Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
tatui

trojan horse clicker.fr + algum e desktop

Recommended Posts

bom dia minha maquina esta infectada.... preciso trabalhar!!! por favor me ajudem....

este é meu log:

Logfile of HijackThis v1.99.1

Scan saved at 10:18:29, on 06/07/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\System32\alg.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\UOL\Barra UOL\ubphost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\usuario\Desktop\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O1 - Hosts: localhost 127.0.0.1

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\WINDOWS\System32\scpsssh2.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.4000.1001\pt-br\msntb.dll (file missing)

O3 - Toolbar: Barra UOL - {5BBFC00A-312C-4777-A5DF-DDA65C67120C} - C:\Arquivos de programas\UOL\Barra UOL\ubp.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [udxkl.exe] C:\WINDOWS\System32\udxkl.exe

O4 - Startup: PowerReg Scheduler.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Liberar pop-ups desta página - res://C:\Arquivos de programas\UOL\Barra UOL\ubp.dll/3028

O8 - Extra context menu item: Liberar pop-ups deste site - res://C:\Arquivos de programas\UOL\Barra UOL\ubp.dll/3027

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab

O16 - DPF: {21F49842-BFA9-11D2-A89C-00104B62BDDA} (ChartFX IE 2000 Control) - http://www2.bmf.com.br/download/CfxIEAx.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://wwwss.bradesco.com.br/ib2k1/scpsssh2.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab28578.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/mcgdmg...,20/mcgdmgr.cab

O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol.com.br/discadorUOL/lig...tiveInstall.cab

O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/wi...rInstall_br.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CAAE0065-0A6D-4F24-9902-553EEA8985A2}: NameServer = 85.255.115.51,85.255.112.187

O17 - HKLM\System\CCS\Services\Tcpip\..\{E2F4C22F-E88A-45F9-A3A8-E47A7EBC294F}: NameServer = 85.255.115.51,85.255.112.187

O17 - HKLM\System\CCS\Services\Tcpip\..\{F989CB34-61CB-4868-A8C8-A346840061A4}: NameServer = 85.255.115.51 85.255.112.187

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.51 85.255.112.187

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.51 85.255.112.187

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.51 85.255.112.187

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá

Meu nome é Ida

Peço que sempre responda o tópico informando todos os detalhes do que aconteceu enquanto você seguia os passos que eu vou lhe dar a seguir. Peço que siga todas as instruções sempre até o fim, pois todos os passos são necessários.

Se um log for pedido no fim, não esqueça de colocá-lo. Pode ser que as infecções tenham saído, mas realmente não saíram com o log, podemos verificar se tudo realmente ficou de acordo.

1.Faça um log do Silent Runners:

http://www.silentrunners.org

Rode-o. Ele vai gerar um log, anexe-o na resposta.

Nota Importante: Você precisa do WMI para rodar o Silent Runners. Se o seu computador não tiver o WMI instalado, o Silent Runners vai te direcionar até o site da Microsoft, onde você deverá fazer o download do WMI, reiniciar o computador e depois fazer o log.

Obs: Libere a execução do script se o seu antivírus reclamar. O Silent Runners não é um script malicioso.

Faça o seguinte:

2.Faça o download do F-Secure Blacklight:

http://www.europe.f-secure.com/exclude/blacklight/blbeta.exe

http://www.europe.f-secure.com/exclude/redirect.html

http://www.f-secure.com/blacklight/try.shtml

Salve-o na área de trabalho e execute-o fechando todos os programas e janelas.

• Duplo clique em blbeta.exe

• Aceite o acordo e clica em NEXT

Na janela Step 1: Scan for hidden items. Clique em scan.

Se ele encontrar qualquer arquivo, ignore. Queremos apenas o log.

Se alguma coisa aparecer mande o Blacklight renomear, com exceção dos arquivos:

• wbemtest.exe

• explorer.exe

• winlogon.exe

Esses arquivos são legítimos e podem ser detectados incorretamente pelo BlackLight, portantto ignore-os.

Ao final do scan, o botão Show all processes aparece. O log está no mesmo diretório do executável anexe o arquivo fsb-xxxxx.log (onde xxx são números) na sua resposta

3) O mais importante

Vá ao painel de controle/conexões de rede/propriedades/geral/protocolo de TCP/IP/propriedades/geral. Talvez conste lá os seguintes números:

Serviço DNS preferencial 85.255...

Serviço DNS secundários 85.255...

Estes dois DNS (provavelmente da Ulcrânia) foram alocados pelo malware, sem seu consentimento, são maliciosos e redirecionam para sites que instalam programas anti spywares que na verdade são portadores de malwares enganando usuários em geral.

A sua conexão a internet pode para de funcionar ao tentar removê-los. Por conseguinte terá que reconfigurá-los para usar os servidores de DNS do seu provedor. Entre em contato com o suporte

e peça instruções para ajustar o endereço dos servidores DNS na sua conexão.

Geralmente os DNS daqui começam com .... 200.255…..

Fica assim Post

log Silent / log BL /e o + importante... qual seu verdadeiro DNS

post-25482-13884917535123_thumb.gif

post-25482-13884917535233_thumb.gif

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

:( não consigo baixar o BLACKLIGHT!!!!

já corrigi o DNS

o log atual é este:

"Silent Runners.vbs", revision 46, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:

---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"AVG7_CC" = "C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]

"SunJavaUpdateSched" = "C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]

"dmryp.exe" = "C:\WINDOWS\System32\dmryp.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{2E3C3651-B19C-4DD9-A979-901EC3E930AF}\(Default) = "CompSegIB"

-> {HKLM...CLSID} = "ssh2 Class"

\InProcServer32\(Default) = "C:\WINDOWS\System32\scpsssh2.dll" ["Scopus Tecnologia Ltda"]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)

-> {HKLM...CLSID} = "SSVHelper Class"

\InProcServer32\(Default) = "C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

{C41A1C0E-EA6C-11D4-B1B8-444553540000}\(Default) = "G-Buster Browser Defense"

-> {HKLM...CLSID} = "GbIehObj Class"

\InProcServer32\(Default) = "C:\WINDOWS\Downloaded Program Files\gbieh.dll" ["Banco do Brasil"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extensão do 'Painel de controle' para panorâmica de vídeo"

-> {HKLM...CLSID} = "Extensão do 'Painel de controle' para panorâmica de vídeo"

\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extensão de ícone do HyperTerminal"

-> {HKLM...CLSID} = "HyperTerminal Icon Ext"

\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Ida, muito obrigado por sua atenção. Seguem os LOGS, como faço para arrumar o fundo do meu desktop.

"Silent Runners.vbs", revision 46, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:

---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"AVG7_CC" = "C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]

"SunJavaUpdateSched" = "C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]

"dmfrt.exe" = "C:\WINDOWS\System32\dmfrt.exe" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{2E3C3651-B19C-4DD9-A979-901EC3E930AF}\(Default) = "CompSegIB"

-> {HKLM...CLSID} = "ssh2 Class"

\InProcServer32\(Default) = "C:\WINDOWS\System32\scpsssh2.dll" ["Scopus Tecnologia Ltda"]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)

-> {HKLM...CLSID} = "SSVHelper Class"

\InProcServer32\(Default) = "C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

{C41A1C0E-EA6C-11D4-B1B8-444553540000}\(Default) = "G-Buster Browser Defense"

-> {HKLM...CLSID} = "GbIehObj Class"

\InProcServer32\(Default) = "C:\WINDOWS\Downloaded Program Files\gbieh.dll" ["Banco do Brasil"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extensão do 'Painel de controle' para panorâmica de vídeo"

-> {HKLM...CLSID} = "Extensão do 'Painel de controle' para panorâmica de vídeo"

\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extensão de ícone do HyperTerminal"

-> {HKLM...CLSID} = "HyperTerminal Icon Ext"

\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

-> {HKLM...CLSID} = "Extensão de ícone de arquivo do Outlook"

\InProcServer32\(Default) = "C:\Arquivos de programas\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

-> {HKLM...CLSID} = (no title provided)

\InProcServer32\(Default) = "C:\Arquivos de programas\Microsoft Office\Office10\msohev.dll" [MS]

"{5E44E225-A408-11CF-B581-008029601108}" = "Adaptec DirectCD Shell Extension"

-> {HKLM...CLSID} = "Adaptec DirectCD Shell Extension"

\InProcServer32\(Default) = "C:\ARQUIV~1\Adaptec\EASYCD~1\DirectCD\Shellex.dll" ["Roxio"]

"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"

-> {HKLM...CLSID} = "AVG7 Shell Extension Class"

\InProcServer32\(Default) = "C:\Arquivos de programas\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"

-> {HKLM...CLSID} = "AVG7 Find Extension Class"

\InProcServer32\(Default) = "C:\Arquivos de programas\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Explorer da área de trabalho"

-> {HKLM...CLSID} = "Explorer da área de trabalho"

\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"

-> {HKLM...CLSID} = (no title provided)

\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{E37CB5F0-51F5-4395-A808-5FA49E399F83}" = "GbPlugin ShlObj"

-> {HKLM...CLSID} = "GbPluginObj Class"

\InProcServer32\(Default) = "C:\WINDOWS\Downloaded Program Files\gbieh.dll" ["Banco do Brasil"]

"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"

-> {HKLM...CLSID} = "Portable Media Devices"

\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

-> {HKLM...CLSID} = "Portable Media Devices Menu"

\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]

"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\ARQUIV~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\ARQUIV~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\ARQUIV~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\ARQUIV~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32\(Default) = "C:\Arquivos de programas\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

INFECTION WARNING! "{E37CB5F0-51F5-4395-A808-5FA49E399F83}" = "GbPlugin ShlObj"

-> {HKLM...CLSID} = "GbPluginObj Class"

\InProcServer32\(Default) = "C:\WINDOWS\Downloaded Program Files\gbieh.dll" ["Banco do Brasil"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

INFECTION WARNING! "System" = "cssye.exe" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"

-> {HKLM...CLSID} = "AVG7 Shell Extension Class"

\InProcServer32\(Default) = "C:\Arquivos de programas\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32\(Default) = "C:\Arquivos de programas\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\ARQUIV~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

ZipItFast!\(Default) = "{00000001-0001-0001-0001-000000000019}"

-> {HKLM...CLSID} = "ZipItFast! - Add to archive..."

\InProcServer32\(Default) = "C:\zipitpro\zShellAd.dll" ["MicroSmarts Enterprise"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32\(Default) = "C:\Arquivos de programas\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\ARQUIV~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

ZipItFast!\(Default) = "{00000001-0001-0001-0001-000000000019}"

-> {HKLM...CLSID} = "ZipItFast! - Add to archive..."

\InProcServer32\(Default) = "C:\zipitpro\zShellAd.dll" ["MicroSmarts Enterprise"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"

-> {HKLM...CLSID} = "AVG7 Shell Extension Class"

\InProcServer32\(Default) = "C:\Arquivos de programas\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32\(Default) = "C:\Arquivos de programas\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\ARQUIV~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

ZipItFast!\(Default) = "{00000001-0001-0001-0001-000000000019}"

-> {HKLM...CLSID} = "ZipItFast! - Add to archive..."

\InProcServer32\(Default) = "C:\zipitpro\zShellAd.dll" ["MicroSmarts Enterprise"]

Group Policies [Description] {enabled Group Policy setting}:

------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

HIJACK WARNING! "NoBandCustomize"=dword:00000001

[disables toolbar status changes in Internet Explorer|View|Toolbars]

{User Configuration|Administrative Templates|Windows Components|

Internet Explorer|Toolbars|Disable customizing browser toolbars}

Active Desktop and Wallpaper:

-----------------------------

Active Desktop is enabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\Documents and Settings\usuario\Configurações locais\Dados de aplicativos\Microsoft\Wallpaper1.bmp"

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\

"FriendlyName" = "Security"

"Source" = "C:\WINDOWS\desktop.html"

"SubscribedURL" = "C:\WINDOWS\desktop.html"

Enabled Screen Saver:

---------------------

HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\System32\scrnsave.scr" [MS]

Startup items in "usuario" & "All Users" startup folders:

---------------------------------------------------------

C:\Documents and Settings\usuario\Menu Iniciar\Programas\Inicializar

INFECTION WARNING! "PowerReg Scheduler.exe" [empty string]

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar

"Adobe Gamma Loader" -> shortcut to: "C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]

Enabled Scheduled Tasks:

------------------------

"Symantec NetDetect" -> launches: "C:\Arquivos de programas\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]

Winsock2 Service Provider DLLs:

-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:

------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}"

-> {HKLM...CLSID} = "MSN"

\InProcServer32\(Default) = "C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.4000.1001\pt-br\msntb.dll" [file not found]

"{5BBFC00A-312C-4777-A5DF-DDA65C67120C}"

-> {HKLM...CLSID} = "Barra UOL"

\InProcServer32\(Default) = "C:\Arquivos de programas\UOL\Barra UOL\ubp.dll" ["Universo Online S/A"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\

"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = "0"

-> {HKLM...CLSID} = "MSN"

\InProcServer32\(Default) = "C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.4000.1001\pt-br\msntb.dll" [file not found]

"{5BBFC00A-312C-4777-A5DF-DDA65C67120C}" = (no title provided)

-> {HKLM...CLSID} = "Barra UOL"

\InProcServer32\(Default) = "C:\Arquivos de programas\UOL\Barra UOL\ubp.dll" ["Universo Online S/A"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Console"

"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"

-> {HKCU...CLSID} = "Java Plug-in"

\InProcServer32\(Default) = "C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"

\InProcServer32\(Default) = "C:\Arquivos de programas\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Arquivos de programas\Messenger\MSMSGS.EXE" [MS]

Miscellaneous IE Hijack Points

------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):

[strings]: SEARCH_PAGE_URL="&http://home.microsoft.com/intl/br/access/allinone.asp"

[strings]: SAFESITE_VALUE="search.msn.com.br"

Missing lines (compared with English-language version):

[strings]: 2 lines

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

"{1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3}" = "dummy"

-> {HKLM...CLSID} = "CUOLSearchHook Object"

\InProcServer32\(Default) = "C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll" ["Universo Online S/A"]

HOSTS file

----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 1 domain name to an IP address,

1 of the IP addresses is *not* localhost!

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

AVG7 Alert Manager Server, Avg7Alrt, "C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe" ["GRISOFT, s.r.o."]

AVG7 Update Service, Avg7UpdSvc, "C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe" ["GRISOFT, s.r.o."]

NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]

SmartLinkService, SLService, "slserv.exe" [" "]

Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]

Print Monitors:

---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\

hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]

----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

DLL launch points and all Registry CLSIDs for dormant Explorer Bars,

use the -supp parameter or answer "No" at the first message box.

---------- (total run time: 3226 seconds, including 5 seconds for message boxes)

BL

07/08/06 12:36:07 [info]: BlackLight Engine 1.0.42 initialized

07/08/06 12:36:07 [info]: OS: 5.1 build 2600 ()

07/08/06 12:36:07 [Note]: 7019 4

07/08/06 12:36:07 [Note]: 7005 0

07/08/06 12:36:14 [Note]: 7006 0

07/08/06 12:36:14 [Note]: 7011 1624

07/08/06 12:36:14 [Note]: 7026 0

07/08/06 12:36:14 [Note]: 7026 0

07/08/06 12:36:39 [Note]: FSRAW library version 1.7.1019

07/08/06 12:56:04 [info]: Hidden file: c:\WINDOWS\system32\kilacln.exe

07/08/06 12:56:04 [Note]: 10002 1

07/08/06 12:56:05 [info]: Hidden file: c:\WINDOWS\system32\cssye.exe

07/08/06 12:56:05 [Note]: 7002 32

07/08/06 12:56:05 [Note]: 7003 1

07/08/06 12:56:05 [Note]: 10002 1

07/08/06 12:56:07 [info]: Hidden file: c:\WINDOWS\system32\dmfrt.exe

07/08/06 12:56:07 [Note]: 7002 32

07/08/06 12:56:07 [Note]: 7003 1

07/08/06 12:56:07 [Note]: 10002 1

07/08/06 12:56:14 [info]: Hidden file: c:\WINDOWS\system32\{416F505A-CCE8-436E-A186-DD5953C34765}.exe

07/08/06 12:56:14 [Note]: 7002 5

07/08/06 12:56:14 [Note]: 7003 1

07/08/06 12:56:14 [Note]: 10002 1

07/08/06 12:56:15 [info]: Hidden file: c:\WINDOWS\system32\{5DBF191E-F715-449B-9866-C49C733F1600}.exe

07/08/06 12:56:15 [Note]: 10002 1

07/08/06 12:56:15 [info]: Hidden file: c:\WINDOWS\system32\{A8C00726-49D4-47B6-B846-B2484CF0BD97}.exe

07/08/06 12:56:15 [Note]: 7002 5

07/08/06 12:56:15 [Note]: 7003 1

07/08/06 12:56:15 [Note]: 10002 1

07/08/06 12:56:16 [info]: Hidden file: c:\WINDOWS\system32\{C886348A-0767-4247-9311-43C016A53314}.exe

07/08/06 12:56:16 [Note]: 7002 5

07/08/06 12:56:16 [Note]: 7003 1

07/08/06 12:56:16 [Note]: 10002 1

07/08/06 12:56:23 [info]: Hidden file: c:\WINDOWS\system32\{0133268E-6420-43E1-A947-A6DD14BC6EC1}.exe

07/08/06 12:56:23 [Note]: 7002 5

07/08/06 12:56:23 [Note]: 7003 1

07/08/06 12:56:23 [Note]: 10002 1

07/08/06 12:56:24 [info]: Hidden file: c:\WINDOWS\system32\{02D5BEA5-ABE7-410C-B3BC-D1845B578F2A}.exe

07/08/06 12:56:24 [Note]: 7002 5

07/08/06 12:56:24 [Note]: 7003 1

07/08/06 12:56:24 [Note]: 10002 1

07/08/06 12:56:24 [info]: Hidden file: c:\WINDOWS\system32\{047D6A2F-203F-4A39-AA0D-6F61F6D4D68A}.exe

07/08/06 12:56:24 [Note]: 7002 5

07/08/06 12:56:24 [Note]: 7003 1

07/08/06 12:56:24 [Note]: 10002 1

07/08/06 12:56:24 [info]: Hidden file: c:\WINDOWS\system32\{089ADD1F-8409-4A34-A1ED-91B793457761}.exe

07/08/06 12:56:24 [Note]: 7002 5

07/08/06 12:56:24 [Note]: 7003 1

07/08/06 12:56:24 [Note]: 10002 1

07/08/06 12:56:25 [info]: Hidden file: c:\WINDOWS\system32\{0968FBFF-1A0F-40DB-8612-20EF331160B5}.exe

07/08/06 12:56:25 [Note]: 7002 5

07/08/06 12:56:25 [Note]: 7003 1

07/08/06 12:56:25 [Note]: 10002 1

07/08/06 12:56:25 [info]: Hidden file: c:\WINDOWS\system32\{0D8EFFAB-FD39-49C1-B592-0AE6F68B7EFB}.exe

07/08/06 12:56:25 [Note]: 7002 5

07/08/06 12:56:25 [Note]: 7003 1

07/08/06 12:56:25 [Note]: 10002 1

07/08/06 12:56:25 [info]: Hidden file: c:\WINDOWS\system32\{166B6EEA-7CF8-45D1-94E7-E0F05612A36A}.exe

07/08/06 12:56:25 [Note]: 7002 5

07/08/06 12:56:25 [Note]: 7003 1

07/08/06 12:56:25 [Note]: 10002 1

07/08/06 12:56:25 [info]: Hidden file: c:\WINDOWS\system32\{193502CD-BC54-4F13-A48E-4D35573E5D6B}.exe

07/08/06 12:56:25 [Note]: 7002 5

07/08/06 12:56:25 [Note]: 7003 1

07/08/06 12:56:25 [Note]: 10002 1

07/08/06 12:56:26 [info]: Hidden file: c:\WINDOWS\system32\{2136D7E4-612F-43CB-AD2A-8BF5F22D1171}.exe

07/08/06 12:56:26 [Note]: 7002 5

07/08/06 12:56:26 [Note]: 7003 1

07/08/06 12:56:26 [Note]: 10002 1

07/08/06 12:56:26 [info]: Hidden file: c:\WINDOWS\system32\{6753FAED-2A7E-4E99-A07D-2FD00B92834B}.exe

07/08/06 12:56:26 [Note]: 7002 5

07/08/06 12:56:26 [Note]: 7003 1

07/08/06 12:56:26 [Note]: 10002 1

07/08/06 12:56:27 [info]: Hidden file: c:\WINDOWS\system32\{74FA58E9-9BA9-4111-9512-F5543891B3B9}.exe

07/08/06 12:56:27 [Note]: 7002 5

07/08/06 12:56:27 [Note]: 7003 1

07/08/06 12:56:27 [Note]: 10002 1

07/08/06 12:56:27 [info]: Hidden file: c:\WINDOWS\system32\{75602B78-7C5B-4386-B5F8-7E1E5CBDCA46}.exe

07/08/06 12:56:27 [Note]: 7002 5

07/08/06 12:56:27 [Note]: 7003 1

07/08/06 12:56:27 [Note]: 10002 1

07/08/06 12:56:27 [info]: Hidden file: c:\WINDOWS\system32\{895FD307-B077-4E90-8FF3-3FF278032962}.exe

07/08/06 12:56:27 [Note]: 7002 5

07/08/06 12:56:27 [Note]: 7003 1

07/08/06 12:56:27 [Note]: 10002 1

07/08/06 12:56:27 [info]: Hidden file: c:\WINDOWS\system32\{8F0EA7DE-99D8-4E8F-8DAA-7D1CEF5DF6E3}.exe

07/08/06 12:56:27 [Note]: 7002 5

07/08/06 12:56:27 [Note]: 7003 1

07/08/06 12:56:27 [Note]: 10002 1

07/08/06 12:56:28 [info]: Hidden file: c:\WINDOWS\system32\{A7C5FD2D-01D4-4934-A74E-F1056316E3AA}.exe

07/08/06 12:56:28 [Note]: 7002 5

07/08/06 12:56:28 [Note]: 7003 1

07/08/06 12:56:28 [Note]: 10002 1

07/08/06 12:56:28 [info]: Hidden file: c:\WINDOWS\system32\{28D6D36C-F4A9-4048-B14A-EC27A5FF7695}.exe

07/08/06 12:56:28 [Note]: 7002 5

07/08/06 12:56:28 [Note]: 7003 1

07/08/06 12:56:28 [Note]: 10002 1

07/08/06 12:56:28 [info]: Hidden file: c:\WINDOWS\system32\{2C96A3CC-3175-4737-9716-3FB1F4F09DF3}.exe

07/08/06 12:56:28 [Note]: 7002 5

07/08/06 12:56:28 [Note]: 7003 1

07/08/06 12:56:28 [Note]: 10002 1

07/08/06 12:56:29 [info]: Hidden file: c:\WINDOWS\system32\{37E12BDF-9DB5-4AB4-917C-1E6D9BC21A36}.exe

07/08/06 12:56:29 [Note]: 7002 5

07/08/06 12:56:29 [Note]: 7003 1

07/08/06 12:56:29 [Note]: 10002 1

07/08/06 12:56:29 [info]: Hidden file: c:\WINDOWS\system32\{39759BDF-D733-4867-8A88-84B1D5DB2E01}.exe

07/08/06 12:56:29 [Note]: 7002 5

07/08/06 12:56:29 [Note]: 7003 1

07/08/06 12:56:29 [Note]: 10002 1

07/08/06 12:56:29 [info]: Hidden file: c:\WINDOWS\system32\{3A5E858E-8592-4017-B758-A7EC593B5430}.exe

07/08/06 12:56:29 [Note]: 7002 5

07/08/06 12:56:29 [Note]: 7003 1

07/08/06 12:56:29 [Note]: 10002 1

07/08/06 12:56:30 [info]: Hidden file: c:\WINDOWS\system32\{3E264B5C-F5AC-4FA2-868A-0CF4BA921EBA}.exe

07/08/06 12:56:30 [Note]: 7002 5

07/08/06 12:56:30 [Note]: 7003 1

07/08/06 12:56:30 [Note]: 10002 1

07/08/06 12:56:30 [info]: Hidden file: c:\WINDOWS\system32\{3EB8A149-FF27-4108-B26A-E1EC10CAEE56}.exe

07/08/06 12:56:30 [Note]: 7002 5

07/08/06 12:56:30 [Note]: 7003 1

07/08/06 12:56:30 [Note]: 10002 1

07/08/06 12:56:30 [info]: Hidden file: c:\WINDOWS\system32\{CCA18A10-5A89-498A-A6DE-FFEDEF2D9806}.exe

07/08/06 12:56:30 [Note]: 7002 5

07/08/06 12:56:30 [Note]: 7003 1

07/08/06 12:56:30 [Note]: 10002 1

07/08/06 12:56:31 [info]: Hidden file: c:\WINDOWS\system32\{CE348E0A-92B9-401A-8C0A-D2EDF95589F0}.exe

07/08/06 12:56:31 [Note]: 7002 5

07/08/06 12:56:31 [Note]: 7003 1

07/08/06 12:56:31 [Note]: 10002 1

07/08/06 12:56:31 [info]: Hidden file: c:\WINDOWS\system32\{D88923F4-BCA0-48BB-B8EE-F9F8F2F65262}.exe

07/08/06 12:56:31 [Note]: 10002 1

07/08/06 12:56:31 [info]: Hidden file: c:\WINDOWS\system32\{E349477C-97CA-40CC-BB76-7D8A862DE4A1}.exe

07/08/06 12:56:31 [Note]: 7002 5

07/08/06 12:56:31 [Note]: 7003 1

07/08/06 12:56:31 [Note]: 10002 1

07/08/06 12:56:31 [info]: Hidden file: c:\WINDOWS\system32\{E38B26FE-2877-447D-9D6E-C0E84726648B}.exe

07/08/06 12:56:31 [Note]: 7002 5

07/08/06 12:56:31 [Note]: 7003 1

07/08/06 12:56:31 [Note]: 10002 1

07/08/06 12:56:32 [info]: Hidden file: c:\WINDOWS\system32\{E4B47A2B-A9F7-4797-8F7D-F30AF41B034C}.exe

07/08/06 12:56:32 [Note]: 7002 5

07/08/06 12:56:32 [Note]: 7003 1

07/08/06 12:56:32 [Note]: 10002 1

07/08/06 12:56:32 [info]: Hidden file: c:\WINDOWS\system32\{EAB8E7F4-1955-419F-B60A-069D2C82E8E5}.exe

07/08/06 12:56:32 [Note]: 7002 5

07/08/06 12:56:32 [Note]: 7003 1

07/08/06 12:56:32 [Note]: 10002 1

07/08/06 12:56:32 [info]: Hidden file: c:\WINDOWS\system32\{EBAC6B42-44C4-4E86-AEE4-9B4241B99841}.exe

07/08/06 12:56:32 [Note]: 10002 1

07/08/06 12:56:32 [info]: Hidden file: c:\WINDOWS\system32\{ED5FFF0C-64F0-4450-ABE4-BC58EFB89B7D}.exe

07/08/06 12:56:32 [Note]: 10002 1

07/08/06 12:56:33 [info]: Hidden file: c:\WINDOWS\system32\{F5BED243-AB35-42A1-8FF2-A2256775C523}.exe

07/08/06 12:56:33 [Note]: 7002 5

07/08/06 12:56:33 [Note]: 7003 1

07/08/06 12:56:33 [Note]: 10002 1

07/08/06 12:56:33 [info]: Hidden file: c:\WINDOWS\system32\{F9896DA7-1C33-495A-937E-A644C62A997C}.exe

07/08/06 12:56:33 [Note]: 7002 5

07/08/06 12:56:33 [Note]: 7003 1

07/08/06 12:56:33 [Note]: 10002 1

07/08/06 12:56:33 [info]: Hidden file: c:\WINDOWS\system32\{FAD0D7C4-BC94-47C4-9D62-0E2D0217557A}.exe

07/08/06 12:56:33 [Note]: 7002 5

07/08/06 12:56:33 [Note]: 7003 1

07/08/06 12:56:33 [Note]: 10002 1

07/08/06 12:56:34 [info]: Hidden file: c:\WINDOWS\system32\{4202778D-D327-4C9D-8192-06E7ABAEA221}.exe

07/08/06 12:56:34 [Note]: 7002 5

07/08/06 12:56:34 [Note]: 7003 1

07/08/06 12:56:34 [Note]: 10002 1

07/08/06 12:56:34 [info]: Hidden file: c:\WINDOWS\system32\{473386DE-45D6-48EF-A763-D6BC3E9BC49C}.exe

07/08/06 12:56:34 [Note]: 7002 5

07/08/06 12:56:34 [Note]: 7003 1

07/08/06 12:56:34 [Note]: 10002 1

07/08/06 12:56:34 [info]: Hidden file: c:\WINDOWS\system32\{4B75701D-B181-45C4-8E2F-4833452163E7}.exe

07/08/06 12:56:34 [Note]: 7002 5

07/08/06 12:56:34 [Note]: 7003 1

07/08/06 12:56:34 [Note]: 10002 1

07/08/06 12:56:35 [info]: Hidden file: c:\WINDOWS\system32\{4C714727-C1DD-4AE9-AF37-B086654B2F3C}.exe

07/08/06 12:56:35 [Note]: 7002 5

07/08/06 12:56:35 [Note]: 7003 1

07/08/06 12:56:35 [Note]: 10002 1

07/08/06 12:56:35 [info]: Hidden file: c:\WINDOWS\system32\{52B53BDE-08D7-44D8-B719-7B34DC0F9AF7}.exe

07/08/06 12:56:35 [Note]: 7002 5

07/08/06 12:56:35 [Note]: 7003 1

07/08/06 12:56:35 [Note]: 10002 1

07/08/06 12:56:35 [info]: Hidden file: c:\WINDOWS\system32\{532C91BB-7FFB-458A-BB43-90B45D28A1F7}.exe

07/08/06 12:56:35 [Note]: 7002 5

07/08/06 12:56:35 [Note]: 7003 1

07/08/06 12:56:35 [Note]: 10002 1

07/08/06 12:56:36 [info]: Hidden file: c:\WINDOWS\system32\{57FB8017-CC3B-4758-B3A6-072E48DAA9A6}.exe

07/08/06 12:56:36 [Note]: 7002 5

07/08/06 12:56:36 [Note]: 7003 1

07/08/06 12:56:36 [Note]: 10002 1

07/08/06 12:56:36 [info]: Hidden file: c:\WINDOWS\system32\{5C80EBAC-9B8D-4399-803D-112F7CBABB0D}.exe

07/08/06 12:56:36 [Note]: 7002 5

07/08/06 12:56:36 [Note]: 7003 1

07/08/06 12:56:36 [Note]: 10002 1

07/08/06 12:56:36 [info]: Hidden file: c:\WINDOWS\system32\{AC9F9013-7679-4F71-95CE-0C32A4D82E0C}.exe

07/08/06 12:56:36 [Note]: 7002 5

07/08/06 12:56:36 [Note]: 7003 1

07/08/06 12:56:36 [Note]: 10002 1

07/08/06 12:56:36 [info]: Hidden file: c:\WINDOWS\system32\{ACA19899-4353-430A-A167-10D1AC9D3964}.exe

07/08/06 12:56:36 [Note]: 7002 5

07/08/06 12:56:36 [Note]: 7003 1

07/08/06 12:56:36 [Note]: 10002 1

07/08/06 12:56:37 [info]: Hidden file: c:\WINDOWS\system32\{B4CD2DA7-1E6B-4675-A992-12E0BB438B33}.exe

07/08/06 12:56:37 [Note]: 7002 5

07/08/06 12:56:37 [Note]: 7003 1

07/08/06 12:56:37 [Note]: 10002 1

07/08/06 12:56:37 [info]: Hidden file: c:\WINDOWS\system32\{B4D3B23D-7539-4188-9B35-0573450DEFB9}.exe

07/08/06 12:56:37 [Note]: 7002 5

07/08/06 12:56:37 [Note]: 7003 1

07/08/06 12:56:37 [Note]: 10002 1

07/08/06 12:56:37 [info]: Hidden file: c:\WINDOWS\system32\{B93CEFCD-29EE-4721-8365-F9DA6A445B7E}.exe

07/08/06 12:56:37 [Note]: 7002 5

07/08/06 12:56:37 [Note]: 7003 1

07/08/06 12:56:37 [Note]: 10002 1

07/08/06 12:56:38 [info]: Hidden file: c:\WINDOWS\system32\{BBED92E7-0E5C-4DEB-AF2E-2FAC98523992}.exe

07/08/06 12:56:38 [Note]: 7002 5

07/08/06 12:56:38 [Note]: 7003 1

07/08/06 12:56:38 [Note]: 10002 1

07/08/06 12:56:38 [info]: Hidden file: c:\WINDOWS\system32\{C0BAB2BC-11A3-46E7-9C6B-F2ECCAB9D546}.exe

07/08/06 12:56:38 [Note]: 7002 5

07/08/06 12:56:38 [Note]: 7003 1

07/08/06 12:56:38 [Note]: 10002 1

07/08/06 13:09:02 [Note]: 7007 0

Compartilhar este post


Link para o post
Compartilhar em outros sites

Talvez você queira imprimir essas instruções ou salvá-las em um arquivo texto para fácil acesso.

Faça o download wareout.reg

http://linhadefensiva.uol.com.br/files/reg/wareout.reg

-> em seu desktop, mas não rode-o ainda

Faça o download do KillBox do Option^Explicit

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Unzip. Rode-o. Marque a opção Delete on Reboot. Agora selecione a lista em negrito abaixo e clique em Editar > Copiar (ou pressione CTRL + C).

c:WINDOWSsystem32kilacln.exe

c:WINDOWSsystem32cssye.exe

c:WINDOWSsystem32dmfrt.exe

c:WINDOWSsystem32{416F505A-CCE8-436E-A186-DD5953C34765}.exe

c:WINDOWSsystem32{5DBF191E-F715-449B-9866-C49C733F1600}.exe

c:WINDOWSsystem32{A8C00726-49D4-47B6-B846-B2484CF0BD97}.exe

c:WINDOWSsystem32{C886348A-0767-4247-9311-43C016A53314}.exe

c:WINDOWSsystem32{0133268E-6420-43E1-A947-A6DD14BC6EC1}.exe

c:WINDOWSsystem32{02D5BEA5-ABE7-410C-B3BC-D1845B578F2A}.exe

c:WINDOWSsystem32{047D6A2F-203F-4A39-AA0D-6F61F6D4D68A}.exe

c:WINDOWSsystem32{089ADD1F-8409-4A34-A1ED-91B793457761}.exe

c:WINDOWSsystem32{0968FBFF-1A0F-40DB-8612-20EF331160B5}.exe

c:WINDOWSsystem32{0D8EFFAB-FD39-49C1-B592-0AE6F68B7EFB}.exe

c:WINDOWSsystem32{166B6EEA-7CF8-45D1-94E7-E0F05612A36A}.exe

c:WINDOWSsystem32{193502CD-BC54-4F13-A48E-4D35573E5D6B}.exe

c:WINDOWSsystem32{2136D7E4-612F-43CB-AD2A-8BF5F22D1171}.exe

c:WINDOWSsystem32{6753FAED-2A7E-4E99-A07D-2FD00B92834B}.exe

c:WINDOWSsystem32{74FA58E9-9BA9-4111-9512-F5543891B3B9}.exe

c:WINDOWSsystem32{75602B78-7C5B-4386-B5F8-7E1E5CBDCA46}.exe

c:WINDOWSsystem32{895FD307-B077-4E90-8FF3-3FF278032962}.exe

c:WINDOWSsystem32{8F0EA7DE-99D8-4E8F-8DAA-7D1CEF5DF6E3}.exe

c:WINDOWSsystem32{A7C5FD2D-01D4-4934-A74E-F1056316E3AA}.exe

c:WINDOWSsystem32{28D6D36C-F4A9-4048-B14A-EC27A5FF7695}.exe

c:WINDOWSsystem32{2C96A3CC-3175-4737-9716-3FB1F4F09DF3}.exe

c:WINDOWSsystem32{37E12BDF-9DB5-4AB4-917C-1E6D9BC21A36}.exe

c:WINDOWSsystem32{39759BDF-D733-4867-8A88-84B1D5DB2E01}.exe

c:WINDOWSsystem32{3A5E858E-8592-4017-B758-A7EC593B5430}.exe

c:WINDOWSsystem32{3E264B5C-F5AC-4FA2-868A-0CF4BA921EBA}.exe

c:WINDOWSsystem32{3EB8A149-FF27-4108-B26A-E1EC10CAEE56}.exe

c:WINDOWSsystem32{CCA18A10-5A89-498A-A6DE-FFEDEF2D9806}.exe

c:WINDOWSsystem32{CE348E0A-92B9-401A-8C0A-D2EDF95589F0}.exe

c:WINDOWSsystem32{D88923F4-BCA0-48BB-B8EE-F9F8F2F65262}.exe

c:WINDOWSsystem32{E349477C-97CA-40CC-BB76-7D8A862DE4A1}.exe

c:WINDOWSsystem32{E38B26FE-2877-447D-9D6E-C0E84726648B}.exe

c:WINDOWSsystem32{E4B47A2B-A9F7-4797-8F7D-F30AF41B034C}.exe

c:WINDOWSsystem32{EAB8E7F4-1955-419F-B60A-069D2C82E8E5}.exe

c:WINDOWSsystem32{EBAC6B42-44C4-4E86-AEE4-9B4241B99841}.exe

c:WINDOWSsystem32{ED5FFF0C-64F0-4450-ABE4-BC58EFB89B7D}.exe

c:WINDOWSsystem32{F5BED243-AB35-42A1-8FF2-A2256775C523}.exe

c:WINDOWSsystem32{F9896DA7-1C33-495A-937E-A644C62A997C}.exe

c:WINDOWSsystem32{FAD0D7C4-BC94-47C4-9D62-0E2D0217557A}.exe

c:WINDOWSsystem32{473386DE-45D6-48EF-A763-D6BC3E9BC49C}.exe

c:WINDOWSsystem32{4202778D-D327-4C9D-8192-06E7ABAEA221}.exe

c:WINDOWSsystem32{4B75701D-B181-45C4-8E2F-4833452163E7}.exe

c:WINDOWSsystem32{4C714727-C1DD-4AE9-AF37-B086654B2F3C}.exe

c:WINDOWSsystem32{52B53BDE-08D7-44D8-B719-7B34DC0F9AF7}.exe

c:WINDOWSsystem32{57FB8017-CC3B-4758-B3A6-072E48DAA9A6}.exe

c:WINDOWSsystem32{532C91BB-7FFB-458A-BB43-90B45D28A1F7}.exe

c:WINDOWSsystem32{5C80EBAC-9B8D-4399-803D-112F7CBABB0D}.exe

c:WINDOWSsystem32{AC9F9013-7679-4F71-95CE-0C32A4D82E0C}.exe

c:WINDOWSsystem32{ACA19899-4353-430A-A167-10D1AC9D3964}.exe

c:WINDOWSsystem32{B4D3B23D-7539-4188-9B35-0573450DEFB9}.exe

c:WINDOWSsystem32{B4CD2DA7-1E6B-4675-A992-12E0BB438B33}.exe

c:WINDOWSsystem32{B93CEFCD-29EE-4721-8365-F9DA6A445B7E}.exe

c:WINDOWSsystem32{BBED92E7-0E5C-4DEB-AF2E-2FAC98523992}.exe

c:WINDOWSsystem32{C0BAB2BC-11A3-46E7-9C6B-F2ECCAB9D546}.exe

Volte ao KillBox. Clique em File > Paste from clipboard. Clique no botão All Files.

Clique no botão . Responda Não à pergunta.

Feche o KillBox.

Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

Veja o quadradinho na área de trabalho wareout.reg -> -> dar 02 cliques nele -> aceite a incorporação de dados ao registro. (depois voce limpe o desktop)

Reinicie

2ª Etapa

Faça o download FixwareOut:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

Agora fecha todos os programas para fluir a ferramenta

-> Rode-o. Instale o programa e no fim deixe marcado Run fixit.

Clique em Finish-> se a ferramenta pedir reboot -> aceite

Reinicie novamente em Modo Seguro (aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

1) Vá ao painel de controle/conexões de rede/propriedades/geral/protocolo de TCP/IP/propriedades/geral. Talvez conste lá os seguintes números:

Serviço DNS preferencial 85.255... < - apagar / colar o DNS do seu provedor

Serviço DNS secundários 85.255... < - apagar

Ou então

Se você deseja obter endereços de servidor DNS de um servidor DHCP, clique em Obter o endereço dos servidores DNS automaticamente

clica aqui

2) Execute o HijackThis, clique em Do a System Scan Only, marque

somente as entradas abaixo e dê o

O17 - HKLMSystemCCSServicesTcpip..{CAAE0065-0A6D-4F24-9902-553EEA8985A2}: NameServer = 85.255.115.51,85.255.112.187

O17 - HKLMSystemCCSServicesTcpip..{E2F4C22F-E88A-45F9-A3A8-E47A7EBC294F}: NameServer = 85.255.115.51,85.255.112.187

O17 - HKLMSystemCCSServicesTcpip..{F989CB34-61CB-4868-A8C8-A346840061A4}: NameServer = 85.255.115.51 85.255.112.187

O17 - HKLMSystemCS1ServicesTcpipParameters: NameServer = 85.255.115.51 85.255.112.187

O17 - HKLMSystemCS2ServicesTcpipParameters: NameServer = 85.255.115.51 85.255.112.187

O17 - HKLMSystemCCSServicesTcpipParameters: NameServer = 85.255.115.51 85.255.112.187

reiniciar

3ª Etapa

Baixe esta ferramenta atual - > SmitfraudFix (by S!Ri).

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Desabilite temporariamente seu antivírus. Extraia os arquivos para o seu desktop.

Dê um duplo-clique em smitfraudfix.cmd. Selecione a opção 1

-> e salve o log que for gerado.

Nota : process.exe é detectado por alguns programas (AntiVir, Dr.Web, Kaspersky) como um "RiskTool"; mas de fato não se trata de vírus.

-> faça um log hijackthis depois da 2ª. Etapa

-> veja lá o -> o arquivo C:fixwareoutreport.txt. -> no C:fixwareout

cole-os (03) na resposta

post-25482-13884917732154_thumb.jpg

post-25482-13884917732554_thumb.png

post-25482-13884917732636_thumb.png

post-25482-13884917732698_thumb.gif

Compartilhar este post


Link para o post
Compartilhar em outros sites

Me deculpe , eu estou aproveitando o topico.

Estou com mesmo problema tentei seguir os passos acima, so que não consigo fazer donw do silent pois quando clico no mesmo , ele abre um a pagina de texto direto, voce poderia me ajudar???

Obs:uso firefox(se eu colar esta pagina acho que estrago o topico)

Compartilhar este post


Link para o post
Compartilhar em outros sites
Postado Originalmente por Michel Rodrigues Postado em Hoje@ 09:57

Me deculpe , eu estou aproveitando o topico

Bom dia Michel

Abra uma pasta na partição do SO ex: C:\HJT\

Faça o download da

http://www.spywareinfo.com/~merijn/files/HijackThis.exe

http://216.180.233.162/~merijn/files/HijackThis.exe

http://www.merijn.org/files/hijackthis_sfx.exe

descarrega a na pasta: ex: C:\HJT\....-> hijackthis.exe.

Execute-a (Do a system scan and save a logfile)

na seqüência, vai abrir o blocos de notas, clica em e cola o log na pergunta do tópico, sem mencionar nomes, apenas solicite análise.

grato

post-25482-13884918192372_thumb.jpg

post-25482-13884918192443_thumb.gif

Compartilhar este post


Link para o post
Compartilhar em outros sites
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×