Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Analista2009

Como remover vírus kavo.exe e tavo.exe

Recommended Posts

Boa tarde. Sou novo aqui no clube mas pesquisando sobre remoção destes vírus (tavo e kavo) li alguns tópicos relacionados com o assunto e percebi que cada caso é um caso. Então resolvi postar aqui o que todos colocaram, o log do HijackThis. Já formatei a máquina diversas vezes e nada, agradeço pelo apoio.

Segue o relatório:

Logfile of HijackThis v1.99.1

Scan saved at 13:43:43, on 24/4/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\htpatch.exe

C:\WINDOWS\system32\sistray.EXE

C:\WINDOWS\system32\khooker.exe

C:\Arquivos de programas\PCI Audio Applications\Mixer.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Documents and Settings\ROND\Desktop\Instalação\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\system32\sistray.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\system32\khooker.exe

O4 - HKLM\..\Run: [C-Media Mixer] C:\Arquivos de programas\PCI Audio Applications\Mixer.exe /startup

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa Tarde! Analista2009

>@< Faça o download do PenClean.

>@< Salve no seu Desktop!

>@< Insira suas unidades removíveis,na entrada USB. ( pendrive,mp3,mp4,etc... )

>@< Rode o utilitário,em Modo de Segurança,e selecione a opção: Verificar o computador

>@< Clique no botão Verificar.Aguarde!

>@< Caso haja necessidade,atenda a solicitação para reiniciar o computador.

>@< Clique em Sim!

>@< Ps: Não remova,ainda,essas unidades!

-----------------------

>@< Poste,na sua resposta,um novo log do Hijackthis + o relatório do PenClean,que estará em C:\PenClean\PenClean.txt

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Oi joram, segue o relatório do Hijackthis e do PenClean para analisar. Grato pelo apoio.

    Logfile of HijackThis v1.99.1

    Scan saved at 19:21:45, on 24/4/2008

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\htpatch.exe

    C:\WINDOWS\system32\sistray.EXE

    C:\WINDOWS\system32\khooker.exe

    C:\Arquivos de programas\PCI Audio Applications\Mixer.exe

    C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\Documents and Settings\ROND\Desktop\Instalação\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

    O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

    O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\system32\sistray.EXE

    O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\system32\khooker.exe

    O4 - HKLM\..\Run: [C-Media Mixer] C:\Arquivos de programas\PCI Audio Applications\Mixer.exe /startup

    O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

    O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    **********************************************************

    Iniciando relatório do PenClean 2.0.3

    Por Renato Victor Mejias

    renatomejias@yahoo.com.br

    24/4/2008 19:17:21

    -----------------------------------------------------------

    Arquivos e chaves excluídos do computador:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\kava foi deletado com sucesso!

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\tava foi deletado com sucesso!

    -----------------------------------------------------------

    Arquivos e chaves excluídos da unidade escolhida:

    -----------------------------------------------------------

    Fim da análise no computador.

    -----------------------------------------------------------

    Essa mensagem quer dizer que meu problema foi solucionado? Tanto no Pc quanto no PenDrive foram removidos os arquivos?

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Boa Noite! Analista2009

    Essa mensagem quer dizer que meu problema foi solucionado? Tanto no Pc quanto no PenDrive foram removidos os arquivos?

    >@< Provavelmente,sim! Mas,requer uma comprovação com o ComboFix.

    ---------------------

    >@< Faça o download do ComboFix.

    >@< Baixe-o para o Desktop!

    >@< Desabilite as proteções residente de: antivírus,antispywares e Firewall.

    >@< Feche todas as janelas e execute a ferramenta!

    Caso aconteça a notificação de: Aplicativo Win32 inválido,delete a ferramenta e faça,novamente,o download.

    Salve-a no Desktop,renomeada como: Kombo.exe

    Ps: Nomeie durante o salvamento,e não após salvá-la!

    >@< Abrirá a janela Auto Scan. Aguarde!

    >@< Digite a opção para continuar e < Enter >

    >@< Aguarde a conclusão! Durante o scan,evite tocar no mouse ou teclado!

    --------------------

    >@< Poste o relatório: C:\ComboFix.txt,na sua resposta + Log do HJT,atualizado.

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Bom dia Joram. Cara obrigado pelo apoio. Devido estes arquivos, eu não estava conseguindo visualizar os arquivos ocultos do meu computador. Mesmo agora depois de remove-los ainda não cosigo tem algum jeito para visualizar novamente os arquivos ocultos ou terei que formatar meu PC novamente? Abraços.

    Segue os relatórios HijackThis e ComboFix.

    Logfile of HijackThis v1.99.1

    Scan saved at 10:04:54, on 25/4/2008

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\htpatch.exe

    C:\WINDOWS\system32\sistray.EXE

    C:\WINDOWS\system32\khooker.exe

    C:\Arquivos de programas\PCI Audio Applications\Mixer.exe

    C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\WINDOWS\system32\notepad.exe

    C:\WINDOWS\explorer.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\Documents and Settings\ROND\Desktop\Instalação\hijackthis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

    O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

    O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\system32\sistray.EXE

    O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\system32\khooker.exe

    O4 - HKLM\..\Run: [C-Media Mixer] C:\Arquivos de programas\PCI Audio Applications\Mixer.exe /startup

    O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

    O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

    ComboFix 08-04-22.5 - ROND 2008-04-25 10:00:52.1 - NTFSx86

    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.501 [GMT -3:00]

    Executando de: C:\Documents and Settings\ROND\Desktop\ComboFix.exe

    * Criado um novo ponto de restauro

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

    .

    ((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    C:\WINDOWS\system32\_000006_.tmp.dll

    .

    ((((((((((((((((((((((( Ficheiros criados de 2008-03-25 to 2008-04-25 ))))))))))))))))))))))))))))))))

    .

    2008-04-25 09:53 . 2008-04-25 09:54 <DIR> d-------- C:\WINDOWS\LastGood

    2008-04-24 19:43 . 2005-02-25 00:34 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

    2008-04-24 19:40 . 2008-04-24 19:40 <DIR> d--h----- C:\Nova pasta (2)

    2008-04-24 19:25 . 2006-06-14 05:47 172,416 -----c--- C:\WINDOWS\system32\dllcache\kmixer.sys

    2008-04-24 19:25 . 2006-06-14 06:00 82,944 -----c--- C:\WINDOWS\system32\dllcache\wdmaud.sys

    2008-04-24 19:25 . 2006-06-14 05:47 6,400 -----c--- C:\WINDOWS\system32\dllcache\splitter.sys

    2008-04-24 19:22 . 2008-04-25 09:59 <DIR> d--h----- C:\WINDOWS\$hf_mig$

    2008-04-24 19:15 . 2008-04-24 19:15 <DIR> d-------- C:\PenClean

    2008-04-24 19:09 . 2008-04-24 09:57 <DIR> d--h----- C:\Documents and Settings\Administrador\Modelos

    2008-04-24 19:09 . 2008-04-24 06:49 <DIR> d-------- C:\Documents and Settings\Administrador\Meus documentos

    2008-04-24 19:09 . 2008-04-24 06:49 <DIR> dr------- C:\Documents and Settings\Administrador\Menu Iniciar

    2008-04-24 19:09 . 2008-04-24 06:49 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos

    2008-04-24 19:09 . 2008-04-24 06:49 <DIR> dr-h----- C:\Documents and Settings\Administrador\Dados de aplicativos

    2008-04-24 19:09 . 2008-04-25 10:01 <DIR> d--h----- C:\Documents and Settings\Administrador\Configurações locais

    2008-04-24 19:09 . 2008-04-24 06:49 <DIR> d--h----- C:\Documents and Settings\Administrador\Ambiente de rede

    2008-04-24 19:09 . 2008-04-24 06:49 <DIR> d--h----- C:\Documents and Settings\Administrador\Ambiente de impressão

    2008-04-24 19:09 . 2008-04-24 19:09 <DIR> d-------- C:\Documents and Settings\Administrador

    2008-04-24 19:09 . 2008-04-25 10:00 1,024 --ah----- C:\Documents and Settings\Administrador\NTUSER.DAT.LOG

    2008-04-24 19:07 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys

    2008-04-24 17:44 . 2007-07-09 10:09 584,192 --a------ C:\WINDOWS\system32\SET32.tmp

    2008-04-24 17:44 . 2007-07-09 10:09 584,192 --a--c--- C:\WINDOWS\system32\dllcache\SET34.tmp

    2008-04-24 13:17 . 2008-04-24 13:17 <DIR> d--h----- C:\Nova pasta

    2008-04-24 13:09 . 2008-04-24 19:12 117,646 -r-hs---- C:\nsv.bat

    2008-04-24 11:51 . 2008-04-23 19:57 116,539 -r-hs---- C:\c9.com

    2008-04-24 11:26 . 2008-04-24 11:26 <DIR> d-------- C:\Arquivos de programas\Alwil Software

    2008-04-24 11:23 . 2008-04-24 11:23 <DIR> d-------- C:\Arquivos de programas\IObit

    2008-04-24 11:17 . 2008-04-24 11:17 1,192 --a------ C:\WINDOWS\mozver.dat

    2008-04-24 11:15 . 2008-04-24 11:15 0 --a------ C:\WINDOWS\nsreg.dat

    2008-04-24 11:10 . 2008-04-24 11:10 <DIR> d---s---- C:\Documents and Settings\ROND\UserData

    2008-04-24 10:21 . 2008-04-24 10:21 <DIR> d-------- C:\Arquivos de programas\PCI Audio Applications

    2008-04-24 10:21 . 1998-11-13 13:19 308,224 --a------ C:\WINDOWS\IsUn0816.exe

    2008-04-24 10:21 . 2001-03-22 23:49 28,672 --------- C:\WINDOWS\system32\CMNprop.dll

    2008-04-24 10:21 . 2008-04-24 10:21 1,163 --a------ C:\WINDOWS\mixerdef.ini

    2008-04-24 10:21 . 2008-04-24 10:21 50 --a------ C:\WINDOWS\CMISETUP.INI

    2008-04-24 10:17 . 2002-04-15 05:57 379,008 -ra------ C:\WINDOWS\system32\drivers\sis7018.sys

    2008-04-24 10:16 . 2008-04-24 10:16 <DIR> d-------- C:\Arquivos de programas\directx

    2008-04-24 10:15 . 2008-04-24 10:15 <DIR> d-------- C:\Arquivos de programas\SiS630_730_V2.03

    2008-04-24 10:13 . 2008-04-24 10:13 <DIR> d-------- C:\WINDOWS\system32\Tools

    2008-04-24 10:13 . 2008-04-24 10:13 <DIR> d-------- C:\Documents and Settings\ROND\WINDOWS

    2008-04-24 10:13 . 2008-04-24 10:13 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\InstallShield

    2008-04-24 10:13 . 1998-01-23 12:21 305,664 --a------ C:\WINDOWS\IsUn0416.exe

    2008-04-24 10:13 . 2002-07-12 07:15 106,496 --a------ C:\WINDOWS\SiSUSBrg.exe

    2008-04-24 10:13 . 2002-03-18 22:29 45,056 -ra------ C:\WINDOWS\winio.dll

    2008-04-24 10:13 . 2002-01-02 04:40 32,768 --a------ C:\WINDOWS\SIS_LIB.DLL

    2008-04-24 10:13 . 2002-10-31 00:58 30,848 -ra------ C:\WINDOWS\system32\drivers\SISAGPX.SYS

    2008-04-24 10:13 . 2002-10-30 06:40 28,672 -ra------ C:\WINDOWS\htpatch.exe

    2008-04-24 10:13 . 2001-12-06 23:11 3,583 --a------ C:\WINDOWS\SiSport.sys

    2008-04-24 10:13 . 2002-04-09 03:31 3,072 -ra------ C:\WINDOWS\winio.sys

    2008-04-24 10:07 . 2008-04-24 09:57 <DIR> d--h----- C:\Documents and Settings\ROND\Modelos

    2008-04-24 10:07 . 2008-04-24 20:04 <DIR> dr------- C:\Documents and Settings\ROND\Meus documentos

    2008-04-24 10:07 . 2008-04-24 06:49 <DIR> dr------- C:\Documents and Settings\ROND\Menu Iniciar

    2008-04-24 10:07 . 2008-04-24 10:08 <DIR> dr------- C:\Documents and Settings\ROND\Favoritos

    2008-04-24 10:07 . 2008-04-24 11:17 <DIR> dr-h----- C:\Documents and Settings\ROND\Dados de aplicativos

    2008-04-24 10:07 . 2008-04-25 10:01 <DIR> d--h----- C:\Documents and Settings\ROND\Configurações locais

    2008-04-24 10:07 . 2008-04-24 06:49 <DIR> d--h----- C:\Documents and Settings\ROND\Ambiente de rede

    2008-04-24 10:07 . 2008-04-24 06:49 <DIR> d--h----- C:\Documents and Settings\ROND\Ambiente de impressão

    2008-04-24 10:07 . 2008-04-24 11:10 <DIR> d-------- C:\Documents and Settings\ROND

    2008-04-24 10:07 . 2008-04-25 10:01 237,568 --ah----- C:\Documents and Settings\ROND\NTUSER.DAT.LOG

    2008-04-24 10:07 . 2008-04-24 10:07 1,024 --ah----- C:\Documents and Settings\Default User\NTUSER.DAT.LOG

    2008-04-24 10:06 . 2008-04-24 10:06 <DIR> d---s---- C:\WINDOWS\system32\Microsoft

    2008-04-24 10:06 . 2008-04-24 10:06 <DIR> d-------- C:\Documents and Settings\NetworkService\Dados de aplicativos

    2008-04-24 10:06 . 2008-04-25 10:01 <DIR> d--h----- C:\Documents and Settings\NetworkService\Configurações locais

    2008-04-24 10:06 . 2008-04-24 10:06 <DIR> d--hs---- C:\Documents and Settings\NetworkService

    2008-04-24 10:06 . 2008-04-24 10:06 <DIR> d-------- C:\Documents and Settings\LocalService\Dados de aplicativos

    2008-04-24 10:06 . 2008-04-25 10:01 <DIR> d--h----- C:\Documents and Settings\LocalService\Configurações locais

    2008-04-24 10:06 . 2008-04-24 10:06 <DIR> d--hs---- C:\Documents and Settings\LocalService

    2008-04-24 10:06 . 2008-04-24 10:06 8,192 --a------ C:\WINDOWS\REGLOCS.OLD

    2008-04-24 10:06 . 2008-04-25 09:51 1,024 --ah----- C:\Documents and Settings\NetworkService\ntuser.dat.LOG

    2008-04-24 10:06 . 2008-04-25 09:51 1,024 --ah----- C:\Documents and Settings\LocalService\ntuser.dat.LOG

    2008-04-24 10:05 . 2008-04-24 09:57 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Modelos

    2008-04-24 10:05 . 2008-04-24 06:49 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Meus documentos

    2008-04-24 10:05 . 2008-04-24 06:49 <DIR> dr------- C:\WINDOWS\system32\config\systemprofile\Menu Iniciar

    2008-04-24 10:05 . 2008-04-24 06:49 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Favoritos

    2008-04-24 10:05 . 2008-04-24 06:49 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Dados de aplicativos

    2008-04-24 10:05 . 2008-04-25 10:01 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Configurações locais

    2008-04-24 10:05 . 2008-04-24 06:49 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Ambiente de rede

    2008-04-24 10:05 . 2008-04-24 06:49 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Ambiente de impressão

    2008-04-24 10:04 . 2001-10-28 15:06 10,129,408 --a--c--- C:\WINDOWS\system32\dllcache\hwxkor.dll

    2008-04-24 10:03 . 2001-10-28 15:06 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll

    2008-04-24 10:02 . 2008-04-24 10:02 <DIR> d-------- C:\WINDOWS\system32\xircom

    2008-04-24 10:02 . 2008-04-24 10:02 <DIR> d-------- C:\Arquivos de programas\microsoft frontpage

    2008-04-24 10:01 . 2008-04-24 10:01 316,640 --a------ C:\WINDOWS\WMSysPr9.prx

    2008-04-24 10:01 . 2008-04-24 10:01 23,392 --a------ C:\WINDOWS\system32\nscompat.tlb

    2008-04-24 10:01 . 2008-04-24 10:01 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb

    2008-04-24 10:00 . 2008-04-24 10:00 <DIR> d---s---- C:\WINDOWS\Downloaded Program Files

    2008-04-24 10:00 . 2008-04-24 10:01 <DIR> d--hs---- C:\Documents and Settings\All Users\DRM

    2008-04-24 10:00 . 2008-04-24 10:00 <DIR> d-------- C:\Arquivos de programas\Serviços on-line

    2008-04-24 10:00 . 2008-04-24 10:00 749 -rah----- C:\WINDOWS\WindowsShell.Manifest

    2008-04-24 10:00 . 2008-04-24 10:00 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest

    2008-04-24 10:00 . 2008-04-24 10:00 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest

    2008-04-24 10:00 . 2008-04-24 10:00 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest

    2008-04-24 10:00 . 2008-04-24 10:00 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest

    2008-04-24 10:00 . 2008-04-24 10:00 749 -rah----- C:\WINDOWS\system32\cdplayer.exe.manifest

    2008-04-24 10:00 . 2008-04-24 10:00 488 -rah----- C:\WINDOWS\system32\WindowsLogon.manifest

    2008-04-24 10:00 . 2008-04-24 10:00 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest

    2008-04-12 14:36 . 2008-04-12 14:36 716,800 --a------ C:\Arquivos de programas\PenClean.exe

    .

    ((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    2008-04-24 12:59 --------- d-----w C:\Arquivos de programas\Arquivos comuns\Serviços

    .

    (((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

    .

    .

    REGEDIT4

    *Nota* entradas vazias & legítimas por defeito não são mostradas.

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "HTpatch"="C:\WINDOWS\htpatch.exe" [2002-10-30 06:40 28672]

    "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 07:15 106496]

    "SiS Tray"="C:\WINDOWS\system32\sistray.EXE" [2001-08-13 09:56 266240]

    "SiS KHooker"="C:\WINDOWS\system32\khooker.exe" [2001-09-02 03:17 294912]

    "C-Media Mixer"="C:\Arquivos de programas\PCI Audio Applications\Mixer.exe" [2001-07-12 18:45 655360]

    "avast!"="C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 15:37 79224]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:45 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

    "NoResolveSearch"= 1 (0x1)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

    "%windir%\\system32\\sessmgr.exe"=

    R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 15:31]

    R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 15:35]

    R3 SiS630;SiS630;C:\WINDOWS\system32\DRIVERS\sis630p.sys [2001-08-30 06:59]

    *Newly Created Service* - CATCHME

    *Newly Created Service* - SISPORT

    .

    **************************************************************************

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

    Rootkit scan 2008-04-25 10:01:46

    Windows 5.1.2600 Service Pack 2 NTFS

    Procurando processos ocultos ...

    Procurando entradas auto inicializáveis ocultas ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    HTpatch = C:\WINDOWS\htpatch.exe?ows\CurrentVersion\Run???\???/??[???????[???[???????????????????[???[?C?????[$??????[????????????S??[????????m??[???w????(???{??w???w???????w???w???[????????d???b6?[%??[???[????"??[A??[???[.??wZ??[?3?[?3?[????st.I???????[????d???0=?[?K?[

    Procurando ficheiros ocultos ...

    folder error: C:\DOCUME~1\ROND\CONFIG~1\Temp\

    Varredura completada com sucesso

    Ficheiros ocultos: 0

    **************************************************************************

    .

    Tempo para conclusão: 2008-04-25 10:02:24

    ComboFix-quarantined-files.txt 2008-04-25 13:02:16

    Pre-Run: 37,597,184,000 bytes disponíveis

    Post-Run: 37,589,192,704 bytes disponíveis

    157 --- E O F --- 2008-04-25 12:55:39

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Boa Tarde! Analista2009

    Antes de executar este procedimento,insira sua(s) unidade(s) removíveis,na entrada USB.

    <!> Delete:

    C:\QooBox

    C:\ComboFix.txt << Log anterior do ComboFix.

    -----------------------

    >@< Selecione e copie,todo o conteúdo que está na área do código,para o Bloco de Notas.

    >@< Salve-o,no Desktop,com o nome: CFScript.txt

    File::
    C:\nsv.bat
    C:\c9.com
    Dirlook::
    C:\Nova pasta

    >@< Arraste,com o Mouse,o CFScript.txt para o ícone do ComboFix.

    >@< Veja a demonstração!

    cpiadecfscriptxt7.gif

    >@< Com esse procedimento,o ComboFix irá executar e,reiniciará o computador,automaticamente!

    >@< Caso não reinicie,faça-o manualmente!

    >@< Durante a execução,não utilize o teclado ou Mouse!

    >@< Terminando,poste o relatório C:\ComboFix.txt + HJT,atualizado.

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Boa Tarde! Joram

    Segue o relatório depois de feito o procedimento.

    Logfile of HijackThis v1.99.1

    Scan saved at 15:57:07, on 25/4/2008

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v7.00 (7.00.6000.16640)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

    C:\WINDOWS\htpatch.exe

    C:\WINDOWS\system32\sistray.EXE

    C:\WINDOWS\system32\khooker.exe

    C:\Arquivos de programas\PCI Audio Applications\Mixer.exe

    C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\Documents and Settings\ROND\Desktop\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

    O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

    O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\system32\sistray.EXE

    O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\system32\khooker.exe

    O4 - HKLM\..\Run: [C-Media Mixer] C:\Arquivos de programas\PCI Audio Applications\Mixer.exe /startup

    O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Arquivos de programas\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=051008 serial=DR12WEX-1504397-KTY lang=EN

    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\Microsoft Office\Office12\EXCEL.EXE/3000

    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\Microsoft Office\Office12\REFIEBAR.DLL

    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O11 - Options group: [iNTERNATIONAL] International*

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll

    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\Skype4COM.dll

    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

    O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

    COMBOFIX

    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

    ComboFix 08-04-22.5 - ROND 2008-04-25 15:50:21.2 - NTFSx86

    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.497 [GMT -3:00]

    Executando de: C:\Documents and Settings\ROND\Desktop\ComboFix.exe

    Command switches used :: C:\Documents and Settings\ROND\Desktop\CFScript.txt.txt

    * Criado um novo ponto de restauro

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

    FILE ::

    C:\c9.com

    C:\nsv.bat

    .

    ((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    C:\c9.com

    C:\nsv.bat

    .

    ((((((((((((((((((((((( Ficheiros criados de 2008-03-25 to 2008-04-25 ))))))))))))))))))))))))))))))))

    .

    2008-04-25 15:48 . 2008-04-25 15:48 <DIR> d-------- C:\Documents and Settings\ROND\Dados de aplicativos\Corel

    2008-04-25 15:41 . 2008-04-25 15:41 <DIR> d-------- C:\Documents and Settings\ROND\Dados de aplicativos\skypePM

    2008-04-25 15:41 . 2008-04-25 15:41 32 --a------ C:\Documents and Settings\All Users\Dados de aplicativos\ezsid.dat

    2008-04-25 15:39 . 2008-04-25 15:41 <DIR> d-------- C:\Documents and Settings\ROND\Dados de aplicativos\Skype

    2008-04-25 13:54 . 2008-04-25 13:54 <DIR> d-------- C:\Arquivos de programas\InstallShield Installation Information

    2008-04-25 13:53 . 2008-04-25 13:53 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Corel

    2008-04-25 13:52 . 2008-04-25 13:52 <DIR> d-------- C:\Arquivos de programas\Corel

    2008-04-25 13:46 . 2008-04-25 13:46 <DIR> d-------- C:\Arquivos de programas\Positivo

    2008-04-25 13:45 . 2008-04-25 13:45 <DIR> d-------- C:\Documents and Settings\ROND\Dados de aplicativos\BSplayer Pro

    2008-04-25 13:44 . 2008-04-25 13:44 <DIR> d-------- C:\Arquivos de programas\Webteh

    2008-04-25 13:39 . 2008-04-25 13:39 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Skype

    2008-04-25 13:39 . 2008-04-25 13:39 <DIR> d-------- C:\Arquivos de programas\Skype

    2008-04-25 13:39 . 2008-04-25 13:39 <DIR> d-------- C:\Arquivos de programas\DreMule

    2008-04-25 13:39 . 2008-04-25 13:39 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Skype

    2008-04-25 13:08 . 2008-04-25 13:09 <DIR> d-------- C:\WINDOWS\SxsCaPendDel

    2008-04-25 12:51 . 2008-04-25 12:51 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\FLEXnet

    2008-04-25 12:41 . 2008-04-25 12:51 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Adobe

    2008-04-25 12:39 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll

    2008-04-25 12:39 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll

    2008-04-25 12:39 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui

    2008-04-25 12:33 . 2008-04-25 12:33 <DIR> d-------- C:\Arquivos de programas\Microsoft Works

    2008-04-25 12:29 . 2008-04-25 12:29 <DIR> d-------- C:\WINDOWS\SHELLNEW

    2008-04-25 12:28 . 2008-04-25 12:28 <DIR> dr-h----- C:\MSOCache

    2008-04-25 12:28 . 2008-04-25 12:35 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Microsoft Help

    2008-04-24 19:43 . 2006-09-06 17:43 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

    2008-04-24 19:25 . 2006-06-14 05:47 172,416 -----c--- C:\WINDOWS\system32\dllcache\kmixer.sys

    2008-04-24 19:25 . 2006-06-14 06:00 82,944 -----c--- C:\WINDOWS\system32\dllcache\wdmaud.sys

    2008-04-24 19:25 . 2006-06-14 05:47 6,400 -----c--- C:\WINDOWS\system32\dllcache\splitter.sys

    2008-04-24 19:22 . 2008-04-25 11:55 <DIR> d--h----- C:\WINDOWS\$hf_mig$

    2008-04-24 19:15 . 2008-04-24 19:15 <DIR> d-------- C:\PenClean

    2008-04-24 19:09 . 2008-04-24 09:57 <DIR> d--h----- C:\Documents and Settings\Administrador\Modelos

    2008-04-24 19:09 . 2008-04-24 06:49 <DIR> d-------- C:\Documents and Settings\Administrador\Meus documentos

    2008-04-24 19:09 . 2008-04-24 06:49 <DIR> dr------- C:\Documents and Settings\Administrador\Menu Iniciar

    2008-04-24 19:09 . 2008-04-24 06:49 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos

    2008-04-24 19:09 . 2008-04-24 06:49 <DIR> dr-h----- C:\Documents and Settings\Administrador\Dados de aplicativos

    2008-04-24 19:09 . 2008-04-25 15:51 <DIR> d--h----- C:\Documents and Settings\Administrador\Configurações locais

    2008-04-24 19:09 . 2008-04-24 06:49 <DIR> d--h----- C:\Documents and Settings\Administrador\Ambiente de rede

    2008-04-24 19:09 . 2008-04-24 06:49 <DIR> d--h----- C:\Documents and Settings\Administrador\Ambiente de impressão

    2008-04-24 19:09 . 2008-04-24 19:09 <DIR> d-------- C:\Documents and Settings\Administrador

    2008-04-24 19:09 . 2008-04-25 15:50 1,024 --ah----- C:\Documents and Settings\Administrador\NTUSER.DAT.LOG

    2008-04-24 19:07 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys

    2008-04-24 11:26 . 2008-04-24 11:26 <DIR> d-------- C:\Arquivos de programas\Alwil Software

    2008-04-24 11:23 . 2008-04-24 11:23 <DIR> d-------- C:\Arquivos de programas\IObit

    2008-04-24 11:17 . 2008-04-24 11:17 1,192 --a------ C:\WINDOWS\mozver.dat

    2008-04-24 11:15 . 2008-04-24 11:15 0 --a------ C:\WINDOWS\nsreg.dat

    2008-04-24 11:10 . 2008-04-24 11:10 <DIR> d--hs---- C:\Documents and Settings\ROND\UserData

    2008-04-24 10:21 . 2008-04-24 10:21 <DIR> d-------- C:\Arquivos de programas\PCI Audio Applications

    2008-04-24 10:21 . 1998-11-13 13:19 308,224 --a------ C:\WINDOWS\IsUn0816.exe

    2008-04-24 10:21 . 2001-03-22 23:49 28,672 --------- C:\WINDOWS\system32\CMNprop.dll

    2008-04-24 10:21 . 2008-04-24 10:21 1,163 --a------ C:\WINDOWS\mixerdef.ini

    2008-04-24 10:21 . 2008-04-24 10:21 50 --a------ C:\WINDOWS\CMISETUP.INI

    2008-04-24 10:17 . 2002-04-15 05:57 379,008 -ra------ C:\WINDOWS\system32\drivers\sis7018.sys

    2008-04-24 10:16 . 2008-04-24 10:16 <DIR> d-------- C:\Arquivos de programas\directx

    2008-04-24 10:15 . 2008-04-24 10:15 <DIR> d-------- C:\Arquivos de programas\SiS630_730_V2.03

    2008-04-24 10:13 . 2008-04-24 10:13 <DIR> d-------- C:\WINDOWS\system32\Tools

    2008-04-24 10:13 . 2008-04-24 10:13 <DIR> d-------- C:\Documents and Settings\ROND\WINDOWS

    2008-04-24 10:13 . 2008-04-25 13:53 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\InstallShield

    2008-04-24 10:13 . 1998-01-23 12:21 305,664 --a------ C:\WINDOWS\IsUn0416.exe

    2008-04-24 10:13 . 2002-07-12 07:15 106,496 --a------ C:\WINDOWS\SiSUSBrg.exe

    2008-04-24 10:13 . 2002-03-18 22:29 45,056 -ra------ C:\WINDOWS\winio.dll

    2008-04-24 10:13 . 2002-01-02 04:40 32,768 --a------ C:\WINDOWS\SIS_LIB.DLL

    2008-04-24 10:13 . 2002-10-31 00:58 30,848 -ra------ C:\WINDOWS\system32\drivers\SISAGPX.SYS

    2008-04-24 10:13 . 2002-10-30 06:40 28,672 -ra------ C:\WINDOWS\htpatch.exe

    2008-04-24 10:13 . 2001-12-06 23:11 3,583 --a------ C:\WINDOWS\SiSport.sys

    2008-04-24 10:13 . 2002-04-09 03:31 3,072 -ra------ C:\WINDOWS\winio.sys

    2008-04-24 10:07 . 2008-04-24 09:57 <DIR> d--h----- C:\Documents and Settings\ROND\Modelos

    2008-04-24 10:07 . 2008-04-25 12:56 <DIR> dr------- C:\Documents and Settings\ROND\Meus documentos

    2008-04-24 10:07 . 2008-04-24 06:49 <DIR> dr------- C:\Documents and Settings\ROND\Menu Iniciar

    2008-04-24 10:07 . 2008-04-25 12:02 <DIR> dr------- C:\Documents and Settings\ROND\Favoritos

    2008-04-24 10:07 . 2008-04-25 15:48 <DIR> dr-h----- C:\Documents and Settings\ROND\Dados de aplicativos

    2008-04-24 10:07 . 2008-04-25 15:51 <DIR> d--h----- C:\Documents and Settings\ROND\Configurações locais

    2008-04-24 10:07 . 2008-04-25 12:17 <DIR> d--h----- C:\Documents and Settings\ROND\Ambiente de rede

    2008-04-24 10:07 . 2008-04-24 06:49 <DIR> d--h----- C:\Documents and Settings\ROND\Ambiente de impressão

    2008-04-24 10:07 . 2008-04-25 13:56 <DIR> d-------- C:\Documents and Settings\ROND

    2008-04-24 10:07 . 2008-04-25 15:51 1,024 --ah----- C:\Documents and Settings\ROND\NTUSER.DAT.LOG

    2008-04-24 10:07 . 2008-04-24 10:07 1,024 --ah----- C:\Documents and Settings\Default User\NTUSER.DAT.LOG

    2008-04-24 10:06 . 2008-04-24 10:06 <DIR> d---s---- C:\WINDOWS\system32\Microsoft

    2008-04-24 10:06 . 2008-04-24 10:06 <DIR> d-------- C:\Documents and Settings\NetworkService\Dados de aplicativos

    2008-04-24 10:06 . 2008-04-25 15:51 <DIR> d--h----- C:\Documents and Settings\NetworkService\Configurações locais

    2008-04-24 10:06 . 2008-04-24 10:06 <DIR> d--hs---- C:\Documents and Settings\NetworkService

    2008-04-24 10:06 . 2008-04-24 10:06 <DIR> d-------- C:\Documents and Settings\LocalService\Dados de aplicativos

    2008-04-24 10:06 . 2008-04-25 15:51 <DIR> d--h----- C:\Documents and Settings\LocalService\Configurações locais

    2008-04-24 10:06 . 2008-04-24 10:06 <DIR> d--hs---- C:\Documents and Settings\LocalService

    2008-04-24 10:06 . 2008-04-24 10:06 8,192 --a------ C:\WINDOWS\REGLOCS.OLD

    2008-04-24 10:06 . 2008-04-25 15:39 1,024 --ah----- C:\Documents and Settings\NetworkService\ntuser.dat.LOG

    2008-04-24 10:06 . 2008-04-25 15:39 1,024 --ah----- C:\Documents and Settings\LocalService\ntuser.dat.LOG

    2008-04-24 10:05 . 2008-04-24 09:57 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Modelos

    2008-04-24 10:05 . 2008-04-24 06:49 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Meus documentos

    2008-04-24 10:05 . 2008-04-24 06:49 <DIR> dr------- C:\WINDOWS\system32\config\systemprofile\Menu Iniciar

    2008-04-24 10:05 . 2008-04-24 06:49 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Favoritos

    2008-04-24 10:05 . 2008-04-24 06:49 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Dados de aplicativos

    2008-04-24 10:05 . 2008-04-25 15:51 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Configurações locais

    2008-04-24 10:05 . 2008-04-24 06:49 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Ambiente de rede

    2008-04-24 10:05 . 2008-04-24 06:49 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Ambiente de impressão

    2008-04-24 10:04 . 2001-10-28 15:06 10,129,408 --a--c--- C:\WINDOWS\system32\dllcache\hwxkor.dll

    2008-04-24 10:03 . 2001-10-28 15:06 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll

    2008-04-24 10:02 . 2008-04-24 10:02 <DIR> d-------- C:\WINDOWS\system32\xircom

    2008-04-24 10:02 . 2008-04-24 10:02 <DIR> d-------- C:\Arquivos de programas\microsoft frontpage

    2008-04-24 10:01 . 2008-04-24 10:01 316,640 --a------ C:\WINDOWS\WMSysPr9.prx

    2008-04-24 10:01 . 2008-04-24 10:01 23,392 --a------ C:\WINDOWS\system32\nscompat.tlb

    2008-04-24 10:01 . 2008-04-24 10:01 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb

    2008-04-24 10:00 . 2008-04-25 13:53 <DIR> d---s---- C:\WINDOWS\Downloaded Program Files

    2008-04-24 10:00 . 2008-04-24 10:01 <DIR> d--hs---- C:\Documents and Settings\All Users\DRM

    2008-04-24 10:00 . 2008-04-24 10:00 <DIR> d-------- C:\Arquivos de programas\Serviços on-line

    2008-04-24 10:00 . 2008-04-24 10:00 749 -rah----- C:\WINDOWS\WindowsShell.Manifest

    2008-04-24 10:00 . 2008-04-24 10:00 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest

    2008-04-24 10:00 . 2008-04-24 10:00 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest

    2008-04-24 10:00 . 2008-04-24 10:00 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest

    2008-04-24 10:00 . 2008-04-24 10:00 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest

    2008-04-24 10:00 . 2008-04-24 10:00 749 -rah----- C:\WINDOWS\system32\cdplayer.exe.manifest

    2008-04-24 10:00 . 2008-04-24 10:00 488 -rah----- C:\WINDOWS\system32\WindowsLogon.manifest

    2008-04-24 10:00 . 2008-04-24 10:00 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest

    2008-04-12 14:36 . 2008-04-12 14:36 716,800 --a------ C:\Arquivos de programas\PenClean.exe

    .

    ((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    2008-04-24 12:59 --------- d-----w C:\Arquivos de programas\Arquivos comuns\Serviços

    2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys

    2008-03-01 13:02 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

    2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

    2008-02-20 05:37 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

    .

    (((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    ---- Directory of C:\Nova pasta ----

    C:\Nova pasta\

    (((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

    .

    .

    REGEDIT4

    *Nota* entradas vazias & legítimas por defeito não são mostradas.

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:45 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "HTpatch"="C:\WINDOWS\htpatch.exe" [2002-10-30 06:40 28672]

    "SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 07:15 106496]

    "SiS Tray"="C:\WINDOWS\system32\sistray.EXE" [2001-08-13 09:56 266240]

    "SiS KHooker"="C:\WINDOWS\system32\khooker.exe" [2001-09-02 03:17 294912]

    "C-Media Mixer"="C:\Arquivos de programas\PCI Audio Applications\Mixer.exe" [2001-07-12 18:45 655360]

    "avast!"="C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 15:37 79224]

    "CorelDRAW Graphics Suite 11b"="C:\Arquivos de programas\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe" [2003-11-25 13:39 729088]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:45 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

    "NoResolveSearch"= 1 (0x1)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

    "%windir%\\system32\\sessmgr.exe"=

    "C:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

    "C:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

    "C:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

    R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 15:31]

    R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 15:35]

    R3 SiS630;SiS630;C:\WINDOWS\system32\DRIVERS\sis630p.sys [2001-08-30 06:59]

    .

    **************************************************************************

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

    Rootkit scan 2008-04-25 15:51:24

    Windows 5.1.2600 Service Pack 2 NTFS

    Procurando processos ocultos ...

    Procurando entradas auto inicializáveis ocultas ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    HTpatch = C:\WINDOWS\htpatch.exe?ows\CurrentVersion\Run???\???/??[???????[???[???????????????????[???[?C?????[$??????[????????????S??[????????m??[???w????(???{??w???w???????w???w???[????????d???b6?[%??[???[????"??[A??[???[.??wZ??[?3?[?3?[????st.I???????[????d???0=?[?K?[

    Procurando ficheiros ocultos ...

    folder error: C:\DOCUME~1\ROND\CONFIG~1\Temp\

    Varredura completada com sucesso

    Ficheiros ocultos: 0

    **************************************************************************

    .

    Tempo para conclusão: 2008-04-25 15:52:20

    ComboFix-quarantined-files.txt 2008-04-25 18:52:17

    Pre-Run: 33,857,445,888 bytes disponíveis

    Post-Run: 33,849,028,608 bytes disponíveis

    190 --- E O F --- 2008-04-25 14:55:55

    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Joram,

    Que tipo de vírus são esses o Tavo.exe e o Kavo.exe. Trojans, Spyware, adware...?

    Depois disso vou poder acessar sites de bancos e outros com segurança?

    Obrigado

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Joram,

    Que tipo de vírus são esses o Tavo.exe e o Kavo.exe. Trojans, Spyware, adware...?

    Depois disso vou poder acessar sites de bancos e outros com segurança?

    Obrigado

    ---------------------

    Boa Noite! Analista2009

    >@< Quanto à sua pergunta: < Trojan-A >

    ---------------------

    >@< Sim!Pode acessar sites de Bancos,pois o PC está limpo.

    ---------------------

    Estando tudo Ok com o PC,crie um Ponto de Restauração do Sistema,completamente Limpo!

    Clique com o botão direito do mouse em cima de Meu Computador >> Propriedades >> Restauração do Sistema >> Marque: Desativar Restauração do Sistema >> Aplicar >> Ok.

    Depois,desmarque novamente! >> Aplicar >> Ok.

    Para maiores detalhes,vá em:< Docs >

    >@< O log está limpo! :D

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Boa Noite, Joram.

    Cara, muito obrigado pela ajuda. Estava preocupado com minha máquina, pois estava formatando e nada. Agora tá tudo filé.

    Abraços.

    Valeu mesmo :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×