Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Gabriel Ribeiro

ajuda remoção de kavo.exe

Recommended Posts

Gostaria de obter ajuda na remoção do virus kavo.exe

Instalei o HijackThis e o ComboFix, segui as instruções de outros fóruns, anotei os log, mas a partir dai n sei o q fazer.

Segue os log, se alguem puder me ajudar, agradeço desde já.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:49:19, on 6/10/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\Nonbrand\802.11g Wireless LAN PCI Card Driver and Utility\RtWLan.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Arquivos de programas\Screaming Bee\MorphVOX Junior\MorphVOXJr.exe

C:\Arquivos de programas\Yahoo!\Messenger\YahooMessenger.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Arquivos de programas\Orbitdownloader\orbitdm.exe

C:\Arquivos de programas\Orbitdownloader\orbitnet.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARQUIV~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\ARQUIV~1\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll

O3 - Toolbar: Barra de Ferramentas do Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARQUIV~1\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Arquivos de programas\Orbitdownloader\GrabPro.dll

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe

O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARQUIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Orbit.lnk = C:\Arquivos de programas\Orbitdownloader\orbitdm.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{0C2788BD-6E59-4E1A-A878-468EC4CEA7FE}: NameServer = 200.165.132.154,200.165.132.147

O17 - HKLM\System\CCS\Services\Tcpip\..\{387F62F8-C2D9-4B2E-B744-43F553A83B57}: NameServer = 200.165.132.154,200.165.132.147

O17 - HKLM\System\CCS\Services\Tcpip\..\{ACA44B09-8BD0-4132-AFF9-3B220F7DFA03}: NameServer = 200.165.132.154,200.165.132.147

O17 - HKLM\System\CCS\Services\Tcpip\..\{F641879B-15AC-48DE-8A0A-3CEA78C194E7}: NameServer = 200.185.6.163,200.185.6.131

O17 - HKLM\System\CS1\Services\Tcpip\..\{0C2788BD-6E59-4E1A-A878-468EC4CEA7FE}: NameServer = 200.165.132.154,200.165.132.147

O17 - HKLM\System\CS2\Services\Tcpip\..\{0C2788BD-6E59-4E1A-A878-468EC4CEA7FE}: NameServer = 200.165.132.154,200.165.132.147

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL

O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll

O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

--

End of file - 7898 bytes

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

ComboFix 08-10-06.03 - user 2008-10-06 18:03:39.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.2545 [GMT -3:00]

Executando de: C:\downloads\ComboFix.exe

* Criado um novo ponto de restauro

ATENÇAO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

C:\e.exe

C:\WINDOWS\system32\Bitkv1.dll

C:\WINDOWS\system32\ckvo0.dll

C:\WINDOWS\system32\ckvo1.dll

C:\WINDOWS\system32\kavo.exe

C:\WINDOWS\system32\kavo0.dll

C:\WINDOWS\system32\kavo1.dll

C:\WINDOWS\system32\tavo.exe

C:\WINDOWS\system32\tavo0.dll

C:\WINDOWS\system32\tavo1.dll

C:\WINDOWS\system32\x64

F:\Autorun.inf

.

((((((((((((((((((((((( Ficheiros criados de 2008-09-06 to 2008-10-06 ))))))))))))))))))))))))))))))))

.

2008-10-06 17:49 . 2008-10-06 17:49 <DIR> d-------- C:\Arquivos de programas\Trend Micro

2008-10-06 17:48 . 2008-10-06 17:49 <DIR> d-------- C:\HijackThis

2008-10-06 00:29 . 2008-10-06 00:29 <DIR> d-------- C:\Arquivos de programas\MSXML 4.0

2008-10-05 21:18 . 2008-10-05 21:18 <DIR> d-------- C:\Arquivos de programas\Alwil Software

2008-10-05 21:18 . 2003-03-18 18:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

2008-10-05 20:21 . 2008-10-06 17:44 <DIR> d-------- C:\downloads

2008-10-05 20:21 . 2008-10-06 17:45 <DIR> d-------- C:\Documents and Settings\user\Dados de aplicativos\Orbit

2008-10-05 20:21 . 2008-10-05 20:21 <DIR> d-------- C:\Documents and Settings\user\Dados de aplicativos\GrabPro

2008-10-05 20:21 . 2008-10-06 17:35 <DIR> d-------- C:\Arquivos de programas\Orbitdownloader

2008-10-05 19:09 . 2008-10-05 19:09 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak

2008-10-05 16:50 . 2008-06-14 14:59 272,384 --------- C:\WINDOWS\system32\drivers\bthport.sys

2008-10-05 16:50 . 2008-06-14 14:59 272,384 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

2008-10-04 22:20 . 2008-10-06 00:31 <DIR> d--h----- C:\WINDOWS\$hf_mig$

2008-10-04 17:23 . 2008-10-04 17:23 21,035 --a------ C:\WINDOWS\system32\drivers\AegisP.sys

2008-10-04 16:47 . 2008-10-04 16:47 <DIR> d-------- C:\Arquivos de programas\Nonbrand

2008-10-04 16:47 . 2005-10-20 08:05 282,240 --a------ C:\WINDOWS\system32\drivers\rtl8185.sys

2008-10-04 13:52 . 2008-10-05 15:59 <DIR> dr-h----- C:\$VAULT$.AVG

2008-10-04 10:15 . 2008-10-04 10:15 <DIR> d--h----- C:\Arquivos de programas\Scpad

2008-10-03 21:50 . 2008-10-03 21:50 <DIR> d-------- C:\Documents and Settings\user\Dados de aplicativos\Yahoo!

2008-10-03 21:50 . 2008-10-03 21:50 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo! Companion

2008-10-03 21:17 . 2008-10-03 21:21 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo!

2008-10-03 21:17 . 2008-10-03 21:20 <DIR> d-------- C:\Arquivos de programas\Yahoo!

2008-10-03 21:06 . 2008-10-03 21:06 <DIR> d-------- C:\Documents and Settings\user\Dados de aplicativos\Screaming Bee

2008-10-03 20:55 . 2008-10-03 20:55 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Screaming Bee

2008-10-03 20:54 . 2008-10-03 20:54 <DIR> d-------- C:\Arquivos de programas\Screaming Bee

2008-10-03 19:45 . 2008-10-03 19:46 <DIR> d-------- C:\Documents and Settings\user\Contacts

2008-10-03 19:08 . 2008-10-03 19:10 <DIR> d-------- C:\Documents and Settings\user\Dados de aplicativos\Tibia

2008-10-03 19:08 . 2008-10-03 19:08 <DIR> d-------- C:\Arquivos de programas\Tibia

2008-10-03 19:05 . 2008-10-03 19:05 <DIR> d-------- C:\Documents and Settings\user\Dados de aplicativos\CyberLink

2008-10-03 19:05 . 2008-10-03 19:05 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\CyberLink

2008-10-03 18:22 . 2008-10-04 17:22 116 --a------ C:\WINDOWS\NeroDigital.ini

2008-10-03 18:16 . 2001-09-30 19:10 246,784 --a------ C:\WINDOWS\system32\ActiveSkin.ocx

2008-10-03 18:16 . 2001-05-24 12:59 162,304 --a------ C:\UNWISE.EXE

2008-10-03 18:16 . 2002-01-18 18:12 112 --a------ C:\WINDOWS\ActiveSkin.INI

2008-10-03 17:03 . 2002-10-02 09:57 13,532 --a------ C:\WINDOWS\system32\drivers\SjyPkt.sys

2008-10-03 12:32 . 2008-10-03 12:33 <DIR> d-------- C:\Globalink

2008-10-03 12:32 . 2008-10-03 12:32 <DIR> d-------- C:\Documents and Settings\user\WINDOWS

2008-10-03 12:30 . 2008-10-03 12:30 <DIR> d-------- C:\WINDOWS\Cache

2008-10-03 12:26 . 2007-08-24 00:03 180,224 -ra------ C:\WINDOWS\system32\igfxres.dll

2008-10-03 12:24 . 2008-10-03 12:24 <DIR> d-------- C:\Documents and Settings\user\Dados de aplicativos\Simple Star

2008-10-03 12:24 . 2006-05-18 16:20 319,488 --a------ C:\WINDOWS\Nero PhotoShow.scr

2008-10-03 12:24 . 2006-03-13 22:49 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll

2008-10-03 12:24 . 2006-03-13 22:49 38,912 --a------ C:\WINDOWS\system32\picn20.dll

2008-10-03 12:23 . 2008-10-03 12:23 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Simple Star Shared

2008-10-03 12:21 . 2008-10-03 12:21 <DIR> d-------- C:\Arquivos de programas\Google

2008-10-03 12:13 . 2008-10-03 23:58 <DIR> d-------- C:\Documents and Settings\user\Dados de aplicativos\Nero

2008-10-03 12:12 . 2008-10-03 12:12 <DIR> d-------- C:\PSCS2

2008-10-03 12:09 . 2008-10-03 12:09 <DIR> d-------- C:\WINDOWS\Corel

2008-10-03 12:08 . 2008-10-03 12:08 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Corel

2008-10-03 11:41 . 2008-10-03 11:41 <DIR> d-------- C:\Arquivos de programas\Corel

2008-10-03 11:33 . 2007-08-24 00:29 147,456 -ra------ C:\WINDOWS\system32\igfxCoIn_v4864.dll

2008-10-03 11:31 . 2008-10-03 11:31 16,608 --a------ C:\WINDOWS\gdrv.sys

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-05 11:18 --------- d-----w C:\Documents and Settings\All Users\Dados de aplicativos\avg7

2008-10-05 11:16 --------- d-----w C:\Documents and Settings\user\Dados de aplicativos\AVG7

2008-10-04 19:47 --------- d--h--w C:\Arquivos de programas\InstallShield Installation Information

2008-10-03 15:23 --------- d-----w C:\Arquivos de programas\Nero

2008-08-11 13:40 --------- d-----w C:\Arquivos de programas\D-Link

2008-08-09 15:27 --------- d-----w C:\Documents and Settings\user\Dados de aplicativos\InstallShield

2008-07-19 01:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll

2008-07-19 01:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe

2008-07-19 01:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll

2008-07-19 01:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll

2008-07-19 01:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll

2008-07-19 01:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll

2008-07-19 01:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll

2008-07-19 01:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll

2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 15360]

"swg"="C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-04 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-03 159744]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 15360]

"AVG7_Run"="C:\ARQUIV~1\Grisoft\AVG7\avgw.exe" [2008-10-04 219136]

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\

Orbit.lnk - C:\Arquivos de programas\Orbitdownloader\orbitdm.exe [2008-10-05 1707208]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^802.11g Wireless LAN PCI Card Utility.lnk]

path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\802.11g Wireless LAN PCI Card Utility.lnk

backup=C:\WINDOWS\pss\802.11g Wireless LAN PCI Card Utility.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Speed Launch.lnk]

path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Adobe Reader Speed Launch.lnk

backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Synchronizer.lnk]

path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Adobe Reader Synchronizer.lnk

backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Orbit.lnk]

path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\Orbit.lnk

backup=C:\WINDOWS\pss\Orbit.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^WinZip Quick Pick.lnk]

path=C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\WinZip Quick Pick.lnk

backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]

--a------ 2008-07-19 11:38 78008 C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG7_CC]

--a------ 2008-10-04 15:06 579584 C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

--a------ 2004-08-03 23:45 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]

--a------ 2006-10-27 00:47 31016 C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]

-ra------ 2007-09-05 06:13 166424 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]

-ra------ 2007-09-05 06:13 141848 C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]

--a------ 2007-05-15 15:55 1057328 C:\Arquivos de programas\Nero\Nero 7\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]

--a------ 2006-12-05 22:55 54832 C:\Arquivos de programas\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Messenger (Yahoo!)]

--a------ 2008-09-19 17:34 4347120 C:\Arquivos de programas\Yahoo!\Messenger\YahooMessenger.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nero PhotoShow Media Manager]

--a------ 2006-05-10 16:52 249856 C:\ARQUIV~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2007-03-01 15:57 153136 C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]

-ra------ 2007-09-05 06:13 137752 C:\WINDOWS\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--------- 2006-11-23 15:10 56928 C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]

--a------ 2007-05-15 15:55 1628208 C:\Arquivos de programas\Nero\Nero 7\InCD\NBHGui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2008-10-04 19:13 68856 C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

-r------- 2005-05-03 07:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

-r------- 2007-09-27 03:20 16844800 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=

"C:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=

"C:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"C:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"C:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"C:\\Arquivos de programas\\Grisoft\\AVG7\\avginet.exe"=

"C:\\Arquivos de programas\\Grisoft\\AVG7\\avgamsvr.exe"=

"C:\\Arquivos de programas\\Grisoft\\AVG7\\avgcc.exe"=

"C:\\Arquivos de programas\\Yahoo!\\Messenger\\YahooMessenger.exe"=

"C:\\Arquivos de programas\\Orbitdownloader\\orbitdm.exe"=

"C:\\Arquivos de programas\\Orbitdownloader\\orbitnet.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

R3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\ScreamingBAudio.sys [2007-12-19 21920]

R3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 13532]

S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1674b398-9186-11dd-802b-001fd0fc1655}]

\Shell\AutoRun\command - o6pq1n8.com

\Shell\explore\Command - o6pq1n8.com

\Shell\open\Command - o6pq1n8.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8438b706-915b-11dd-8025-001fd0fc1655}]

\Shell\AutoRun\command - E:\uxkktr.cmd

\Shell\explore\Command - E:\uxkktr.cmd

\Shell\open\Command - E:\uxkktr.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f37974f5-4f7d-11dd-88dd-806d6172696f}]

\Shell\AutoRun\command - D:\8e.com

\Shell\explore\Command - D:\8e.com

\Shell\open\Command - D:\8e.com

*Newly Created Service* - PROCEXP90

.

- - - - ORFAOS REMOVIDOS - - - -

ShellExecuteHooks-{C5F43BEF-CE2F-46D8-AFE6-A647BACD1F09} - C:\WINDOWS\system32\Bitkv1.dll

MSConfigStartUp-kamsoft - C:\WINDOWS\system32\ckvo.exe

MSConfigStartUp-kava - C:\WINDOWS\system32\kavo.exe

MSConfigStartUp-tava - C:\WINDOWS\system32\tavo.exe

.

------- Ccan Suplementar -------

.

R0 -: HKCU-Main,Start Page = hxxp://search.orbitdownloader.com

R0 -: HKCU-Main,Search Page = hxxp://www.google.com

R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie

R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s

O8 -: &Download by Orbit - C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 -: &Grab video by Orbit - C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 -: Do&wnload selected by Orbit - C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 -: Down&load all by Orbit - C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O8 -: E&xportar para o Microsoft Excel - C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O17 -: HKLM\CCS\Interface\{0C2788BD-6E59-4E1A-A878-468EC4CEA7FE}: NameServer = 200.165.132.154,200.165.132.147

O17 -: HKLM\CCS\Interface\{387F62F8-C2D9-4B2E-B744-43F553A83B57}: NameServer = 200.165.132.154,200.165.132.147

O17 -: HKLM\CCS\Interface\{ACA44B09-8BD0-4132-AFF9-3B220F7DFA03}: NameServer = 200.165.132.154,200.165.132.147

O17 -: HKLM\CCS\Interface\{F641879B-15AC-48DE-8A0A-3CEA78C194E7}: NameServer = 200.185.6.163,200.185.6.131

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-06 18:04:31

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros ocultos ...

Varredura completada com sucesso

Ficheiros ocultos: 0

**************************************************************************

.

Tempo para conclusão: 2008-10-06 18:04:53

ComboFix-quarantined-files.txt 2008-10-06 21:04:51

Pre-Run: 12 pasta(s) 96.493.830.144 bytes disponíveis

Post-Run: 16 pasta(s) 96,962,666,496 bytes disponíveis

233 --- E O F --- 2008-10-06 03:31:51

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

A partir daqui n sei o q fazer mais, por favor, help me!!!!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Poste um novo log do Hijackthis, por gentileza.

Compartilhar este post


Link para o post
Compartilhar em outros sites





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×