDOWS2\system32TrueSoft.dat 32768 bytes

    C:\WINDOWS2\system32npwmsdrm.dll 32768 bytes

    C:\WINDOWS2\system32asfsipc.dll 32768 bytes

    C:\WINDOWS2\system32wmaudsdk.dll 163840 bytes

    C:\WINDOWS2\system32pxhpinst.exe 65536 bytes

    C:\WINDOWS2\system32pxinsa64.exe 65536 bytes

    C:\WINDOWS2\system32pxinsi64.exe 131072 bytes

    C:\WINDOWS2\system32pxcpya64.exe 65536 bytes

    C:\WINDOWS2\system32pxcpyi64.exe 131072 bytes

    C:\WINDOWS2\system32mfc70.dll 983040 bytes

    C:\WINDOWS2\system32msvcr70.dll 360448 bytes

    C:\WINDOWS2\system32msvcp70.dll 491520 bytes

    C:\WINDOWS2\system32msflxgrd.ocx 262144 bytes

    C:\WINDOWS2\system32unibus_tcutil.dll 98304 bytes

    C:\WINDOWS2\system32WkWin32.dll 163840 bytes

    C:\WINDOWS2\system32WKDOS.EXE 65536 bytes

    C:\WINDOWS2\system32Wibuke32.cpl 720896 bytes

    C:\WINDOWS2\system32NeroBurnRights.cpl 65536 bytes

    C:\WINDOWS2\system32NeroCo.dll 65536 bytes

    C:\WINDOWS2\system32divx.dll 622592 bytes

    C:\WINDOWS2\system32Mpeg2Parser.ax 98304 bytes

    C:\WINDOWS2\system32Mpeg2Decoder.ax 163840 bytes

    C:\WINDOWS2\system32iviaudio.ax 491520 bytes

    C:\WINDOWS2\system32divxdec.ax 262144 bytes

    C:\WINDOWS2\system32DivX_c32.ax 262144 bytes

    C:\WINDOWS2\system32DivXc32.dll 425984 bytes

    C:\WINDOWS2\system32DivXc32f.dll 425984 bytes

    C:\WINDOWS2\system32DivXa32.acm 294912 bytes

    C:\WINDOWS2\system32xvidvfw.dll 196608 bytes

    C:\WINDOWS2\system32xvid.ax 98304 bytes

    C:\WINDOWS2\system32xvidcore.dll 786432 bytes

    C:\WINDOWS2\system32d3d9caps.dat 32768 bytes

    C:\WINDOWS2\system32d3d8caps.dat 32768 bytes

    C:\WINDOWS2\system32pthsp.dat 32768 bytes

    C:\WINDOWS2\system32pctspk.exe 196608 bytes

    C:\WINDOWS2\system32ptuninst.exe 98304 bytes

    C:\WINDOWS2\system32ptsetup.dll 163840 bytes

    C:\WINDOWS2\system32pncrt.dll 294912 bytes

    C:\WINDOWS2\system32pndx5016.dll 32768 bytes

    C:\WINDOWS2\system32pndx5032.dll 32768 bytes

    C:\WINDOWS2\system32rmoc3260.dll 196608 bytes

    C:\WINDOWS2\system32WELSOF32.DLL 131072 bytes

    C:\WINDOWS2\system32AXCTRL32.OCX 98304 bytes

    C:\WINDOWS2\system32AXAUTCTL.OCX 229376 bytes

    C:\WINDOWS2\system32RICHTX32.OCX 196608 bytes

    C:\WINDOWS2\system32IGLZW32S.DLL 65536 bytes

    C:\WINDOWS2\system32GEAR32PD.DLL 1245184 bytes

    C:\WINDOWS2\system32IGFPX32P.DLL 98304 bytes

    C:\WINDOWS2\system32FPXIG.DLL 294912 bytes

    C:\WINDOWS2\system32JPEGACC.DLL 65536 bytes

    C:\WINDOWS2\system32THREED32.OCX 229376 bytes

    C:\WINDOWS2\system32TABCTL32.OCX 229376 bytes

    C:\WINDOWS2\system32COMCTL32.OCX 622592 bytes

    C:\WINDOWS2\system32COMDLG32.OCX 163840 bytes

    C:\WINDOWS2\system32VB40032.DLL 753664 bytes

    C:\WINDOWS2\system32Unidrv.dll 229376 bytes

    C:\WINDOWS2\system32INLOADER.DLL 98304 bytes

    C:\WINDOWS2\system32wiafbdrv.dll 98304 bytes

    C:\WINDOWS2\system32WiaMicro.dll 32768 bytes

    C:\WINDOWS2\system32Roboex32.dll 327680 bytes

    scan completed successfully

    hidden files: 63

    **************************************************************************

    Completion time: 2007-08-12 10:53:43

    C:\ComboFix-quarantined-files.txt ... 2007-08-12 10:53

    --- E O F ---

    Logfile of HijackThis v1.99.1

    Scan saved at 10:55:08, on 12/8/2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS2\System32\smss.exe

    C:\WINDOWS2\SYSTEM32\winlogon.exe

    C:\WINDOWS2\system32\services.exe

    C:\WINDOWS2\system32\lsass.exe

    C:\WINDOWS2\system32\svchost.exe

    C:\WINDOWS2\System32\svchost.exe

    C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

    C:\WINDOWS2\system32\spoolsv.exe

    C:\Arquivos de programas\Bonjour\mDNSResponder.exe

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

    C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

    C:\WINDOWS2\system32\svchost.exe

    C:\WINDOWS2\system32\pctspk.exe

    C:\ARQUIV~1\SPYWAR~1\SpywareTerminatorShield.exe

    C:\Arquivos de programas\QuickTime\qttask.exe

    C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

    C:\WINDOWS2\system32\ctfmon.exe

    C:\Arquivos de programas\Click21\DialUP.exe

    C:\WINDOWS2\system32\WISPTIS.EXE

    C:\Arquivos de programas\Internet Explorer\iexplore.exe

    C:\WINDOWS2\explorer.exe

    C:\Documents and Settings\Erick Max\Desktop\HostsXpert\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.click21.com.br/?UID=emnet&DOMINIO=click21.com.br&VERSAO=2.0.2

    O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Arquivos de programas\FlashGet\jccatch.dll

    O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Arquivos de programas\FlashGet\fgiebar.dll

    O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

    O4 - HKLM\..\Run: [spywareTerminator] "C:\ARQUIV~1\SPYWAR~1\SpywareTerminatorShield.exe"

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS2\system32\ctfmon.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

    O8 - Extra context menu item: &Descarregar tudo com o FlashGet - C:\Arquivos de programas\FlashGet\jc_all.htm

    O8 - Extra context menu item: &Descarregar utilizando o FlashGet - C:\Arquivos de programas\FlashGet\jc_link.htm

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

    O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Arquivos de programas\Bonjour\ExplorerPlugin.dll

    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FLASHGET\FLASHGET.EXE

    O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FLASHGET\FLASHGET.EXE

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O10 - Unknown file in Winsock LSP: c:\arquivos de programas\bonjour\mdnsnsp.dll

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by133fd.bay133.hotmail.msn.com/activex/HMAtchmt.ocx

    O17 - HKLM\System\CCS\Services\Tcpip\..\{69B6EBA9-8028-4C43-8822-958E827CCE8C}: NameServer = 200.227.128.20 200.227.128.21

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O20 - AppInit_DLLs: C:\WINDOWS2\system32\hrum212.txt

    O20 - Winlogon Notify: klogon - C:\WINDOWS2\system32\klogon.dll

    O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

    O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe

    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

    O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

    O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Unknown owner - C:\Arquivos de programas\WinClamAVShield\sp_clamsrv.exe (file missing)

    O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

    Muito obrigado.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    joram    0

    Boa Tarde maletboy!

    >@< Faça o download do SmitfraudFix.

    >@< Salve-o no Disco Local-C e descompacte-o aí mesmo,enviando o executável ( SmitfraudFix.cmd ),para o Desktop.

    >@< Mas não rode-o ainda!

    >@< Faça o download do Avenger.

    >@< Descompacte-o e crie uma pasta para o programa!Coloque esta pasta no Disco Local-C ou Desktop!

    >@< Rode o programa e marque Input script manually.

    >@< Clique no ícone da lupa!

    Files to delete:

    C:\WINDOWS2\System32\hrum212.txt

    C:\WINDOWS2\Tasks\plo.job

    C:\WINDOWS2\Tasks\edckxrt.job

    C:\WINDOWS2\Tasks\qozph.job

    C:\WINDOWS2\System32\lsatipxo.exe

    C:\WINDOWS2\system32\jFpmPe5f.exe

    registry keys to delete:

    HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zhkzza.exe

    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows\hrum212.txt

    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\printer.exe

    HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinAVX\WinAvXX.exe

    >@< Na caixa que abrir,cole o que foi copiado na área do quote,logo àcima!

    >@< Clique em Done.

    >@< Clique no ícone do semáforo!

    >@< Clique em Ok.

    >@< O computador irá reiniciar!

    >@< Aproveite êste reboot e entre em Modo de Segurança.

    >@< Execute o SmitfraudFix.cmd

    >@< Aperte a opção 2 >> Enter.

    >@< Quando aparecer a mensagem: Do you want to clean the registry,aperte a opção Y >> Enter.

    >@< Reinicie,normalmente,o computador!

    >@< Copie o Log ( rapport.txt ) e poste,na sua resposta + HijackThis,atualizado + Avenger.txt

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Jeans_gtt    0

    Ola..eu tenho exatamente o mesmo problema!alguem m pode ajudar?

    Logfile of HijackThis v1.99.1

    Scan saved at 17:49:53, on 03-09-2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Programas\Lavasoft\Ad-Aware 2007\aawservice.exe

    C:\WINDOWS\system32\spoolsv.exe

    F:\Os meus ficheiros recebidos\Ficheiros & ProGs\Ashampoo Magic Defrag\bin\aDefragService.exe

    C:\WINDOWS\Explorer.exe

    C:\Programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

    C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

    C:\WINDOWS\system32\printer.exe

    C:\Programas\Ficheiros comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

    C:\WINDOWS\system32\nvsvc32.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\SOUNDMAN.EXE

    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

    C:\WINDOWS\system32\VTTimer.exe

    C:\WINDOWS\system32\devldr32.exe

    C:\Programas\QuickTime\qttask.exe

    C:\Programas\Java\jre1.6.0_02\bin\jusched.exe

    C:\Programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

    C:\Programas\ADSLKeepAlive\ADSLKeepAlive.exe

    C:\Programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

    C:\Programas\MSN Messenger\MsnMsgr.Exe

    C:\Programas\Creative\Shared Files\CamTray.exe

    C:\Programas\Spybot - Search & Destroy\TeaTimer.exe

    C:\WINDOWS\system32\WgaTray.exe

    F:\Os meus ficheiros recebidos\Ficheiros & ProGs\Ashampoo Magic Defrag\bin\aDefragCtrl.exe

    C:\Programas\SAGEM\SAGEM F@st 800-840\dslmon.exe

    C:\Programas\InterVideo\Common\Bin\WinCinemaMgr.exe

    C:\Programas\MSN Messenger\usnsvc.exe

    C:\Programas\Internet Explorer\iexplore.exe

    C:\Program Files\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações

    R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programas\google\googletoolbar2.dll

    O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [AudioHQU] C:\Programas\Creative\SBLive\AudioHQ\AHQTBU.EXE

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programas\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programas\Java\jre1.6.0_02\bin\jusched.exe"

    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

    O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programas\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

    O4 - HKCU\..\Run: [ADSLKeepAlive] C:\Programas\ADSLKeepAlive\ADSLKeepAlive.exe

    O4 - HKCU\..\Run: [swg] C:\Programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

    O4 - HKCU\..\Run: [MsnMsgr] "C:\Programas\MSN Messenger\MsnMsgr.Exe" /background

    O4 - HKCU\..\Run: [Creative WebCam Tray] C:\Programas\Creative\Shared Files\CamTray.exe

    O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

    O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Programas\Spybot - Search & Destroy\TeaTimer.exe

    O4 - Startup: system.exe

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O4 - Global Startup: Ashampoo Magic Defrag.lnk = F:\Os meus ficheiros recebidos\Ficheiros & ProGs\Ashampoo Magic Defrag\bin\aDefragCtrl.exe

    O4 - Global Startup: autorun.exe

    O4 - Global Startup: DSLMON.lnk = C:\Programas\SAGEM\SAGEM F@st 800-840\dslmon.exe

    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programas\InterVideo\Common\Bin\WinCinemaMgr.exe

    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_02\bin\ssv.dll

    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_02\bin\ssv.dll

    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

    O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows/Initial/VideoEggPublisher.exe

    O17 - HKLM\System\CCS\Services\Tcpip\..\{08194654-068E-4394-AFB8-F149308F6D56}: NameServer = 212.55.154.174

    O17 - HKLM\System\CS1\Services\Tcpip\..\{08194654-068E-4394-AFB8-F149308F6D56}: NameServer = 212.55.154.174

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

    O20 - AppInit_DLLs: C:\WINDOWS\system32\hadjajr.ini

    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programas\Lavasoft\Ad-Aware 2007\aawservice.exe

    O23 - Service: AntiSpyware Scanning Engine (AntiSpywareSrv) - Unknown owner - C:\Programas\AntiSpywareApp\AntiSpywareSrv.srv.exe

    O23 - Service: AshampooDefragService - - F:\Os meus ficheiros recebidos\Ficheiros & ProGs\Ashampoo Magic Defrag\bin\aDefragService.exe

    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

    O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programas\Google\Common\Google Updater\GoogleUpdaterService.exe

    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×