Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Rafaelhos

Remover Malware do meu computador - Windows XP Profissional

Recommended Posts

Boa noite a todos.

Recentemente instalei o antivirus Karpesky e tirei o Avast. Depois disso começei a ter problemas com meu computador.

Depois disso notei que alguns programas do meu computador sumiram, como os programas de ferramentas do sistema, comunicação, entretenimento, entre varios outros.

Depois de um tempo tirei o Karpesky e instalei de novo o Avast.

Fiz uma analise com o Antivirus online da Microsoft e encontrou um TrojanClicker:Win32/Yabector.gen e não foi removido.

Instalei o Malwarebytes e acho que foi removido.

Gostaria de ajuda, pois estou desesperado.

Desde já muito obrigado.

Segue os logs...

DDS (Ver_09-12-01.01) - NTFSx86

Run by Rafae at 17:29:54,14 on dom 10/01/2010

Internet Explorer: 7.0.5730.13 BrowserJavaVersion: 1.6.0_17

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.1014.420 [GMT -2:00]

AV: avast! antivirus 4.8.1368 [VPS 100110-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

============== Running Processes ===============

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost -k DcomLaunch

C:\WINDOWS\system32\svchost -k rpcss

C:\WINDOWS\System32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup

C:\WINDOWS\system32\svchost.exe -k NetworkService

C:\WINDOWS\system32\svchost.exe -k LocalService

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe

C:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Arquivos de programas\Arquivos comuns\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe

C:\Arquivos de programas\Arquivos comuns\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\alg.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Microsoft\Office Live\OfficeLiveSignIn.exe

C:\Arquivos de programas\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Documents and Settings\Rafae\Desktop\dds.scr

C:\WINDOWS\system32\wbem\wmiprvse.exe

============== Pseudo HJT Report ===============

uStart Page = about:blank

uInternet Settings,ProxyOverride = local

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\arquivos de programas\arquivos comuns\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\arquiv~1\spybot~1\SDHelper.dll

BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File

BHO: Search Helper: {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - c:\arquivos de programas\microsoft\search enhancement pack\search helper\SEPsearchhelperie.dll

BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File

BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: GbIehObj Class: {c41a1c0e-ea6c-11d4-b1b8-444553540003} - c:\arquivos de programas\gbplugin\gbiehcef.dll

BHO: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\arquivos de programas\java\jre6\bin\jp2ssv.dll

BHO: Windows Live Toolbar Helper: {e15a8dc0-8516-42a1-81ea-dc94ec1acf10} - c:\arquivos de programas\windows live\toolbar\wltcore.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: &Windows Live Toolbar: {21fa44ef-376d-4d53-9b0f-8a89d3229068} - c:\arquivos de programas\windows live\toolbar\wltcore.dll

TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File

uRun: [MSMSGS] "c:\arquivos de programas\messenger\msmsgs.exe" /background

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

uRun: [spybotSD TeaTimer] c:\arquivos de programas\spybot - search & destroy\TeaTimer.exe

mRun: [igfxTray] c:\windows\system32\igfxtray.exe

mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe

mRun: [Persistence] c:\windows\system32\igfxpers.exe

mRun: [sunJavaUpdateSched] "c:\arquivos de programas\java\jre6\bin\jusched.exe"

mRun: [RTHDCPL] RTHDCPL.EXE

mRun: [Alcmtr] ALCMTR.EXE

mRun: [avast!] c:\arquiv~1\alwils~1\avast4\ashDisp.exe

mRun: [iSUSScheduler] "c:\arquivos de programas\arquivos comuns\installshield\updateservice\issch.exe" -start

mRun: [iSUSPM Startup] "c:\arquivos de programas\arquivos comuns\installshield\updateservice\ISUSPM.exe" -startup

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

IE: Add to Google Photos Screensa&ver

IE: E&xportar para o Microsoft Excel

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\arquivos de programas\windows live\writer\WriterBrowserExtension.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\micros~2\office11\REFIEBAR.DLL

IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\arquiv~1\spybot~1\SDHelper.dll

DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}

Notify: GbPluginCef - c:\arquivos de programas\gbplugin\gbiehcef.dll

Notify: igfxcui - igfxdev.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

SEH: GbPluginObj Class: {e37cb5f0-51f5-4395-a808-5fa49e399003} - c:\arquivos de programas\gbplugin\gbiehcef.dll

Hosts: 127.0.0.1 www.spywareinfo.com

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\rafae\dadosd~1\mozilla\firefox\profiles\ulayf9yk.gabii\

FF - prefs.js: browser.startup.homepage - about:blank

FF - plugin: c:\arquivos de programas\microsoft\office live\npOLW.dll

FF - plugin: c:\arquivos de programas\mozilla firefox\plugins\npOGAPlugin.dll

FF - plugin: c:\arquivos de programas\windows live\photo gallery\NPWLPG.dll

FF - plugin: c:\documents and settings\rafae\dados de aplicativos\mozilla\plugins\npPxPlay.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\

FF - HiddenExtension: Java Console: No Registry Reference - c:\arquivos de programas\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}

FF - HiddenExtension: Java Console: No Registry Reference - c:\arquivos de programas\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}

FF - HiddenExtension: Java Console: No Registry Reference - c:\arquivos de programas\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}

FF - HiddenExtension: Java Console: No Registry Reference - c:\arquivos de programas\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

c:\arquivos de programas\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

============= SERVICES / DRIVERS ===============

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-12-28 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-12-28 20560]

R2 avast! Antivirus;avast! Antivirus;c:\arquivos de programas\alwil software\avast4\ashServ.exe [2009-12-28 138680]

R2 GbpSv;Gbp Service;c:\arquiv~1\gbplugin\GbpSv.exe [2008-11-25 53800]

R2 SentinelKeysServer;Sentinel Keys Server;c:\arquivos de programas\arquivos comuns\safenet sentinel\sentinel keys server\sntlkeyssrvr.exe [2008-7-11 328992]

S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\GbpKm.sys [2009-4-21 30504]

S2 SSIPDDP;SSIPDDP Parallel port device driver;c:\windows\system32\drivers\ssipddp.sys [2009-9-2 54272]

S2 SteelKey;Steel & Graphics Hardware Protection System; [x]

S3 avast! Mail Scanner;avast! Mail Scanner;c:\arquivos de programas\alwil software\avast4\ashMaiSv.exe [2009-12-28 254040]

S3 avast! Web Scanner;avast! Web Scanner;c:\arquivos de programas\alwil software\avast4\ashWebSv.exe [2009-12-28 352920]

S3 EverestDriver;Lavalys EVEREST Kernel Driver; [x]

S3 sembbus;SEMC WMC Composite Device driver (WDM);c:\windows\system32\drivers\sembbus.sys --> c:\windows\system32\drivers\sembbus.sys [?]

=============== Created Last 30 ================

2010-01-08 05:13:26 0 d-----w- c:\docume~1\rafae\dadosd~1\Malwarebytes

2010-01-08 05:13:22 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-01-08 05:13:21 0 d-----w- c:\docume~1\alluse~1\dadosd~1\Malwarebytes

2010-01-08 05:13:20 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-01-08 05:13:19 0 d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2010-01-03 04:45:37 0 d-----w- c:\docume~1\rafae\dadosd~1\TuneUp Software

2010-01-03 04:44:38 0 d-----w- c:\docume~1\alluse~1\dadosd~1\TuneUp Software

2010-01-03 04:43:25 0 d-sh--w- c:\docume~1\alluse~1\dadosd~1\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}

2009-12-31 08:24:49 0 d-----w- c:\docume~1\rafae\dadosd~1\FreshDiagnose

2009-12-28 01:18:00 466 --sh--r- c:\documents and settings\rafae\ntuser.pol

2009-12-27 22:05:36 0 d-----w- c:\docume~1\rafae\dadosd~1\Registry Mechanic

2009-12-27 17:01:52 178176 ------w- c:\windows\system32\unrar.dll

2009-12-26 08:45:14 32272 ------w- c:\windows\system32\drivers\klim5.sys

2009-12-26 06:26:27 0 d-----w- c:\docume~1\alluse~1\dadosd~1\Kaspersky Lab

2009-12-21 05:30:42 276992 ------w- c:\windows\system32\LFCMP11n.DLL

2009-12-21 05:30:42 262144 ------w- c:\windows\system32\LTDIS11n.dll

2009-12-21 05:30:42 118272 ------w- c:\windows\system32\ltfil11n.DLL

2009-12-21 05:30:19 0 d-----w- c:\arquivos de programas\PowerPlugs

2009-12-21 05:29:53 306688 ------w- c:\windows\IsUninst.exe

2009-12-19 06:16:17 0 d-----w- c:\windows\system32\wbem\Repository

2009-12-14 00:50:01 77 ------w- c:\windows\huffyuv.ini

2009-12-14 00:50:01 33280 ------w- c:\windows\system32\huffyuv.dll

2009-12-13 23:34:18 0 d-----w- c:\arquivos de programas\FreeTime

2009-12-13 22:33:38 69632 ------w- c:\windows\ALCMTR.EXE

2009-12-13 22:27:19 49152 ------w- c:\windows\system32\ChCfg.exe

2009-12-13 21:49:25 86016 ------w- c:\windows\SOUNDMAN.EXE

2009-12-13 21:49:24 9715200 ------w- c:\windows\RTLCPL.EXE

2009-12-13 21:49:24 4419584 ------w- c:\windows\system32\drivers\RtkHDAud.sys

2009-12-13 21:49:24 282624 ------w- c:\windows\system32\RTSndMgr.CPL

2009-12-13 21:49:24 1826816 ------w- c:\windows\SkyTel.exe

2009-12-13 21:49:24 1191936 ------w- c:\windows\RtlUpd.exe

2009-12-13 21:49:22 2162688 ------w- c:\windows\MicCal.exe

2009-12-13 21:49:22 16342528 ------w- c:\windows\RTHDCPL.EXE

2009-12-13 21:49:21 299008 ------w- c:\windows\system32\ALSNDMGR.CPL

2009-12-13 21:49:21 2808832 ------w- c:\windows\ALCWZRD.EXE

2009-12-13 21:49:19 520192 ------w- c:\windows\RtlExUpd.dll

2009-12-12 23:06:09 315392 ------w- c:\windows\HideWin.exe

==================== Find3M ====================

2009-12-31 07:26:18 700154 ------w- c:\windows\system32\perfh016.dat

2009-12-31 07:26:18 202350 ------w- c:\windows\system32\perfc016.dat

2009-12-31 01:28:06 2776 --sh--w- c:\windows\system32\KGyGaAvL.sys

2009-12-11 06:35:05 2560 ------w- c:\windows\_MSRSTRT.EXE

2009-11-05 10:39:40 87552 ------w- c:\windows\system32\cpwmon2k.dll

2009-10-29 07:43:17 832512 ----a-w- c:\windows\system32\wininet.dll

2009-10-29 07:43:14 78336 -c--a-w- c:\windows\system32\ieencode.dll

2009-10-29 07:43:13 17408 -c--a-w- c:\windows\system32\corpol.dll

2009-10-21 05:39:39 75776 -c--a-w- c:\windows\system32\strmfilt.dll

2009-10-21 05:39:39 25088 -c--a-w- c:\windows\system32\httpapi.dll

2009-10-13 10:34:00 271360 ----a-w- c:\windows\system32\oakley.dll

============= FINISH: 17:30:23,04 ===============

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-01-10 18:42:30

Windows 5.1.2600 Service Pack 3

Running: gmer.exe; Driver: C:\DOCUME~1\Rafae\CONFIG~1\Temp\uwtdrpow.sys

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xA92566B8]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xA9256574]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xA9256A52]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xA925614C]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xA925664E]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xA925608C]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xA92560F0]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xA925676E]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xA925672E]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xA92568AE]

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xA8BF9400, 0x82482, 0xE8000020]

.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA8C99420] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA8C99420]

.protectÿÿÿÿhardlockunknown last code section [0xA8C99200, 0x5105, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xA8C99200, 0x5105, 0xE0000020]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\winlogon.exe[968] ntdll.dll!LdrUnloadDll 7C91738B 5 Bytes JMP 10078460 C:\Arquivos de programas\GbPlugin\gbiehcef.dll (Gbieh Module/Caixa Economica Federal)

.text C:\WINDOWS\system32\winlogon.exe[968] kernel32.dll!FreeLibrary 7C80AC7E 5 Bytes JMP 100782E0 C:\Arquivos de programas\GbPlugin\gbiehcef.dll (Gbieh Module/Caixa Economica Federal)

.text C:\WINDOWS\system32\winlogon.exe[968] kernel32.dll!FreeLibraryAndExitThread 7C80C210 5 Bytes JMP 10078180 C:\Arquivos de programas\GbPlugin\gbiehcef.dll (Gbieh Module/Caixa Economica Federal)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[1012] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002

IAT C:\WINDOWS\system32\services.exe[1012] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Classes\.wav@Content Type audio/wav

Reg HKLM\SOFTWARE\Classes\.wav@PerceivedType audio

Reg HKLM\SOFTWARE\Classes\.wav@ soundrec

Reg HKLM\SOFTWARE\Classes\.wav\OpenWithList

Reg HKLM\SOFTWARE\Classes\.wav\OpenWithList\wmplayer.exe

Reg HKLM\SOFTWARE\Classes\.wav\OpenWithProgIds

Reg HKLM\SOFTWARE\Classes\.wav\OpenWithProgIds@soundrec

Reg HKLM\SOFTWARE\Classes\.wma@Content Type audio/x-ms-wma

Reg HKLM\SOFTWARE\Classes\.wma@PerceivedType audio

Reg HKLM\SOFTWARE\Classes\.wma@ WMAFile

Reg HKLM\SOFTWARE\Classes\.wma\OpenWithList

Reg HKLM\SOFTWARE\Classes\.wma\OpenWithList\wmplayer.exe

Reg HKLM\SOFTWARE\Classes\.wma\OpenWithProgIds

Reg HKLM\SOFTWARE\Classes\.wma\OpenWithProgIds@WMAFile

Reg HKLM\SOFTWARE\Classes\.wmv@Content Type video/x-ms-wmv

Reg HKLM\SOFTWARE\Classes\.wmv@PerceivedType video

Reg HKLM\SOFTWARE\Classes\.wmv@ WMVFile

Reg HKLM\SOFTWARE\Classes\.wmv\OpenWithList

Reg HKLM\SOFTWARE\Classes\.wmv\OpenWithList\wmplayer.exe

Reg HKLM\SOFTWARE\Classes\.wmv\OpenWithProgIds

Reg HKLM\SOFTWARE\Classes\.wmv\OpenWithProgIds@WMVFile

Reg HKLM\SOFTWARE\Classes\.wpl@Content Type application/vnd.ms-wpl

Reg HKLM\SOFTWARE\Classes\.wpl@ WPLFile

Reg HKLM\SOFTWARE\Classes\.wpl@MP2.Last Default

Reg HKLM\SOFTWARE\Classes\.wpl\OpenWithList

Reg HKLM\SOFTWARE\Classes\.wpl\OpenWithList\wmplayer.exe

Reg HKLM\SOFTWARE\Classes\.wpl\OpenWithProgIds

Reg HKLM\SOFTWARE\Classes\.wpl\OpenWithProgIds@WPLFile

---- EOF - GMER 1.0.15 ----

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro Rafaelhos

Recomendo que salve este tópico em seus Favoritos para facilitar na hora de encontrá-lo.

Por favor, atente para o seguinte:

  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Sempre coloque suas respostas neste tópico... Não abra outro!
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

# Etapa nº 1 #

Leia as instruções contidas neste link:

Nas instruções contidas no link acima, poderá verificar quais os fóruns onde os Analistas estão devidamente habilitados a utilizar corretamente a ferramenta:"Fóruns para receber ajuda com logs do ComboFix"

  1. Faça o download do ComboFix de um dos links oficiais listados abaixo e salve no seu desktop:

[*]Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).[*]Duplo clique no icone desktopicon.png que está no desktop.[*]Leia e aceite as condições, digitando 1 e enter.[*]Computadores com Windows XP deverão instalar o Console de Recuperação:

  • Se o seu computador tem instalado o Windows XP e ainda não tem instalado o Console de Recuperação, por favor certifique-se que está conectado à Internet, e clique em "Sim".
  • Clique em "OK" ao EULA.
  • Quando o Console de Recuperação estiver já instalado, clique em "SIM" para continuar.

[*]O ComboFix será executado, por favor seja paciente e aguarde. [*]Atenção: Não utilize o mouse nem o teclado enquanto a ferramenta estiver sendo executada, isso pode fazer com que o computador pare.[*]Poderá surgir o aviso que é necessário reiniciar o computador.

NÃO REINICIE!!! O ComboFix reiniciará o computador automaticamente.[*]Quando a ferramenta terminar de rodar, gerará um log (o arquivo C:\ComboFix.txt). Copie e cole o conteúdo desse arquivo na sua proxima resposta.

NÃO utilize a ferramenta por conta própria. É uma ferramenta poderosa criada pra lidar com infecções sofisticadas e caso não a utilize corretamente poderá danificar o seu computador.

  • Existem vários malwares que impedem a execução correta da ferramenta e com isso danificar gravemente o computador. Analistas habilitados a utilizar o ComboFix conhecem esses casos e sabem lidar com estas situações.
  • Muitos dos Analistas não respondem a topicos em que vejam que o ComboFix foi utilizado sem supervisão.
  • Existem varias ferramentas anti-malware generalistas em que os autores ao elaborarem a programação das mesmas, estão pensando nos usuários finais e para serem usadas sem supervisão. O Combofix não é uma ferramenta desse tipo, e assim sendo e até por respeito ao autor da ferramenta, não utilize sem supervisão.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Diego agradeço desde já sua disponibilidade em me ajudar.

    Confesso que estou muito preocupado com a "saúde" de meu computador...

    segue o log do combofix,

    ComboFix 10-01-11.01 - Rafae 11/01/2010 19:07:10.1.1 - x86

    Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.1014.589 [GMT -2:00]

    Executando de: c:\documents and settings\Rafae\Desktop\ComboFix.exe

    AV: avast! antivirus 4.8.1368 [VPS 100111-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

    .

    ADS - drivers: deleted 220 bytes in 2 streams.

    ((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    c:\arquivos de programas\GbPlugin\gbiehcef.dll

    C:\khq

    c:\windows\system32\Desktop_.ini

    c:\windows\system32\userinit.exe . . . está infectado!!

    .

    (((((((((((((((( Arquivos/Ficheiros criados de 2009-12-11 to 2010-01-11 ))))))))))))))))))))))))))))

    .

    2010-01-11 20:55 . 2010-01-11 20:55 -------- d-----w- c:\windows\system32\wbem\Repository

    2010-01-11 20:53 . 2010-01-11 20:53 -------- d-----w- c:\arquivos de programas\VDOWNLOADER

    2010-01-11 20:52 . 2010-01-11 20:53 -------- d--h--w- c:\documents and settings\Rafae\Recent(3)

    2010-01-11 08:06 . 2010-01-11 08:06 -------- d-----w- c:\documents and settings\Rafae\BackUp

    2010-01-11 06:42 . 2010-01-11 20:52 -------- d--h--w- c:\documents and settings\Rafae\Recent(2)

    2010-01-11 06:14 . 2010-01-11 20:52 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\ImageBadger

    2010-01-11 05:06 . 2010-01-11 05:06 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\IObit

    2010-01-11 05:06 . 2010-01-11 05:06 -------- d-----w- c:\arquivos de programas\IObit

    2010-01-11 04:40 . 2010-01-11 21:00 -------- d-----w- c:\arquivos de programas\VS Revo Group

    2010-01-11 01:18 . 2010-01-11 03:43 -------- d-----w- c:\arquivos de programas\Lavalys

    2010-01-11 00:16 . 2010-01-11 00:16 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Nero

    2010-01-11 00:12 . 2010-01-11 20:53 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Nero

    2010-01-11 00:12 . 2010-01-11 00:12 -------- d-----w- c:\arquivos de programas\Nero

    2010-01-09 20:46 . 2010-01-11 21:11 -------- d-----w- c:\documents and settings\Rafa\Configurações locais

    2010-01-09 20:46 . 2010-01-11 20:53 -------- d-----w- c:\documents and settings\Rafa\Modelos

    2010-01-09 20:46 . 2010-01-11 20:53 -------- d-----w- c:\documents and settings\Rafa\Favoritos

    2010-01-09 20:46 . 2010-01-11 20:53 -------- d-----w- c:\documents and settings\Rafa\Dados de aplicativos

    2010-01-09 20:46 . 2010-01-11 20:53 -------- d-s---w- c:\documents and settings\Rafa

    2010-01-08 05:13 . 2010-01-08 05:13 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Malwarebytes

    2010-01-08 05:13 . 2010-01-08 05:13 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

    2010-01-03 04:45 . 2010-01-03 04:45 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\TuneUp Software

    2010-01-03 04:44 . 2010-01-04 02:25 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\TuneUp Software

    2010-01-03 04:43 . 2010-01-03 04:43 -------- d-sh--w- c:\documents and settings\All Users\Dados de aplicativos\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}

    2009-12-31 08:24 . 2010-01-03 04:47 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\FreshDiagnose

    2009-12-28 02:25 . 2009-11-24 23:48 23120 ------w- c:\windows\system32\drivers\aswRdr.sys

    2009-12-28 02:24 . 2009-11-24 23:49 48560 ------w- c:\windows\system32\drivers\aswTdi.sys

    2009-12-28 02:24 . 2009-11-24 23:47 27408 ------w- c:\windows\system32\drivers\aavmker4.sys

    2009-12-28 02:24 . 2009-11-24 23:47 97480 ------w- c:\windows\system32\AvastSS.scr

    2009-12-28 02:24 . 2009-11-24 23:50 20560 ------w- c:\windows\system32\drivers\aswFsBlk.sys

    2009-12-28 02:24 . 2009-11-24 23:50 114768 ------w- c:\windows\system32\drivers\aswSP.sys

    2009-12-28 02:24 . 2009-11-24 23:51 93424 ------w- c:\windows\system32\drivers\aswmon.sys

    2009-12-28 02:24 . 2009-11-24 23:50 94160 ------w- c:\windows\system32\drivers\aswmon2.sys

    2009-12-28 02:24 . 2009-11-24 23:54 1280480 ------w- c:\windows\system32\aswBoot.exe

    2009-12-28 02:24 . 2009-12-28 02:24 -------- d-----w- c:\arquivos de programas\Alwil Software

    2009-12-27 22:05 . 2009-12-27 22:05 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Registry Mechanic

    2009-12-27 21:20 . 2010-01-11 20:53 -------- d-----w- c:\arquivos de programas\Windows Live Safety Center

    2009-12-27 19:21 . 2009-12-27 19:21 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Media Player Classic

    2009-12-27 17:01 . 2009-08-16 15:08 178176 ------w- c:\windows\system32\unrar.dll

    2009-12-26 08:45 . 2009-09-14 15:42 32272 ------w- c:\windows\system32\drivers\klim5.sys

    2009-12-26 06:26 . 2009-12-28 02:17 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Kaspersky Lab

    2009-12-21 05:30 . 1999-11-22 16:52 276992 ------w- c:\windows\system32\LFCMP11n.DLL

    2009-12-21 05:30 . 1999-11-22 15:51 118272 ------w- c:\windows\system32\ltfil11n.DLL

    2009-12-21 05:30 . 1999-11-22 15:51 262144 ------w- c:\windows\system32\LTDIS11n.dll

    2009-12-21 05:30 . 2009-12-21 05:34 -------- d-----w- c:\arquivos de programas\PowerPlugs

    2009-12-21 05:29 . 1998-10-29 18:45 306688 ------w- c:\windows\IsUninst.exe

    2009-12-19 09:59 . 2009-12-19 09:59 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\dvdcss

    2009-12-14 00:50 . 2000-08-23 19:00 33280 ------w- c:\windows\system32\huffyuv.dll

    2009-12-13 23:34 . 2009-12-13 23:34 -------- d-----w- c:\arquivos de programas\FreeTime

    2009-12-13 22:33 . 2009-12-13 22:21 69632 ------w- c:\windows\ALCMTR.EXE

    2009-12-13 22:27 . 2009-12-13 22:21 49152 ------w- c:\windows\system32\ChCfg.exe

    2009-12-13 21:49 . 2009-12-13 22:21 86016 ------w- c:\windows\SOUNDMAN.EXE

    2009-12-13 21:49 . 2009-12-13 22:21 9715200 ------w- c:\windows\RTLCPL.EXE

    2009-12-13 21:49 . 2009-12-13 22:21 1826816 ------w- c:\windows\SkyTel.exe

    2009-12-13 21:49 . 2009-12-13 22:21 1191936 ------w- c:\windows\RtlUpd.exe

    2009-12-13 21:49 . 2009-12-13 22:21 4419584 ------w- c:\windows\system32\drivers\RtkHDAud.sys

    2009-12-13 21:49 . 2009-12-13 22:21 16342528 ------w- c:\windows\RTHDCPL.EXE

    2009-12-13 21:49 . 2009-12-13 22:21 2162688 ------w- c:\windows\MicCal.exe

    2009-12-13 21:49 . 2009-12-13 22:21 2808832 ------w- c:\windows\ALCWZRD.EXE

    2009-12-13 21:49 . 2007-07-26 19:09 520192 ------w- c:\windows\RtlExUpd.dll

    2009-12-12 23:06 . 2009-12-12 23:06 315392 ------w- c:\windows\HideWin.exe

    .

    ((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    2010-01-11 21:13 . 2008-11-25 09:51 -------- d-----w- c:\arquivos de programas\GbPlugin

    2010-01-11 21:00 . 2008-12-28 19:56 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

    2010-01-11 06:41 . 2008-10-18 17:09 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Atheros

    2010-01-11 06:41 . 2008-10-22 03:51 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\MSN Pictures Displayer

    2010-01-11 06:16 . 2009-12-11 06:19 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\TEMP

    2010-01-11 00:12 . 2009-11-24 00:36 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Nero

    2010-01-08 02:34 . 2008-10-18 18:24 -------- d-----w- c:\arquivos de programas\CCleaner

    2010-01-06 21:32 . 2008-12-28 19:56 -------- d-----w- c:\arquivos de programas\Spybot - Search & Destroy

    2009-12-31 07:26 . 2008-04-14 12:00 700154 ------w- c:\windows\system32\perfh016.dat

    2009-12-31 07:26 . 2008-04-14 12:00 202350 ------w- c:\windows\system32\perfc016.dat

    2009-12-31 01:28 . 2009-09-28 21:45 2776 --sh--w- c:\windows\system32\KGyGaAvL.sys

    2009-12-29 23:44 . 2008-10-18 17:09 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

    2009-12-24 05:05 . 2009-11-21 07:31 30601 ------w- c:\windows\java\x.exe

    2009-12-13 22:36 . 2008-10-18 17:13 -------- d-----w- c:\arquivos de programas\Realtek

    2009-12-13 21:49 . 2008-10-18 17:12 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield

    2009-12-12 20:40 . 2009-12-05 02:22 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\NCH Swift Sound

    2009-12-12 16:06 . 2009-12-05 02:22 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\NCH Swift Sound

    2009-12-11 06:36 . 2008-11-25 09:51 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

    2009-12-11 06:35 . 2009-12-11 06:35 2560 ------w- c:\windows\_MSRSTRT.EXE

    2009-12-11 06:33 . 2009-12-11 06:15 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\SpeedBit

    2009-12-02 03:15 . 2009-12-02 03:15 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Nero8

    2009-11-29 04:35 . 2008-10-18 12:40 -------- d-----w- c:\arquivos de programas\Serviços on-line

    2009-11-23 01:47 . 2009-11-23 01:47 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\InstallShield

    2009-11-21 15:58 . 2008-04-14 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll

    2009-11-15 19:54 . 2009-11-15 19:52 -------- d-----w- c:\arquivos de programas\PDFCreator

    2009-11-08 07:47 . 2009-11-08 07:47 152576 -c----w- c:\documents and settings\Rafae\Dados de aplicativos\Sun\Java\jre1.6.0_17\lzma.dll

    2009-11-05 10:39 . 2009-11-11 03:42 87552 ------w- c:\windows\system32\cpwmon2k.dll

    2009-10-29 07:43 . 2008-04-14 12:00 832512 ----a-w- c:\windows\system32\wininet.dll

    2009-10-29 07:43 . 2008-04-14 12:00 78336 -c--a-w- c:\windows\system32\ieencode.dll

    2009-10-29 07:43 . 2008-04-14 12:00 17408 -c--a-w- c:\windows\system32\corpol.dll

    2009-10-22 17:40 . 2009-04-21 20:48 30504 ------w- c:\windows\system32\drivers\GbpKm.sys

    2009-10-21 05:39 . 2008-04-14 12:00 75776 -c--a-w- c:\windows\system32\strmfilt.dll

    2009-10-21 05:39 . 2008-04-14 12:00 25088 -c--a-w- c:\windows\system32\httpapi.dll

    2009-10-20 16:20 . 2008-04-14 12:00 265728 -c--a-w- c:\windows\system32\drivers\http.sys

    .

    (((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

    .

    .

    *Nota* entradas vazias e legítimas por defeito não são mostradas.

    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "MSMSGS"="c:\arquivos de programas\Messenger\msmsgs.exe" [2008-04-13 1695232]

    "SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-08-24 135168]

    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-08-24 159744]

    "Persistence"="c:\windows\system32\igfxpers.exe" [2007-08-24 131072]

    "SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

    "RTHDCPL"="RTHDCPL.EXE" [2009-12-13 16342528]

    "avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

    "ISUSScheduler"="c:\arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]

    "ISUSPM Startup"="c:\arquivos de programas\Arquivos comuns\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\Administrador\Menu Iniciar\Programas\Inicializar\

    Internet Explorer.lnk - c:\arquivos de programas\Internet Explorer\IEXPLORE.EXE [2008-10-18 634632]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

    "XAudioService"=2 (0x2)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

    "NWEReboot"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

    "%windir%\\system32\\sessmgr.exe"=

    "c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

    R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\GbpKm.sys [21/4/2009 18:48 30504]

    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [28/12/2009 00:24 114768]

    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [28/12/2009 00:24 20560]

    R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [25/11/2008 07:51 53800]

    R2 SentinelKeysServer;Sentinel Keys Server;c:\arquivos de programas\Arquivos comuns\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe [11/7/2008 02:02 328992]

    S2 SSIPDDP;SSIPDDP Parallel port device driver;c:\windows\system32\drivers\ssipddp.sys [2/9/2009 18:58 54272]

    S2 SteelKey;Steel & Graphics Hardware Protection System; [x]

    S3 EverestDriver;Lavalys EVEREST Kernel Driver; [x]

    S3 sembbus;SEMC WMC Composite Device driver (WDM);c:\windows\system32\DRIVERS\sembbus.sys --> c:\windows\system32\DRIVERS\sembbus.sys [?]

    .

    Conteúdo da pasta 'Tarefas Agendadas'

    2010-01-11 c:\windows\Tasks\OGALogon.job

    - c:\windows\system32\OGAEXEC.exe [2009-08-03 18:07]

    2010-01-10 c:\windows\Tasks\User_Feed_Synchronization-{B605006D-EC1A-4669-A4DF-E9D27F72059B}.job

    - c:\windows\system32\msfeedssync.exe [2007-08-13 20:36]

    .

    .

    ------- Scan Suplementar -------

    .

    uStart Page = about:blank

    uInternet Settings,ProxyOverride = local

    IE: Add to Google Photos Screensa&ver

    IE: E&xportar para o Microsoft Excel

    FF - ProfilePath - c:\documents and settings\Rafae\Dados de aplicativos\Mozilla\Firefox\Profiles\ulayf9yk.Gabii\

    FF - prefs.js: browser.startup.homepage - about:blank

    FF - plugin: c:\arquivos de programas\Microsoft\Office Live\npOLW.dll

    FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\npOGAPlugin.dll

    FF - plugin: c:\arquivos de programas\Windows Live\Photo Gallery\NPWLPG.dll

    FF - plugin: c:\documents and settings\Rafae\Dados de aplicativos\Mozilla\plugins\npPxPlay.dll

    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- FIREFOX POLICIES ----

    FF - user.js: network.http.max-persistent-connections-per-server - 4

    FF - user.js: nglayout.initialpaint.delay - 600

    FF - user.js: content.notify.interval - 600000

    FF - user.js: content.max.tokenizing.time - 1800000

    FF - user.js: content.switch.threshold - 600000

    c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

    .

    - - - - ORFÃOS REMOVIDOS - - - -

    BHO-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

    WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

    ShellExecuteHooks-{E37CB5F0-51F5-4395-A808-5FA49E399003} - c:\arquivos de programas\GbPlugin\gbiehcef.dll

    Notify- GbPluginCef - c:\arquivos de programas\GbPlugin\gbiehcef.dll

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

    Rootkit scan 2010-01-11 19:14

    Windows 5.1.2600 Service Pack 3 NTFS

    Procurando processos ocultos ...

    Procurando entradas auto inicializáveis ocultas ...

    Procurando ficheiros/arquivos ocultos ...

    Varredura completada com sucesso

    arquivos/ficheiros ocultos: 0

    **************************************************************************

    .

    --------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]

    "6140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

    .

    --------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

    - - - - - - - > 'explorer.exe'(3960)

    c:\windows\system32\WININET.dll

    c:\windows\system32\WPDShServiceObj.dll

    c:\windows\system32\PortableDeviceTypes.dll

    c:\windows\system32\PortableDeviceApi.dll

    .

    ------------------------ Outros Processos em Execução ------------------------

    .

    c:\arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    c:\arquivos de programas\Alwil Software\Avast4\ashServ.exe

    c:\arquivos de programas\Java\jre6\bin\jqs.exe

    c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

    c:\arquivos de programas\CyberLink\Shared files\RichVideo.exe

    c:\arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

    c:\arquivos de programas\Arquivos comuns\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

    c:\windows\system32\wbem\wmiapsrv.exe

    c:\windows\RTHDCPL.EXE

    c:\windows\system32\wscntfy.exe

    .

    **************************************************************************

    .

    Tempo para conclusão: 2010-01-11 19:18:41 - Máquina reiniciou

    ComboFix-quarantined-files.txt 2010-01-11 21:18

    Pré-execução: 11 pasta(s) 68.553.904.128 bytes disponíveis

    Pós execução: 14 pasta(s) 69.052.907.520 bytes disponíveis

    WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

    [boot loader]

    timeout=2

    default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

    [operating systems]

    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

    multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

    Current=4 Default=4 Failed=3 LastKnownGood=1 Sets=1,2,3,4

    - - End Of File - - 88320162BB4C18103971DB25786223EB

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Caro Rafaelhos

    # Etapa nº 1 #

    Acesse o site 4y6d3b8.gif" Jotti's malware scan "

    • Na caixa que fica em cima (File to upload & scan);
    • Copie e cole o(s) seguinte(s) arquivo(s) um de cada vez:
      • c:\windows\system32\huffyuv.dll
      • c:\windows\java\x.exe

      [*]Clique no botão 688godt.jpg[*] O(s) arquivo(s) irá(serão) ser examinado(s) por diferentes programas antivirus, por favor aguarde.[*] Copie e cole o(s) resultado(s).

    Se o site acima estiver muito congestionado, tente num desses sites:

    Alternativa 1

    Alternativa 2

    # Etapa nº 2 #

    Faça o download do SystemLook em seu desktop.

    Link Alternativo

    • Clique duas vezes no ícone 4119586963_6274067071_o.gif
    • Clique em executar;
    • Copie (ctrl+c) conteúdo abaixo:

    :filefind
    *userinit*

    E cole (ctrl+v) no espaço indicado na imagem:

    4120361504_f66dd92e95_o.jpg

    • Clique em 4119586997_32a5666660_o.jpg
    • Aguarde;
    • Ao término será aberto o log do scan;
    • Clique em 4120361454_3c264d5fca_o.jpg
    • Poste todo o conteúdo em sua próxima resposta.

    Note:
    O log também pode ser encontrado no desktop com o nome:
    SystemLook.
    txt

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Boa noite Diego...

    Segue os resultados...

    Tamanho: 33280 bytes

    Tipo: PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit

    MD5: b74695b50230be4a6ef2c4293a58ac3b

    SHA1: 44289468d9bbef34bb51eda8944cb4951bba21a3

    Tamanho: 30601 bytes

    Tipo: PE32 executable for MS Windows (GUI) Intel 80386 32-bit

    MD5: b4fca8a5b1b357bf9e2b7a279827b8b4

    SHA1: 5482c0e3680d3294e8c419d7578b295e0e1fee61

    SystemLook v1.0 by jpshortstuff (11.01.10)

    Log created at 19:34 on 12/01/2010 by Rafae (Administrator - Elevation successful)

    ========== filefind ==========

    Searching for "*userinit*"

    C:\Qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir --a--- 26112 bytes [12:00 14/04/2008] [12:00 14/04/2008] A7EA40F680163808D96F89B4FF991876

    C:\WINDOWS\ERDNT\cache\userinit.exe --a--- 26112 bytes [21:17 11/01/2010] [12:00 14/04/2008] A7EA40F680163808D96F89B4FF991876

    C:\WINDOWS\Prefetch\USERINIT.EXE-0743FDA9.pf --a--- 84250 bytes [21:02 10/01/2010] [21:16 12/01/2010] 8E1D521AA8828B7B4B6C180403688138

    C:\WINDOWS\system32\userinit.exe ------ 26112 bytes [12:00 14/04/2008] [12:00 14/04/2008] A7EA40F680163808D96F89B4FF991876

    -=End Of File=-

    Aguardo respostas.

    Abraços

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Caro Rafaelhos

    Tamanho: 33280 bytes

    Tipo: PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit

    MD5: b74695b50230be4a6ef2c4293a58ac3b

    SHA1: 44289468d9bbef34bb51eda8944cb4951bba21a3

    Tamanho: 30601 bytes

    Tipo: PE32 executable for MS Windows (GUI) Intel 80386 32-bit

    MD5: b4fca8a5b1b357bf9e2b7a279827b8b4

    SHA1: 5482c0e3680d3294e8c419d7578b295e0e1fee61

    Isso não é o resultado... por favor, poste novamente.

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Diego tomara que esteja certo agora...

    Segue os resultados...

    Abraços

    Verificador de malware do Jotti

    Este arquivo já foi verificado. Os resultados da verificação estão listados abaixo.

    Nome do arquivo: huffyuv.dll

    Status:

    Verificação finalizada. 0 dos 20 antivírus encontrou vírus..

    Verificado em: Ter 12 Jan 2010 22:32:54 (CET) Link do resultado

    Informações do arquivo

    Tamanho: 33280 bytes

    Tipo: PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit

    MD5: b74695b50230be4a6ef2c4293a58ac3b

    SHA1: 44289468d9bbef34bb51eda8944cb4951bba21a3

    Este arquivo já foi verificado. Os resultados da verificação estão listados abaixo.

    Nome do arquivo: x.exe

    Status:

    Verificação finalizada. 0 dos 20 antivírus encontrou vírus..

    Verificado em: Qua 30 Dez 2009 05:01:25 (CET) Link do resultado

    Informações do arquivo

    Tamanho: 30601 bytes

    Tipo: PE32 executable for MS Windows (GUI) Intel 80386 32-bit

    MD5: b4fca8a5b1b357bf9e2b7a279827b8b4

    SHA1: 5482c0e3680d3294e8c419d7578b295e0e1fee61

    SystemLook v1.0 by jpshortstuff (11.01.10)

    Log created at 22:03 on 15/01/2010 by Rafae (Administrator - Elevation successful)

    ========== filefind ==========

    Searching for "*userinit*"

    C:\Qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir --a--- 26112 bytes [12:00 14/04/2008] [12:00 14/04/2008] A7EA40F680163808D96F89B4FF991876

    C:\WINDOWS\ERDNT\cache\userinit.exe --a--- 26112 bytes [21:17 11/01/2010] [12:00 14/04/2008] A7EA40F680163808D96F89B4FF991876

    C:\WINDOWS\Prefetch\USERINIT.EXE-0743FDA9.pf --a--- 75228 bytes [21:02 10/01/2010] [23:48 15/01/2010] AA6332E2D23F6C71397CD626781536A2

    C:\WINDOWS\system32\userinit.exe ------ 26112 bytes [12:00 14/04/2008] [12:00 14/04/2008] A7EA40F680163808D96F89B4FF991876

    -=End Of File=-

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Caro Rafaelhos

    Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).

    Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está dentro do "Código":

    FCopy::
    C:\WINDOWS\ERDNT\cache\userinit.exe | C:\WINDOWS\system32\userinit.exe

    Salve este arquivo como: CFScript.txt

    2872959479_997d4500c4_o.gif

    Tal com exemplificado na foto acima, arraste o arquivo CFScript.txt para dentro do ComboFix.exe. Quando a ferramenta terminar de rodar, gerará um log. Poste esse arquivo C:\ComboFix.txt.

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Diego segue...

    ComboFix 10-01-16.02 - Rafae 16/01/2010 23:17:43.2.1 - x86

    Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.1014.529 [GMT -2:00]

    Executando de: c:\documents and settings\Rafae\Desktop\ComboFix.exe

    Comandos utilizados :: c:\documents and settings\Rafae\Desktop\CFScript.txt

    AV: avast! antivirus 4.8.1368 [VPS 100116-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

    .

    ADS - drivers: deleted 220 bytes in 2 streams.

    ((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    c:\documents and settings\All Users\Dados de aplicativos\Microsoft\Network\Downloader\qmgr0.dat

    c:\documents and settings\All Users\Dados de aplicativos\Microsoft\Network\Downloader\qmgr1.dat

    c:\windows\system32\Thumbs.db

    ----- BITS: Sites possivelmente infectados -----

    hxxp://armmf.adobe.com

    .

    --------------- FCopy ---------------

    c:\windows\ERDNT\cache\userinit.exe --> c:\windows\system32\userinit.exe

    .

    (((((((((((((((( Arquivos/Ficheiros criados de 2009-12-17 to 2010-01-17 ))))))))))))))))))))))))))))

    .

    2010-01-16 07:05 . 2010-01-16 07:17 664 ----a-w- c:\windows\system32\d3d9caps.dat

    2010-01-16 05:11 . 2010-01-16 05:11 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\InstallShield

    2010-01-16 05:07 . 2010-01-16 05:07 -------- d--h--w- c:\documents and settings\Rafae\Recent(4)

    2010-01-16 04:44 . 2010-01-16 04:44 -------- d-----w- c:\windows\system32\wbem\Repository

    2010-01-16 02:52 . 2010-01-16 05:11 -------- d-----w- c:\documents and settings\Rafae\.SunDownloadManager

    2010-01-12 02:28 . 2010-01-12 02:28 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Nero

    2010-01-12 02:24 . 2010-01-12 02:26 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Nero

    2010-01-12 02:24 . 2010-01-12 02:24 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Nero

    2010-01-12 02:24 . 2010-01-12 02:24 -------- d-----w- c:\arquivos de programas\Nero

    2010-01-11 20:52 . 2010-01-12 02:07 -------- d--h--w- c:\documents and settings\Rafae\Recent(3)

    2010-01-11 08:06 . 2010-01-11 08:06 -------- d-----w- c:\documents and settings\Rafae\BackUp

    2010-01-11 06:42 . 2010-01-11 20:52 -------- d--h--w- c:\documents and settings\Rafae\Recent(2)

    2010-01-11 06:14 . 2010-01-11 20:52 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\ImageBadger

    2010-01-11 05:06 . 2010-01-11 05:06 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\IObit

    2010-01-09 20:46 . 2010-01-17 01:22 -------- d-----w- c:\documents and settings\Rafa\Configurações locais

    2010-01-09 20:46 . 2010-01-11 20:53 -------- d-----w- c:\documents and settings\Rafa\Modelos

    2010-01-09 20:46 . 2010-01-11 20:53 -------- d-----w- c:\documents and settings\Rafa\Favoritos

    2010-01-09 20:46 . 2010-01-11 20:53 -------- d-----w- c:\documents and settings\Rafa\Dados de aplicativos

    2010-01-09 20:46 . 2010-01-11 20:53 -------- d-s---w- c:\documents and settings\Rafa

    2010-01-08 05:13 . 2010-01-08 05:13 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Malwarebytes

    2010-01-08 05:13 . 2010-01-08 05:13 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

    2010-01-03 04:45 . 2010-01-03 04:45 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\TuneUp Software

    2010-01-03 04:44 . 2010-01-04 02:25 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\TuneUp Software

    2010-01-03 04:43 . 2010-01-03 04:43 -------- d-sh--w- c:\documents and settings\All Users\Dados de aplicativos\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}

    2009-12-31 08:24 . 2010-01-03 04:47 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\FreshDiagnose

    2009-12-28 02:25 . 2009-11-24 23:48 23120 ------w- c:\windows\system32\drivers\aswRdr.sys

    2009-12-28 02:24 . 2009-11-24 23:49 48560 ------w- c:\windows\system32\drivers\aswTdi.sys

    2009-12-28 02:24 . 2009-11-24 23:47 27408 ------w- c:\windows\system32\drivers\aavmker4.sys

    2009-12-28 02:24 . 2009-11-24 23:47 97480 ------w- c:\windows\system32\AvastSS.scr

    2009-12-28 02:24 . 2009-11-24 23:50 20560 ------w- c:\windows\system32\drivers\aswFsBlk.sys

    2009-12-28 02:24 . 2009-11-24 23:50 114768 ------w- c:\windows\system32\drivers\aswSP.sys

    2009-12-28 02:24 . 2009-11-24 23:51 93424 ------w- c:\windows\system32\drivers\aswmon.sys

    2009-12-28 02:24 . 2009-11-24 23:50 94160 ------w- c:\windows\system32\drivers\aswmon2.sys

    2009-12-28 02:24 . 2009-11-24 23:54 1280480 ------w- c:\windows\system32\aswBoot.exe

    2009-12-28 02:24 . 2009-12-28 02:24 -------- d-----w- c:\arquivos de programas\Alwil Software

    2009-12-27 22:05 . 2009-12-27 22:05 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Registry Mechanic

    2009-12-27 21:20 . 2010-01-11 20:53 -------- d-----w- c:\arquivos de programas\Windows Live Safety Center

    2009-12-27 19:21 . 2009-12-27 19:21 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Media Player Classic

    2009-12-27 17:01 . 2009-08-16 15:08 178176 ------w- c:\windows\system32\unrar.dll

    2009-12-26 08:45 . 2009-09-14 15:42 32272 ------w- c:\windows\system32\drivers\klim5.sys

    2009-12-26 06:26 . 2009-12-28 02:17 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Kaspersky Lab

    2009-12-21 05:30 . 1999-11-22 16:52 276992 ------w- c:\windows\system32\LFCMP11n.DLL

    2009-12-21 05:30 . 1999-11-22 15:51 118272 ------w- c:\windows\system32\ltfil11n.DLL

    2009-12-21 05:30 . 1999-11-22 15:51 262144 ------w- c:\windows\system32\LTDIS11n.dll

    2009-12-21 05:30 . 2009-12-21 05:34 -------- d-----w- c:\arquivos de programas\PowerPlugs

    2009-12-21 05:29 . 1998-10-29 18:45 306688 ------w- c:\windows\IsUninst.exe

    2009-12-19 09:59 . 2009-12-19 09:59 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\dvdcss

    .

    ((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

    .

    2010-01-17 01:10 . 2008-10-18 23:55 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Messenger Plus!

    2010-01-17 01:09 . 2008-10-18 23:53 -------- d-----w- c:\arquivos de programas\Messenger Plus! Live

    2010-01-16 05:11 . 2008-10-18 17:09 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

    2010-01-16 03:51 . 2008-10-18 17:09 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Atheros

    2010-01-15 04:49 . 2008-10-18 17:13 -------- d-----w- c:\arquivos de programas\Realtek

    2010-01-15 03:34 . 2008-12-28 19:56 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

    2010-01-14 20:52 . 2009-12-11 06:15 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\SpeedBit

    2010-01-14 20:52 . 2009-12-11 06:19 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\TEMP

    2010-01-11 21:13 . 2008-11-25 09:51 -------- d-----w- c:\arquivos de programas\GbPlugin

    2010-01-11 06:41 . 2008-10-22 03:51 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\MSN Pictures Displayer

    2010-01-08 02:34 . 2008-10-18 18:24 -------- d-----w- c:\arquivos de programas\CCleaner

    2010-01-06 21:32 . 2008-12-28 19:56 -------- d-----w- c:\arquivos de programas\Spybot - Search & Destroy

    2009-12-31 07:26 . 2008-04-14 12:00 700154 ------w- c:\windows\system32\perfh016.dat

    2009-12-31 07:26 . 2008-04-14 12:00 202350 ------w- c:\windows\system32\perfc016.dat

    2009-12-31 01:28 . 2009-09-28 21:45 2776 --sh--w- c:\windows\system32\KGyGaAvL.sys

    2009-12-24 05:05 . 2009-11-21 07:31 30601 ------w- c:\windows\java\x.exe

    2009-12-13 23:34 . 2009-12-13 23:34 -------- d-----w- c:\arquivos de programas\FreeTime

    2009-12-13 21:49 . 2008-10-18 17:12 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield

    2009-12-12 20:40 . 2009-12-05 02:22 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\NCH Swift Sound

    2009-12-12 16:06 . 2009-12-05 02:22 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\NCH Swift Sound

    2009-12-11 06:36 . 2008-11-25 09:51 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

    2009-11-29 04:35 . 2008-10-18 12:40 -------- d-----w- c:\arquivos de programas\Serviços on-line

    2009-11-21 15:58 . 2008-04-14 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll

    2009-11-08 07:47 . 2009-11-08 07:47 152576 -c----w- c:\documents and settings\Rafae\Dados de aplicativos\Sun\Java\jre1.6.0_17\lzma.dll

    2009-11-05 10:39 . 2009-11-11 03:42 87552 ------w- c:\windows\system32\cpwmon2k.dll

    2009-10-29 07:43 . 2008-04-14 12:00 832512 ------w- c:\windows\system32\wininet.dll

    2009-10-29 07:43 . 2008-04-14 12:00 78336 -c--a-w- c:\windows\system32\ieencode.dll

    2009-10-29 07:43 . 2008-04-14 12:00 17408 -c--a-w- c:\windows\system32\corpol.dll

    2009-10-22 17:40 . 2009-04-21 20:48 30504 ------w- c:\windows\system32\drivers\GbpKm.sys

    2009-10-21 05:39 . 2008-04-14 12:00 75776 -c--a-w- c:\windows\system32\strmfilt.dll

    2009-10-21 05:39 . 2008-04-14 12:00 25088 -c--a-w- c:\windows\system32\httpapi.dll

    2009-10-20 16:20 . 2008-04-14 12:00 265728 -c--a-w- c:\windows\system32\drivers\http.sys

    .

    (((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

    .

    .

    *Nota* entradas vazias e legítimas por defeito não são mostradas.

    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "MSMSGS"="c:\arquivos de programas\Messenger\msmsgs.exe" [2008-04-13 1695232]

    "SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Nero\Lib\NMBgMonitor.exe" [2007-09-20 202024]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

    "RTHDCPL"="RTHDCPL.EXE" [2009-12-13 16342528]

    "avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

    "ISUSScheduler"="c:\arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]

    "ISUSPM Startup"="c:\arquivos de programas\Arquivos comuns\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]

    "NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]

    "NBKeyScan"="c:\arquivos de programas\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\Administrador\Menu Iniciar\Programas\Inicializar\

    Internet Explorer.lnk - c:\arquivos de programas\Internet Explorer\IEXPLORE.EXE [2008-10-18 634632]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

    "XAudioService"=2 (0x2)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

    "NWEReboot"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

    "%windir%\\system32\\sessmgr.exe"=

    "c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

    "c:\\WINDOWS\\system32\\mmc.exe"=

    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [28/12/2009 00:24 114768]

    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [28/12/2009 00:24 20560]

    R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [25/11/2008 07:51 53800]

    R2 SentinelKeysServer;Sentinel Keys Server;c:\arquivos de programas\Arquivos comuns\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe [11/7/2008 02:02 328992]

    S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\GbpKm.sys [21/4/2009 18:48 30504]

    S2 SSIPDDP;SSIPDDP Parallel port device driver;c:\windows\system32\drivers\ssipddp.sys [2/9/2009 18:58 54272]

    S2 SteelKey;Steel & Graphics Hardware Protection System; [x]

    S3 sembbus;SEMC WMC Composite Device driver (WDM);c:\windows\system32\DRIVERS\sembbus.sys --> c:\windows\system32\DRIVERS\sembbus.sys [?]

    .

    Conteúdo da pasta 'Tarefas Agendadas'

    2010-01-17 c:\windows\Tasks\OGALogon.job

    - c:\windows\system32\OGAEXEC.exe [2009-08-03 18:07]

    2010-01-16 c:\windows\Tasks\User_Feed_Synchronization-{B605006D-EC1A-4669-A4DF-E9D27F72059B}.job

    - c:\windows\system32\msfeedssync.exe [2007-08-13 20:36]

    .

    .

    ------- Scan Suplementar -------

    .

    uStart Page = about:blank

    uInternet Settings,ProxyOverride = local

    IE: Add to Google Photos Screensa&ver

    IE: E&xportar para o Microsoft Excel

    FF - ProfilePath - c:\documents and settings\Rafae\Dados de aplicativos\Mozilla\Firefox\Profiles\ulayf9yk.Gabii\

    FF - prefs.js: browser.startup.homepage - about:blank

    FF - plugin: c:\arquivos de programas\Microsoft\Office Live\npOLW.dll

    FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\npOGAPlugin.dll

    FF - plugin: c:\arquivos de programas\Windows Live\Photo Gallery\NPWLPG.dll

    FF - plugin: c:\documents and settings\Rafae\Dados de aplicativos\Mozilla\plugins\npPxPlay.dll

    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- FIREFOX POLICIES ----

    FF - user.js: network.http.max-persistent-connections-per-server - 4

    FF - user.js: nglayout.initialpaint.delay - 600

    FF - user.js: content.notify.interval - 600000

    FF - user.js: content.max.tokenizing.time - 1800000

    FF - user.js: content.switch.threshold - 600000

    c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

    .

    - - - - ORFÃOS REMOVIDOS - - - -

    BHO-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

    Notify- GbPluginCef - c:\arquivos de programas\GbPlugin\gbiehcef.dll

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

    Rootkit scan 2010-01-16 23:22

    Windows 5.1.2600 Service Pack 3 NTFS

    Procurando processos ocultos ...

    Procurando entradas auto inicializáveis ocultas ...

    Procurando ficheiros/arquivos ocultos ...

    Varredura completada com sucesso

    arquivos/ficheiros ocultos: 0

    **************************************************************************

    .

    --------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]

    "6140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

    .

    Tempo para conclusão: 2010-01-16 23:24:01

    ComboFix-quarantined-files.txt 2010-01-17 01:23

    ComboFix2.txt 2010-01-11 21:18

    Pré-execução: 12 pasta(s) 68.456.062.976 bytes disponíveis

    Pós execução: 13 pasta(s) 68.436.738.048 bytes disponíveis

    Current=4 Default=4 Failed=3 LastKnownGood=1 Sets=1,2,3,4

    - - End Of File - - 9EADAB4F41BC6DB6DB3286E3BA9EFC6D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Caro Rafaelhos

    Etapa nº 1 #

    Preciso que me envie um arquivo para análise. Faça uma cópia deste arquivo (não execute): c:\windows\java\x.exe

    Coloque-o numa pasta, compacte-a e me envie para o e-mail que lhe passei por MP ;)

    Obrigado :)

    Etapa nº 2 #

    Leia atentamente toda a instrução abaixo antes de executar o programa.

    Faça download do Kaspersky Removal Tool e salve em seu desktop.

    • Instale o programa normalmente, seguindo todas as instruções.
    • Uma pasta chamada Virus Removal Tool será criada no desktop.
    • Na tela do programa clique nas opções:
      • Meu computador
      • Hidden Startup objects
      • Disk boot sectors
      • System Memory

      [*]Clique no botão Start Scan.[*]Seja paciente, o scan é demorado![*]Conforme for scaneando provavelmente abrirá algumas janelas pequenas ao lado do relógio, não clique em nada.[*]Também há uma possibilidade de abrir uma janela maior contendo as seguintes opções:

      • Desinfection (quando possível)
      • Delete
      • Skip
    • Quando aparecer, marque primero a opção abaixo Apply to all objects e depois clique numa das opções acima.
    • Após completar tudo, clique no botão Reports, na janela que abrir nas opções acima deixe:
      • Autoscan
      • Group by result
      • All Events

      [*]Expanda Autoscan clicando no sinal ao lado de +[*]Expanda Result: Detected.[*]Clique com o botão direito do mouse e escolha Select all, e depois escolha Copy.[*]Atenção, ao fazer isso parece que o PC travou, mas não, aguarde uns minutos para liberar a memória.[*]Abra o Bloco de Notas e cole (ctrl + v) [*]Dê um nome para o arquivo e salve numa pasta de sua preferência.[*]Feche o resultado clicando no botão Exit.[*]Ao fazer isso será questionado se quer desinstalar a ferramenta, clique em Sim.[*]Reinicie o computador quando for pedido.[*]Poste o conteúdo desse arquivo em sua próxima resposta.

    OBSERVAÇÃO1:
    Atente para as janelas durante o scan elas possuem cores diferentes dependendo do risco. Portanto,
    • verde
      :
      baixo risco
    • amarelo
      :
      médio risco
    • vermelho
      :
      alto risco

    Antes de tomar qualquer medida verifique com cuidado o caminho/nome do arquivo para ver é de seu conhecimento, caso seja clique em
    Skip
    .

    OBSERVAÇÃO2:
    Se no resultado final do scan apenas tiver
    Result:
    OK
    , não precisa gerar um relatório, apenas informe deste.

    OBSERVAÇÃO3:
    Durante o scan pode ser que o Kaspersky acuse a seguinte pasta com vírus:
    c:\
    QooBox
    . Caso isto aconteça escolha a opção
    Skip
    , pois a mesma pertence ao
    ComboFix
    e será removida quando o mesmo for desinstalado.

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Diego o arquivo foi enviado para seu email !

    Fiz todos os procedimentos com o Kaspersky Removal Tool e não detectou nada, consequentemente nao gerou nenhum log !

    Abraços

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Caro Rafaelhos

    Fiz um novo scan no arquivo que me enviou, também não foi encontrado nada. Vou enviá-lo para amigos para uma análise mais aprofundada, caso encontre algo entro em contato com você por MP :)

    No mais vamos dar por finalizado :hehehe:

    >>>> Como está o computador?

    # Etapa nº 1 #

    Vamos desinstalar o ComboFix:

    Vá em,

    iniciar > executar e digite Combofix /Uninstall e clique OK, na janela que aparecer clique em executar e aguarde o programa ser removido!

    # Etapa nº 2 #

    Faça download do OTC by OldTimer e salve em seu desktop.

    • Clique duas vezes no ícone 4142006426_4719050954_o.gif
    • Clique em executar;
    • Clique em seu único botão (imagem abaixo):
      4141259853_5a542d5908_o.jpg
    • Permita que seu computador seja reiniciado.

    # Etapa nº 3 #

    1) Atualize o Internet Explorer (IE), o seu está com o IE6/IE7 coloque o IE8;

    Internet Explorer 8

    Download Aqui

    2) O seu Java está desatualizado.

    Versões antigas e desatualizadas, são mais vulneráveis aos malwares.

    • Faça o download da última versão do Java Runtime Environment (JRE) e salve em seu Desktop.
    • Localize o Java Runtime Environment (JRE) 6 Update 18.
    • À sua direita clique em Download.
    • Selecione a sua Plataforma.
    • Marque a caixa I agree to the Java SE Runtime Environment 6u18 with JavaFX 1 License Agreement
    • Clique em Continue
    • Clique no link Windows Offline Installation e salve o arquivo em seu Desktop.
    • Feche todos os programas. especialmente o seu Navegador (IE, Firefox, etc)
    • Clique em iniciar > painel de controle > clique duas vezes em adicionar/remover programas e desinstale todas as versões antigas do Java (JRE ou J2SE).Deverá ter um icone como este javaicon.jpg
    • Clique em Remover.
    • Repita tantas vezes for necessário até que tenha removido todas as versões antigas do Java que existam em seu PC.
    • Reinicie o computador...
    • Agora clique duas vezes em jre-6u18-windows-i586.exe que acabara de baixar e siga os passos de instalação da nova versão do Java!

    # Etapa nº 4 #

    <<@>> Instale o CCleaner

    O CCleaner é um excelente utilitário de limpeza para o computador, que lhe ajudará no desempenho do computador. Faça o download dele aqui CCleaner


    • IMPORTANTE: Após a instalação vá até o local onde o programa foi instalado, C:\Arquivos de programas\CCleaner, clique duas vezes na pasta, numa área vazia desta janela, clique com o botão direito do mouse e escolha Novo > pasta e crie uma nova pasta; coloque o nome de backups!
    • Abra o programa e clique em Executar Limpeza;
    • clique no botão Registro > Procurar Erros > Corrigir erro(s) seleciona(s)...
      Obs: Não se esqueça de aceitar o backup das correções, e salvá-los nas pasta criada acima!

    <<@>> Mantenha sempre seu Windows atualizado; mantenha uma vigilância constante com o firewall e antivírus e por fim, lembre-se que, a melhor forma de prevenir começa pelas nossas atitudes!

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Olá Diego...

    Fiz todos os procedimentos que você explicou acima...

    Obrigado pelos alertas do internet Explorer e do Java...

    Fico no aguardo de noticias sobre uma análise mais profunda do meu Log.

    Preciso que me informe os procedimentos corretos sobre usuários, eu uso somente 1 que é o administrador e coloquei senha...mais em alguns lugares aparecem outros usuários...

    Tenho que criar outro tópico?

    Desde já agradeço a disponibilidade de me ajudar.

    você está de parabéns !

    Grande abraço

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Caro Rafaelhos

    Fico no aguardo de noticias sobre uma análise mais profunda do meu Log.
    Seu log já foi bem analisado... o problema era com este arquivo: c:\windows\java\x.exe. E agora já sei que ele é legítimo e pertence a este pacote: http://www.duckware.com/jexepack/index.html

    Caso desejar pode deletá-lo sem problemas :)

    Preciso que me informe os procedimentos corretos sobre usuários, eu uso somente 1 que é o administrador e coloquei senha...mais em alguns lugares aparecem outros usuários...
    Não entendi sua pergunta :confused:
    você está de parabéns !
    :joia:

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • quis dizer sobre os contas de usuários.

    Eu uso só 1 conta, que coloquei meu nome e senha....sempre como ligo o computador mostra somente minha conta e pede a minha senha...

    A conta de convidado está desativada....

    Essa minha conta é a conta Administrador do computador, portanto só uso ela.

    Essa é a maneira correta? Já ouvi falar que não se deve usar a conta como administrador.

    E tem algumas coisas que fala que eu não tenho permissão para fazer uma tal alteração, diz que eu tenho que estar logado como administrador...Mais eu já estou entende?

    Abraços

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Caro Rafaelhos

    Eu uso só 1 conta, que coloquei meu nome e senha....sempre como ligo o computador mostra somente minha conta e pede a minha senha...
    Está certo...
    Essa minha conta é a conta Administrador do computador, portanto só uso ela.

    Essa é a maneira correta? Já ouvi falar que não se deve usar a conta como administrador.

    E tem algumas coisas que fala que eu não tenho permissão para fazer uma tal alteração, diz que eu tenho que estar logado como administrador...Mais eu já estou entende?

    Creio que está fazendo confusão. Quando você instala o XP ele cria automaticamente uma conta de administrador e pede uma senha, que você escolhe, logo depois, ele pede para criar uma nova conta. Se só tiver uma está também será administrador, mas como você definiu uma senha para ela, e se está senha for diferente da conta administrador então, qualquer alteração que esta sua conta não possa vai ser barrada e terá que fazer pela conta administrador.

    Verifique no Painel de controle, em Constas de usuários, se realmente só existe a sua conta, caso sim retire a senha e tenta fazer algo que não podia.

    Pergunta: foi você quem instalou o XP?

    Abraços :D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Não foi eu que instalei nao !

    intao mais tipo, em varios lugares eu vejo vários usuários como por exemplo no c: documents and setings...tem as seguintes pastas...

    administrador

    all users

    convidado

    rafa

    rafae

    porque tem essas pastas no c: e nas contas de usuarios nao tem nadaa?

    Abs

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Caro Rafaelhos

    porque tem essas pastas no c: e nas contas de usuarios nao tem nadaa?
    Pode ser pastas de usuários desativados mas, eu não as deletaria.

    Procure aqui no fórum algo relacionado ao seu problema, caso não encontre abra um tópico na área deste problema :)

    Posso dar como Resolvido?

    Abraços :D

    Editado por diego_moicano
    correção.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Pode sim diego...

    Agradeço mais uma vez pela ateção!

    Abs

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Caso o autor do tópico necessite, o mesmo será reaberto, para isso deverá entrar em contato com a moderação solicitando o desbloqueio.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×