Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Pregisc

Não sei c tem virus ou não ... mas o pc ta esquisito !! HELP !!!

Recommended Posts

bom pessoal o micro ta estranho, da uma mensagem de erro fatal e q tem q ser reiniciado por ordem de usuario AUTORIDADE ... sei lá como foi !!!!!

ai vai o log !!!!

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:26:57, on 21/1/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\alg.exe,

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684CC} - C:\Arquivos de programas\Helper\superdirectsearch.dll

O2 - BHO: (no name) - {F5F2F7CD-68AD-4C2E-A53D-3A6B316649E5} - C:\WINDOWS\system32\avtap.dll

O4 - HKLM\..\Run: [MRT] "C:\WINDOWS\system32\MRT.exe" /R

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARQUIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - AppInit_DLLs: C:\WINDOWS\system32\sof629.txt

--

End of file - 3277 bytes

:-BEER

Compartilhar este post


Link para o post
Compartilhar em outros sites

- Faça o download do BankerFix

Importante: A ferramenta irá finalizar o Internet Explorer. Salve qualquer link que você precisa acessar depois antes de executá-la.

Clique em OK na primeira e na segunda vez que aparecerem caixas de mensagem. Se você estiver executando o BankerFix pela segunda vez, ele irá pedir para verificar por uma atualização. Diga que Sim e depois clique em OK.

Quando ele executar, aparecerá uma tela preta pedindo para que aperte qualquer tecla. Tecle Enter e espere ele terminar. Pode levar algum tempo.

Ao terminar, leia a mensagem na tela e aperte Enter novamente. Quando ele terminar, cole o arquivo C:\LinhaDefensiva\relatorio.txt na sua resposta;

- Gere também um novo log do HijackThis para colocar na sua resposta.

- Apague a pasta:

C:\LinhaDefensiva

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • BankerFix 2.5b - Removedor de Bankers

    Linha Defensiva - http://www.linhadefensiva.org

    http://www.linhadefensiva.org/bankerfix/

    Data: 23/1/2008 - 10:22

    -------------------------------------------------------

    Lista de Definição: 2008-01-16-1

    =======================================================

    Killando arquivos em Help

    -----------------------------------

    Killing '*'

    Removendo Arquivos em Help

    -----------------------------------

    ----- Fim -------------------------

    Logfile of Trend Micro HijackThis v2.0.2

    Scan saved at 10:37:39, on 23/1/2008

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Boot mode: Normal

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\system32\svchost.exe

    C:\Arquivos de programas\Messenger\msmsgs.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\Arquivos de programas\Mozilla Firefox\firefox.exe

    C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\alg.exe,

    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684CC} - C:\Arquivos de programas\Helper\superdirectsearch.dll

    O2 - BHO: (no name) - {F5F2F7CD-68AD-4C2E-A53D-3A6B316649E5} - C:\WINDOWS\system32\avtap.dll

    O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

    O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

    O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARQUIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')

    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O20 - AppInit_DLLs: C:\WINDOWS\system32\sof629.txt

    --

    End of file - 2590 bytes

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    - Faça o download do ComboFix

    • Desative, temporariamente, o antivírus;
    • Feche todas as janelas abertas;
    • Dê um duplo-clique no combofix.exe e tecle "1" para prosseguir o Fix. Pode demorar algum tempo.
    • O ComboFix poderá reiniciar o PC automaticamente para completar o processo de remoção.
    • Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.
    • Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
    • Para parar ou sair do ComboFix, tecle "N".
    • Cole o ComboFix.txt e um novo log do HijackThis na sua resposta.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • josemelo, eu executei o combofix, e quando foi pra finaliza, ele reinicio tal, ai ele deu erro d svchost.exe e aconteceu d novo d reinicia por ordem de usuario AUTORIDADE. Mas o log foi salvo ai vai:

    ComboFix 08-01-23.2 - Paulo 2008-01-23 20:21:00.1 - NTFSx86

    Executando de: C:\Documents and Settings\Paulo\Desktop\ComboFix.exe

    * Criado um novo ponto de restauro

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

    .

    ((((((((((((((((((((((((((((((((((((( Outras Exclusäes )))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    C:\2.tmp

    C:\Arquivos de programas\Helper

    C:\Arquivos de programas\Helper\superdirectsearch.dll

    C:\WINDOWS\system32\4_exception.nls

    C:\WINDOWS\system32\drivers\smtpdrv.sys

    C:\WINDOWS\system32\winter.exe

    .

    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .

    -------\LEGACY_SMTPDRV

    -------\runtime

    -------\smtpdrv

    -------\SysLibrary

    ((((((((((((((((((((((( Ficheiros criados de 2007-12-23 to 2008-01-23 ))))))))))))))))))))))))))))))))

    .

    2008-01-23 20:15 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe

    2008-01-21 13:44 . 2008-01-21 13:52 <DIR> d-------- C:\Arquivos de programas\Bus Driver

    2008-01-21 10:20 . 2008-01-21 10:20 197 --a------ C:\WINDOWS\system32\MRT.INI

    2008-01-21 10:13 . 2008-01-21 10:13 28,672 --a------ C:\WINDOWS\expxcee.exe

    2008-01-19 11:00 . 2008-01-19 11:00 <DIR> d-------- C:\Arquivos de programas\CCleaner

    2008-01-19 10:50 . 2008-01-21 12:07 <DIR> d-------- C:\Arquivos de programas\Panda Security

    2008-01-18 16:37 . 2008-01-18 16:37 <DIR> d-------- C:\Arquivos de programas\MSXML 4.0

    2008-01-18 10:49 . 2008-01-19 11:35 <DIR> d--h----- C:\WINDOWS\$hf_mig$

    2008-01-18 10:16 . 2008-01-19 10:50 2,704 --a------ C:\WINDOWS\mozver.dat

    2008-01-18 10:13 . 2008-01-18 10:13 0 --a------ C:\WINDOWS\nsreg.dat

    2008-01-18 09:58 . 2008-01-18 10:24 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico

    2008-01-18 09:58 . 2008-01-18 10:24 1,406 --a------ C:\WINDOWS\system32\Help.ico

    2008-01-18 09:22 . 2008-01-18 09:22 <DIR> d-------- C:\Arquivos de programas\Trend Micro

    2008-01-17 17:18 . 19,584 C:\WINDOWS\system32\drivers\bwygqjkp.dat

    2008-01-17 17:12 . 2001-10-28 10:06 84,480 --a------ C:\WINDOWS\system32\avtap.dll

    2008-01-17 17:12 . 2008-01-17 17:12 60,961 --a------ C:\WINDOWS\system32\jhgsdf295.exe

    2008-01-17 17:12 . 2008-01-17 17:12 28,672 --a------ C:\WINDOWS\system32\jhgsdf323.exe

    2008-01-17 17:12 . 2008-01-17 17:41 18,432 --a------ C:\WINDOWS\system32\jhgsdf228.exe

    2008-01-17 17:11 . 2008-01-17 17:12 12 --a------ C:\WINDOWS\system32\svchost.t__

    2008-01-17 12:17 . 2008-01-18 10:39 25,984 --a------ C:\WINDOWS\system32\drivers\Hot40.sys

    2008-01-17 12:17 . 2008-01-20 22:19 12,800 --a------ C:\WINDOWS\system32\linksave.dll

    2008-01-17 12:17 . 2008-01-17 17:41 434 --a------ C:\WINDOWS\system32\svchost.tmp

    2008-01-17 12:14 . 2008-01-17 12:14 4 --a------ C:\3.tmp

    2008-01-11 13:09 . 2008-01-11 13:09 <DIR> d-------- C:\SAVE

    2008-01-04 17:06 . 1999-12-17 09:13 86,016 --a------ C:\WINDOWS\unvise32.exe

    2008-01-04 16:52 . 2008-01-04 16:52 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\SWF Studio

    2008-01-04 16:45 . 2008-01-04 16:45 57 --a------ C:\WINDOWS\sierra.ini

    2008-01-04 16:38 . 2008-01-04 16:38 <DIR> d-------- C:\Sierra

    .

    ((((((((((((((((((((((((((((((((((((( Relat¢rio Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    2007-11-29 12:05 --------- d-----w C:\Arquivos de programas\eMule

    2007-11-27 14:11 --------- d-----w C:\Arquivos de programas\Google

    2007-11-24 20:34 --------- d--h--w C:\Arquivos de programas\InstallShield Installation Information

    2007-11-24 20:34 --------- d-----w C:\Arquivos de programas\LG Electronics

    2007-11-24 20:32 --------- d-----w C:\Arquivos de programas\LGE GSM PC Sync

    2007-11-24 19:11 --------- d-----w C:\Arquivos de programas\New Star Soccer 3

    .

    :confused:

    Logfile of Trend Micro HijackThis v2.0.2

    Scan saved at 20:51, on 2008-01-23

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Boot mode: Normal

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\system32\svchost.exe

    C:\Arquivos de programas\Messenger\msmsgs.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\alg.exe,

    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684CC} - C:\Arquivos de programas\Helper\superdirectsearch.dll (file missing)

    O2 - BHO: (no name) - {F5F2F7CD-68AD-4C2E-A53D-3A6B316649E5} - C:\WINDOWS\system32\avtap.dll

    O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat

    O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

    O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

    O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARQUIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')

    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    --

    End of file - 2506 bytes

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • bom o log salvo estava igual, fiz outro scan

    Logfile of Trend Micro HijackThis v2.0.2

    Scan saved at 09:24, on 2008-01-25

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Boot mode: Normal

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\svchost.exe

    C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

    C:\Arquivos de programas\Messenger\msmsgs.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\Arquivos de programas\Mozilla Firefox\firefox.exe

    C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\alg.exe,

    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684CC} - C:\Arquivos de programas\Helper\superdirectsearch.dll (file missing)

    O2 - BHO: (no name) - {F5F2F7CD-68AD-4C2E-A53D-3A6B316649E5} - C:\WINDOWS\system32\avtap.dll

    O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat

    O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

    O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

    O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARQUIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')

    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    --

    End of file - 2636 bytes

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    - Digite no Executar combofix /u e clique em Ok. Na próxima janela clique em "Executar" e aguarde a remoção do programa;

    Faça o download do VundoFix

    http://linhadefensiva.uol.com.br/dl/vundofix

    Salve-o em sua área de trabalho.

    1. Rode o VundoFix.exe.
    2. Quando o VundoFix abrir novamente, clique em Scan for Vundo
    3. Quando ele terminar, clique em Remove Vundo
    4. Você receberá um prompt perguntando se você quer remover os arquivos. Confirme. Sua área de trabalho vai sumir.
    5. Você receberá um aviso dizendo que seu computador deve ser desligado. Clique em OK e depois ligue o computador novamente.
    6. É possível que o VundoFix encontre um arquivo, mas não consiga removê-lo. Se isso acontecer, a ferramenta rodará ao reiniciar.
      Quando o VundoFix aparecer, clique no botão Scan for Vundo para repetir o processo.

    Quando o VundoFix não encontrar mais nenhum arquivo que não consegue remover, faça um novo log do HijackThis e cole o arquivo vundofix.txt na sua resposta.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Logfile of Trend Micro HijackThis v2.0.2

    Scan saved at 14:34, on 2008-01-31

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Boot mode: Normal

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\system32\svchost.exe

    C:\Arquivos de programas\Messenger\msmsgs.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\alg.exe,

    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684CC} - C:\Arquivos de programas\Helper\superdirectsearch.dll (file missing)

    O2 - BHO: (no name) - {F5F2F7CD-68AD-4C2E-A53D-3A6B316649E5} - C:\WINDOWS\system32\avtap.dll

    O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat

    O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

    O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

    O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARQUIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')

    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    --

    End of file - 2506 bytes

    VundoFix V6.7.7

    Checking Java version...

    Sun Java not detected

    Scan started at 18:21:06 2008-01-25

    Listing files found while scanning....

    VundoFix V6.7.7

    Checking Java version...

    Sun Java not detected

    Scan started at 13:18:42 2008-01-31

    Listing files found while scanning....

    No infected files were found.

    Beginning removal...

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    - Selecione o texto abaixo e copie para o bloco de notas. Salve-o como CFScript.txt;

    RootKit::
    C:\WINDOWS\system32\drivers\bwygqjkp.dat
    File::
    C:\WINDOWS\system32\avtap.dll

    - Reinicie o computador em Modo Seguro (pressione a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização);

    - Arraste o CFScript.txt para o ComboFix conforme a imagem abaixo:

    CF_Script.gif

    O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção.

    Não use o mouse nem o teclado quando o ComboFix estiver rodando.

    Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.

    Obs: Se o Combofix não reiniciar seu computador automaticamente, faça-o manualmente.

    Na sua próxima resposta, cole o ComboFix,txt e um novo log do HijackThis.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • ComboFix 08-02.03.1 - Paulo 2008-02-11 15:36:17.2 - NTFSx86 MINIMAL

    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.32 [GMT -2:00]

    Executando de: C:\Documents and Settings\Paulo\Desktop\ComboFix.exe

    Command switches used :: C:\Documents and Settings\Paulo\Desktop\CFScript.txt

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

    FILE

    C:\WINDOWS\system32\avtap.dll

    .

    ((((((((((((((((((((((((((((((((((((( Outras Exclusäes )))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    C:\WINDOWS\system32\7_exception.nls

    C:\WINDOWS\system32\avtap.dll

    C:\WINDOWS\system32\drivers\bwygqjkp.dat

    C:\WINDOWS\system32\drivers\smtpdrv.sys

    .

    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .

    -------\LEGACY_RUNTIME

    -------\LEGACY_SMTPDRV

    -------\runtime

    -------\smtpdrv

    ((((((((((((((((((((((( Ficheiros criados de 2008-01-11 to 2008-02-11 ))))))))))))))))))))))))))))))))

    .

    2008-02-10 10:56 . 2008-02-11 14:18 8,704 --a------ C:\WINDOWS\system32\LogCrypt.dll

    2008-02-05 19:30 . 2008-02-05 19:31 <DIR> d-------- C:\Arquivos de programas\CoolSMS

    2008-02-02 19:19 . 2008-02-02 19:19 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys

    2008-02-01 16:43 . 2003-02-28 18:26 139,536 --a------ C:\WINDOWS\system32\javaee.dll

    2008-01-31 19:22 . 2008-02-04 15:45 <DIR> d-------- C:\Documents and Settings\Paulo\Dados de aplicativos\uTorrent

    2008-01-31 19:22 . 2008-01-31 19:22 <DIR> d-------- C:\Arquivos de programas\uTorrent

    2008-01-31 18:38 . 2008-01-31 19:03 <DIR> d-------- C:\Documents and Settings\Paulo\Dados de aplicativos\LimeWire

    2008-01-31 18:34 . 2007-12-14 01:59 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

    2008-01-31 18:26 . 2008-01-31 18:34 <DIR> d-------- C:\Arquivos de programas\Java

    2008-01-31 18:22 . 2008-01-31 18:22 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Java

    2008-01-31 16:24 . 2008-01-31 16:24 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Avira

    2008-01-31 16:24 . 2008-01-31 16:24 <DIR> d-------- C:\Arquivos de programas\Avira

    2008-01-31 16:08 . 2008-01-31 16:08 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\MailFrontier

    2008-01-31 16:08 . 2008-01-31 16:16 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat

    2008-01-31 16:07 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll

    2008-01-31 16:05 . 2008-02-01 07:34 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs

    2008-01-31 16:03 . 2008-02-01 07:34 <DIR> d-------- C:\WINDOWS\Internet Logs

    2008-01-31 15:56 . 2008-01-31 15:56 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Avg7

    2008-01-31 15:36 . 2008-01-31 15:36 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy

    2008-01-31 13:08 . 2007-10-06 14:09 <DIR> d--h----- C:\Documents and Settings\Administrador\Modelos

    2008-01-31 13:08 . 2008-01-31 13:10 <DIR> d-------- C:\Documents and Settings\Administrador\Meus documentos

    2008-01-31 13:08 . 2007-10-06 09:39 <DIR> dr------- C:\Documents and Settings\Administrador\Menu Iniciar

    2008-01-31 13:08 . 2007-10-06 09:39 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos

    2008-01-31 13:08 . 2007-10-06 09:39 <DIR> dr-h----- C:\Documents and Settings\Administrador\Dados de aplicativos

    2008-01-31 13:08 . 2008-01-31 13:09 <DIR> d--h----- C:\Documents and Settings\Administrador\Configura‡äes locais

    2008-01-31 13:08 . 2007-10-06 09:39 <DIR> d--h----- C:\Documents and Settings\Administrador\Ambiente de rede

    2008-01-31 13:08 . 2007-10-06 09:39 <DIR> d--h----- C:\Documents and Settings\Administrador\Ambiente de impressÆo

    2008-01-25 18:21 . 2008-01-25 18:21 <DIR> d-------- C:\VundoFix Backups

    2008-01-21 10:20 . 2008-01-21 10:20 197 --a------ C:\WINDOWS\system32\MRT.INI

    2008-01-21 10:13 . 2008-01-21 10:13 28,672 --a------ C:\WINDOWS\expxcee.exe

    2008-01-19 11:00 . 2008-01-19 11:00 <DIR> d-------- C:\Arquivos de programas\CCleaner

    2008-01-19 10:50 . 2008-01-21 12:07 <DIR> d-------- C:\Arquivos de programas\Panda Security

    2008-01-18 16:37 . 2008-01-18 16:37 <DIR> d-------- C:\Arquivos de programas\MSXML 4.0

    2008-01-18 10:49 . 2008-01-19 11:35 <DIR> d--h----- C:\WINDOWS\$hf_mig$

    2008-01-18 10:16 . 2008-01-19 10:50 2,704 --a------ C:\WINDOWS\mozver.dat

    2008-01-18 10:14 . 2008-01-18 10:14 <DIR> d-------- C:\Documents and Settings\Paulo\Dados de aplicativos\Talkback

    2008-01-18 10:13 . 2008-01-18 10:13 0 --a------ C:\WINDOWS\nsreg.dat

    2008-01-18 09:58 . 2008-01-18 10:24 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico

    2008-01-18 09:58 . 2008-01-18 10:24 1,406 --a------ C:\WINDOWS\system32\Help.ico

    2008-01-18 09:42 . 2008-01-18 09:49 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

    2008-01-18 09:42 . 2008-01-18 09:43 <DIR> d-------- C:\Arquivos de programas\Spybot - Search & Destroy

    2008-01-18 09:22 . 2008-01-18 09:22 <DIR> d-------- C:\Arquivos de programas\Trend Micro

    2008-01-17 17:12 . 2008-01-17 17:12 60,961 --a------ C:\WINDOWS\system32\jhgsdf295.exe

    2008-01-17 17:12 . 2008-01-17 17:12 28,672 --a------ C:\WINDOWS\system32\jhgsdf323.exe

    2008-01-17 17:12 . 2008-01-17 17:41 18,432 --a------ C:\WINDOWS\system32\jhgsdf228.exe

    2008-01-17 17:11 . 2008-01-17 17:12 12 --a------ C:\WINDOWS\system32\svchost.t__

    2008-01-17 12:17 . 2008-02-11 15:31 25,984 --a------ C:\WINDOWS\system32\drivers\Hot40.sys

    2008-01-17 12:17 . 2008-01-20 22:19 12,800 --a------ C:\WINDOWS\system32\linksave.dll

    2008-01-17 12:17 . 2008-01-17 17:41 434 --a------ C:\WINDOWS\system32\svchost.tmp

    2008-01-17 12:14 . 2008-01-17 12:14 4 --a------ C:\3.tmp

    2008-01-11 13:09 . 2008-01-11 13:09 <DIR> d-------- C:\SAVE

    .

    ((((((((((((((((((((((((((((((((((((( Relat¢rio Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    2008-01-31 16:28 --------- d--h--w C:\Arquivos de programas\InstallShield Installation Information

    2008-01-04 18:52 --------- d-----w C:\Arquivos de programas\Arquivos comuns\SWF Studio

    2007-12-28 01:41 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\Messenger Plus!

    .

    (((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

    .

    .

    REGEDIT4

    *Nota* entradas vazias & leg¡timas por defeito nÆo sÆo mostradas.

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F10587E9-0E47-4CBE-84AE-7DD20B8684CC}]

    C:\Arquivos de programas\Helper\superdirectsearch.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F5F2F7CD-68AD-4C2E-A53D-3A6B316649E5}]

    C:\WINDOWS\system32\avtap.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "msnmsgr"="C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" [2007-01-19 13:54 5674352]

    "MSMSGS"="C:\Arquivos de programas\Messenger\msmsgs.exe" [2004-10-13 14:24 1694208]

    "areslite"="C:\Arquivos de programas\Ares Lite Edition\AresLite.exe" [ ]

    "CoolSMS"="C:\Arquivos de programas\CoolSMS\CoolSMS.exe" [2007-08-28 16:01 1067520]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "avgnt"="C:\Arquivos de programas\Avira\AntiVir Workstation\avgnt.exe" [2007-08-31 12:25 249896]

    "SunJavaUpdateSched"="C:\Arquivos de programas\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]

    "combofix"="C:\ComboFix\kmd.exe" [2004-08-04 01:45 400384]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:45 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LogCrypt]

    LogCrypt.dll 2008-02-11 14:18 8704 C:\WINDOWS\system32\LogCrypt.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG7_CC]

    C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

    --a------ 2004-08-04 01:45 15360 C:\WINDOWS\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMuleAutoStart]

    C:\Arquivos de programas\eMule\emule.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Firewall auto setup]

    C:\DOCUME~1\Paulo\CONFIG~1\Temp\winlogon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\googletalk]

    --a------ 2007-01-01 20:54 3735552 C:\Arquivos de programas\Google\Google Talk\googletalk.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

    --------- 2004-10-13 14:24 1694208 C:\Arquivos de programas\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

    --a------ 2007-01-19 13:54 5674352 C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

    --a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

    C:\Arquivos de programas\Winamp\winampa.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

    "usnjsvc"=3 (0x3)

    "STI Simulator"=2 (0x2)

    "Pctspk"=2 (0x2)

    "ose"=3 (0x3)

    "Microsoft I2I Service"=2 (0x2)

    "MDM"=2 (0x2)

    "AVGEMS"=2 (0x2)

    "Avg7UpdSvc"=2 (0x2)

    "Avg7Alrt"=2 (0x2)

    "AresChatServer"=3 (0x3)

    R0 Hot40;Hot40;C:\WINDOWS\system32\Drivers\Hot40.sys [2008-02-11 15:31]

    R2 AVEService;AntiVir Windows Workstation MailGuard helper service;"C:\Arquivos de programas\Avira\AntiVir Workstation\avesvc.exe" [2007-07-18 08:09]

    R3 ip100xp;IC Plus IP100 10/100 Fast Ethernet Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\ipfnd51.sys [2005-02-02 07:33]

    R3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 19:28]

    S0 rnmzpfzo;rnmzpfzo;C:\WINDOWS\system32\drivers\bwygqjkp.dat []

    S2 AntiVirMailService;AntiVir Windows Workstation MailGuard;"C:\Arquivos de programas\Avira\AntiVir Workstation\avmailc.exe" [2007-08-28 13:08]

    S3 PAC7311;WEBCAM-A;C:\WINDOWS\system32\DRIVERS\PA707UCM.SYS [2005-10-18 12:48]

    S4 Microsoft I2I Service;Microsoft I2I Service;C:\WINDOWS\system32\_svchost.exe []

    S4 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe [2001-09-05 21:50]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81201b80-75dd-11dc-b454-00064f36e642}]

    \shell\Setup\command - G:\setup.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81201b81-75dd-11dc-b454-00064f36e642}]

    \shell\Setup\command - H:\setup.exe

    .

    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

    Rootkit scan 2008-02-11 15:44:32

    Windows 5.1.2600 Service Pack 2 NTFS

    Procurando processos ocultos ...

    Procurando entradas auto inicializ veis ocultas ...

    Procurando ficheiros ocultos ...

    Varredura completada com sucesso

    Ficheiros ocultos: 0

    **************************************************************************

    .

    ------------------------ Other Running Processes ------------------------

    .

    C:\Arquivos de programas\Avira\AntiVir Workstation\avguard.exe

    C:\Arquivos de programas\Avira\AntiVir Workstation\sched.exe

    .

    **************************************************************************

    .

    Tempo para conclusÆo: 2008-02-11 15:51:48 - machine was rebooted

    ComboFix-quarantined-files.txt 2008-02-11 17:51:36

    .

    2008-02-01 20:06:48 --- E O F ---

    Logfile of Trend Micro HijackThis v2.0.2

    Scan saved at 16:01, on 2008-02-11

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Boot mode: Normal

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\Arquivos de programas\Avira\AntiVir Workstation\avguard.exe

    C:\Arquivos de programas\Avira\AntiVir Workstation\sched.exe

    C:\Arquivos de programas\Avira\AntiVir Workstation\avesvc.exe

    C:\WINDOWS\system32\svchost.exe

    C:\Arquivos de programas\Avira\AntiVir Workstation\avgnt.exe

    C:\Arquivos de programas\Java\jre1.6.0_04\bin\jusched.exe

    C:\Arquivos de programas\Messenger\msmsgs.exe

    C:\Arquivos de programas\CoolSMS\CoolSMS.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\svchost.exe

    C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_04\bin\ssv.dll

    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684CC} - C:\Arquivos de programas\Helper\superdirectsearch.dll (file missing)

    O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Workstation\avgnt.exe" /min

    O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_04\bin\jusched.exe"

    O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

    O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [areslite] "C:\Arquivos de programas\Ares Lite Edition\AresLite.exe" -h

    O4 - HKCU\..\Run: [CoolSMS] C:\Arquivos de programas\CoolSMS\CoolSMS.exe /minimized

    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\SYSTEM32\LogCrypt.dll

    O23 - Service: AntiVir Windows Workstation MailGuard (AntiVirMailService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Workstation\avmailc.exe

    O23 - Service: AntiVir Windows Workstation Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Workstation\sched.exe

    O23 - Service: AntiVir Windows Workstation Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Workstation\avguard.exe

    O23 - Service: AntiVir Windows Workstation MailGuard helper service (AVEService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Workstation\avesvc.exe

    --

    End of file - 3544 bytes

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    - Abra o HijackThis, clique em Do a system scan only e marque a entrada abaixo:

    O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684CC} - C:\Arquivos de programas\Helper\superdirectsearch.dll (file missing)

    - Feche todas as janelas, clique em ht-fix.png e em Sim;

    - No mais, o log está limpo :)

    - Atualize o Internet Explorer:

    http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=pt-br

    - Recomendo uma manutenção no computador para exclusão dos arquivos temporários, desnecessários e entradas inválidas no registro. Faça o download do CCleaner:

    • Abra o programa e clique em Executar Limpeza;
    • Após isto, clique em Registro > Procurar erros > Corrigir Erros

    - Desative e ative novamente a Restauração do Sistema

    - Leia o artigo Proteja seu PC para mais informações sobre como evitar infecções.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • josemelo, fiz a parte do hijack this ... porém meu pc agora, qualquer coisa que eu abro, o Live Messenger e o Firefox principalmente ... quando eu mando abrir aparecem muitos erros q impedem esses programas d abrirem, e foi depois desse passo!!!!

    tem algo a ver ou é outro problema ???

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×