Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Claudio_ks98

virtumonde preciso de ajuda!

Recommended Posts

Olá amigos, fui infectado e cheguei até aqui, mas não sei o que devo fazer agora.

Agradeço pela ajuda!

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 06:12:43, on 22/7/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Boot mode: Normal

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\Arquivos de programas\Windows Defender\MsMpEng.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\system32\ctfmon.exe

E:\WINDOWS\system32\RUNDLL32.EXE

E:\WINDOWS\System32\nvraidservice.exe

E:\Arquivos de programas\DAEMON Tools\daemon.exe

E:\Arquivos de programas\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE

E:\Arquivos de programas\Creative\Shared Files\Module Loader\DLLML.exe

E:\Arquivos de programas\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe

E:\WINDOWS\system32\CTHELPER.EXE

E:\WINDOWS\system32\CTXFIHLP.EXE

E:\Arquivos de programas\Windows Defender\MSASCui.exe

E:\Arquivos de programas\ClocX\ClocX.exe

E:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

E:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

E:\Arquivos de programas\Creative\MediaSource\Detector\CTDetect.exe

E:\Arquivos de programas\Creative\MediaSource\Go\CTCMSGo.exe

E:\Arquivos de programas\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe

E:\WINDOWS\SYSTEM32\CTXFISPI.EXE

E:\Arquivos de programas\Lavasoft\Ad-Aware 2007\aawservice.exe

E:\WINDOWS\system32\CTsvcCDA.EXE

E:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

E:\WINDOWS\System32\nvsvc32.exe

E:\Arquivos de programas\Creative\ShareDLL\CADI\NotiMan.exe

E:\WINDOWS\system32\wscntfy.exe

E:\WINDOWS\System32\wbem\unsecapp.exe

E:\Arquivos de programas\Internet Explorer\iexplore.exe

E:\WINDOWS\system32\rundll32.exe

E:\DOCUME~1\CL4UDIO\CONFIG~1\Temp\Rar$EX00.922\avenger.exe

E:\WINDOWS\system32\notepad.exe

E:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\arquivos de programas\google\googletoolbar1.dll

O4 - HKLM\..\Run: [PathNvidiaTV] E:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NVRaidService] E:\WINDOWS\System32\nvraidservice.exe

O4 - HKLM\..\Run: [DAEMON Tools] "E:\Arquivos de programas\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [CTDVDDET] "E:\Arquivos de programas\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"

O4 - HKLM\..\Run: [RCSystem] "E:\Arquivos de programas\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup

O4 - HKLM\..\Run: [AudioDrvEmulator] "E:\Arquivos de programas\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "E:\Arquivos de programas\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"

O4 - HKLM\..\Run: [VolPanel] "E:\Arquivos de programas\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [updReg] E:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Windows Defender] "E:\Arquivos de programas\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [ClocX] E:\Arquivos de programas\ClocX\ClocX.exe

O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [GrooveMonitor] "E:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "E:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] E:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] E:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] E:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] E:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Creative Detector] "E:\Arquivos de programas\Creative\MediaSource\Detector\CTDetect.exe" /R

O4 - HKCU\..\Run: [Creative MediaSource Go] "E:\Arquivos de programas\Creative\MediaSource\Go\CTCMSGo.exe" /SYS

O4 - HKCU\..\Run: [bASE MP3] E:\DOCUME~1\CL4UDIO\DADOSD~1\BIRDRE~1\EQ você STOP.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: UberIcon.lnk = E:\Arquivos de programas\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe

O4 - Global Startup: Microsoft Office.lnk = E:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://E:\ARQUIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\ARQUIV~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\ARQUIV~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - E:\Arquivos de programas\Yahoo!\Common\yiesrvc.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\ARQUIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - E:\Arquivos de programas\Yahoo!\Common\Yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{89A43015-DAC3-4258-8AAD-2C7A98E88F10}: NameServer = 143.90.130.22 143.90.130.165

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\ARQUIV~1\MICROS~3\Office12\GR99D3~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Arquivos de programas\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Google Updater Service (gusvc) - Google - E:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - E:\Arquivos de programas\Windows Live\installer\WLSetupSvc.exe

--

End of file - 8396 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

=================================================

Relatório | BHOs, Winlogon Notify e AppInit_DLLs

=================================================

AppInit_DLLs

-------------------------------------------------

[Vazia]

-------------------------------------------------

Browser Helper Objects

-------------------------------------------------

[HKLM\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\]

&Yahoo! Toolbar Helper | [indefinido]

E:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

[HKLM\SOFTWARE\Classes\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\]

Adobe PDF Reader Link Helper | [indefinido]

E:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

[HKLM\SOFTWARE\Classes\CLSID\{456B12CF-9826-4FDD-8DA4-FF77F02CFAAB}\]

[indefinido] | [indefinido]

[indefinido]

[HKLM\SOFTWARE\Classes\CLSID\{5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897}\]

Yahoo! IE Services Button | [indefinido]

E:\Arquivos de programas\Yahoo!\Common\yiesrvc.dll

[HKLM\SOFTWARE\Classes\CLSID\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}\]

Groove GFS Browser Helper | [indefinido]

E:\ARQUIV~1\MICROS~3\Office12\GRA8E1~1.DLL

[HKLM\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}\]

[indefinido] | [indefinido]

[indefinido]

[HKLM\SOFTWARE\Classes\CLSID\{938A8A03-A938-4019-B764-03FF8D167D79}\]

[indefinido] | [indefinido]

E:\WINDOWS\system32\ekhpusiu.dll

[HKLM\SOFTWARE\Classes\CLSID\{A28F15B4-8F8A-4EB5-AE42-D299A9B03202}\]

[indefinido] | [indefinido]

E:\WINDOWS\system32\awtqq.dll

[HKLM\SOFTWARE\Classes\CLSID\{AA58ED58-01DD-4d91-8333-CF10577473F7}\]

Google Toolbar Helper | [indefinido]

e:\arquivos de programas\google\googletoolbar1.dll

[HKLM\SOFTWARE\Classes\CLSID\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\]

Google Toolbar Notifier BHO | [indefinido]

E:\Arquivos de programas\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

[HKLM\SOFTWARE\Classes\CLSID\{DCD53738-C4F9-414A-A03C-C7405A4AC844}\]

[indefinido] | [indefinido]

E:\WINDOWS\system32\nnnnnkk.dll

[HKLM\SOFTWARE\Classes\CLSID\{F00A7C85-0602-4AFE-941B-35D1B5B2F8A9}\]

[indefinido] | [indefinido]

E:\WINDOWS\system32\mljgd.dll

-------------------------------------------------

Winlogon Notify

-------------------------------------------------

[Nova] awtqq : E:\WINDOWS\system32\awtqq.dll

[Padrão] crypt32chain : crypt32.dll

[Padrão] cryptnet : cryptnet.dll

[Padrão] cscdll : cscdll.dll

[Nova] mljgd : E:\WINDOWS\system32\mljgd.dll

[Nova] nnnnnkk : nnnnnkk.dll

[Padrão] ScCertProp : wlnotify.dll

[Padrão] Schedule : wlnotify.dll

[Padrão] sclgntfy : sclgntfy.dll

[Padrão] SensLogn : WlNotify.dll

[Nova] ssqrr : E:\WINDOWS\system32\ssqrr.dll

[Padrão] termsrv : wlnotify.dll

[Nova] WgaLogon : WgaLogon.dll

[Nova] winjgf32 : winjgf32.dll

[Padrão] wlballoon : wlnotify.dll

Esta NÃO É uma lista de arquivos maliciosos!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom Dia Claudio_ks98!

>@< Faça o download do VundoFix.

>@< Salve-o no Desktop!

>@< Execute o VundoFix.exe

>@< Quando o VundoFix abrir,novamente, clique em Scan for Vundo.

>@< Quando ele terminar, clique em Remove Vundo.

>@< Você receberá um prompt perguntando se quer remover os arquivos. Confirme!

>@< Sua área de trabalho vai desaparecer!

>@< Surgirá um aviso dizendo que seu computador deve ser desligado.

>@< Clique em OK e depois,ligue o computador novamente!

>@< É possível que o VundoFix encontre um arquivo, mas não consiga removê-lo. Se isso acontecer, a ferramenta rodará ao reiniciar.

>@< Quando o VundoFix aparecer, clique no botão Scan for Vundo para repetir o processo.

>@< Quando o VundoFix não encontrar mais nenhum arquivo,que não consiga remover,poste o seu relatório ( Log ) que se encontra em C:\Vundofix.txt

>@< Poste,também,um nôvo Log do HijackThis.

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá..Obrigado pela ajuda Joram.

Baixei o Vundofix executei reiniciei e executei novamente, tudo certinho.

Então conectei pra poder postar o novo log do HiJackThis, em menos de 10 segundos recebi o alerta do windowsdefender infectado novamente Trojan:Win32/Virtumonde.O

Então resolvi scanear novamente com o VundoFix e aparece ...

system32\abeeg.bak

system32\abeeg.ini

system32\geeba.dll

O Firewall está ativado e o win está com todos os updates atualizado também.

Aí vai o novo log do HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:35:29, on 22/7/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Boot mode: Normal

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\Arquivos de programas\Windows Defender\MsMpEng.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\system32\ctfmon.exe

E:\WINDOWS\system32\RUNDLL32.EXE

E:\WINDOWS\System32\nvraidservice.exe

E:\Arquivos de programas\DAEMON Tools\daemon.exe

E:\Arquivos de programas\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE

E:\Arquivos de programas\Creative\Shared Files\Module Loader\DLLML.exe

E:\Arquivos de programas\Creative\Shared Files\Module Loader\DLLML.exe

E:\Arquivos de programas\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe

E:\WINDOWS\system32\CTHELPER.EXE

E:\WINDOWS\system32\CTXFIHLP.EXE

E:\Arquivos de programas\Windows Defender\MSASCui.exe

E:\Arquivos de programas\ClocX\ClocX.exe

E:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

E:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

E:\Arquivos de programas\Creative\MediaSource\Detector\CTDetect.exe

E:\Arquivos de programas\Creative\MediaSource\Go\CTCMSGo.exe

E:\Arquivos de programas\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe

E:\WINDOWS\SYSTEM32\CTXFISPI.EXE

E:\Arquivos de programas\Creative\ShareDLL\CADI\NotiMan.exe

E:\Arquivos de programas\Lavasoft\Ad-Aware 2007\aawservice.exe

E:\WINDOWS\system32\CTsvcCDA.EXE

E:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

E:\WINDOWS\System32\nvsvc32.exe

E:\WINDOWS\system32\wscntfy.exe

E:\WINDOWS\System32\wbem\unsecapp.exe

E:\Arquivos de programas\Internet Explorer\iexplore.exe

E:\WINDOWS\system32\rundll32.exe

E:\VundoFix.exe

E:\WINDOWS\hh.exe

E:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\arquivos de programas\google\googletoolbar1.dll

O4 - HKLM\..\Run: [PathNvidiaTV] E:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NVRaidService] E:\WINDOWS\System32\nvraidservice.exe

O4 - HKLM\..\Run: [DAEMON Tools] "E:\Arquivos de programas\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [CTDVDDET] "E:\Arquivos de programas\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"

O4 - HKLM\..\Run: [RCSystem] "E:\Arquivos de programas\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup

O4 - HKLM\..\Run: [AudioDrvEmulator] "E:\Arquivos de programas\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "E:\Arquivos de programas\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"

O4 - HKLM\..\Run: [VolPanel] "E:\Arquivos de programas\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [updReg] E:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Windows Defender] "E:\Arquivos de programas\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [ClocX] E:\Arquivos de programas\ClocX\ClocX.exe

O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [GrooveMonitor] "E:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "E:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] E:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] E:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] E:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] E:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Creative Detector] "E:\Arquivos de programas\Creative\MediaSource\Detector\CTDetect.exe" /R

O4 - HKCU\..\Run: [Creative MediaSource Go] "E:\Arquivos de programas\Creative\MediaSource\Go\CTCMSGo.exe" /SYS

O4 - HKCU\..\Run: [bASE MP3] E:\DOCUME~1\CL4UDIO\DADOSD~1\BIRDRE~1\EQ você STOP.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: UberIcon.lnk = E:\Arquivos de programas\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe

O4 - Global Startup: Microsoft Office.lnk = E:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://E:\ARQUIV~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\ARQUIV~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\ARQUIV~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - E:\Arquivos de programas\Yahoo!\Common\yiesrvc.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\ARQUIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - E:\Arquivos de programas\Yahoo!\Common\Yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{89A43015-DAC3-4258-8AAD-2C7A98E88F10}: NameServer = 143.90.130.22 143.90.130.165

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\ARQUIV~1\MICROS~3\Office12\GR99D3~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - E:\Arquivos de programas\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Google Updater Service (gusvc) - Google - E:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - E:\Arquivos de programas\Windows Live\installer\WLSetupSvc.exe

--

End of file - 8411 bytes

=================================================

Relatório | BHOs, Winlogon Notify e AppInit_DLLs

=================================================

AppInit_DLLs

-------------------------------------------------

[Vazia]

-------------------------------------------------

Browser Helper Objects

-------------------------------------------------

[HKLM\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\]

&Yahoo! Toolbar Helper | [indefinido]

E:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

[HKLM\SOFTWARE\Classes\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\]

Adobe PDF Reader Link Helper | [indefinido]

E:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

[HKLM\SOFTWARE\Classes\CLSID\{456B12CF-9826-4FDD-8DA4-FF77F02CFAAB}\]

[indefinido] | [indefinido]

[indefinido]

[HKLM\SOFTWARE\Classes\CLSID\{5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897}\]

Yahoo! IE Services Button | [indefinido]

E:\Arquivos de programas\Yahoo!\Common\yiesrvc.dll

[HKLM\SOFTWARE\Classes\CLSID\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}\]

Groove GFS Browser Helper | [indefinido]

E:\ARQUIV~1\MICROS~3\Office12\GRA8E1~1.DLL

[HKLM\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}\]

[indefinido] | [indefinido]

[indefinido]

[HKLM\SOFTWARE\Classes\CLSID\{AA58ED58-01DD-4d91-8333-CF10577473F7}\]

Google Toolbar Helper | [indefinido]

e:\arquivos de programas\google\googletoolbar1.dll

[HKLM\SOFTWARE\Classes\CLSID\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\]

Google Toolbar Notifier BHO | [indefinido]

E:\Arquivos de programas\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

[HKLM\SOFTWARE\Classes\CLSID\{B8AD877B-D601-40FB-BDD5-0D64636494A9}\]

[indefinido] | [indefinido]

E:\WINDOWS\system32\geeba.dll

[HKLM\SOFTWARE\Classes\CLSID\{DCD53738-C4F9-414A-A03C-C7405A4AC844}\]

[indefinido] | [indefinido]

E:\WINDOWS\system32\nnnnnkk.dll

[HKLM\SOFTWARE\Classes\CLSID\{F00A7C85-0602-4AFE-941B-35D1B5B2F8A9}\]

[indefinido] | [indefinido]

E:\WINDOWS\system32\mljgd.dll

-------------------------------------------------

Winlogon Notify

-------------------------------------------------

[Padrão] crypt32chain : crypt32.dll

[Padrão] cryptnet : cryptnet.dll

[Padrão] cscdll : cscdll.dll

[Nova] geeba : E:\WINDOWS\system32\geeba.dll

[Nova] nnnnnkk : nnnnnkk.dll

[Padrão] ScCertProp : wlnotify.dll

[Padrão] Schedule : wlnotify.dll

[Padrão] sclgntfy : sclgntfy.dll

[Padrão] SensLogn : WlNotify.dll

[Nova] ssqrr : E:\WINDOWS\system32\ssqrr.dll

[Padrão] termsrv : wlnotify.dll

[Nova] WgaLogon : WgaLogon.dll

[Nova] winjgf32 : winjgf32.dll

[Padrão] wlballoon : wlnotify.dll

Esta NÃO É uma lista de arquivos maliciosos!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom Dia Claudio_ks98!

<!> Faça o download do Clean.

<!> Salve-o no Disco Local-C e descompacte-o aí mesmo,enviando o executável ( clean.cmd ),para o Desktop. ( Atalho! )

<!> Mas não rode-o ainda!

<!> Faça o download do Avenger.

<!> Descompacte-o e crie uma pasta para o programa!Coloque esta pasta no Disco Local-C ou Desktop!

<!> Rode o programa e marque Input script manually.

<!> Clique no ícone da lupa!

Files to delete:

E:\WINDOWS\system32\geeba.dll

E:\WINDOWS\system32\nnnnnkk.dll

E:\WINDOWS\system32\mljgd.dll

E:\WINDOWS\system32\ssqrr.dll

E:\WINDOWS\system32\winjgf32.dll

registry keys to delete:

HKLM\SOFTWARE\Classes\CLSID\{456B12CF-9826-4FDD-8DA4-FF77F02CFAAB}

HKLM\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}

HKLM\SOFTWARE\Classes\CLSID\{B8AD877B-D601-40FB-BDD5-0D64636494A9}

HKLM\SOFTWARE\Classes\CLSID\{DCD53738-C4F9-414A-A03C-C7405A4AC844}

HKLM\SOFTWARE\Classes\CLSID\{F00A7C85-0602-4AFE-941B-35D1B5B2F8A9}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\geeba.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnnnkk.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssqrr.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winjgf32.dll

<!> Na caixa que abrir,cole o que foi copiado na área do quote,logo àcima!

<!> Clique em Done.

<!> Clique no ícone do semáforo!

<!> Clique em Ok.

<!> O computador irá reiniciar!

<!> Aproveite êste reboot e entre em Modo de Segurança.

<!> Execute,agora,a ferramenta de limpeza profunda Clean.

<!> Dê um duplo clique em clean.cmd.

<!> Abrir-se-á um Prompt com três opções: Escolha o dois ( 2 )!

<!> Aperte Enter! >> Aperte Enter,novamente! >> Aguarde!

<!> Aperte Enter,novamente!

<!> Surgirá um relatório ( rapport_clean ),que você deverá copiar e postar para análise.

<!> Reinicie,normalmente,o computador!

<!> Poste,na sua resposta,um nôvo Log do HijackThis + rapport_clean + Avenger.txt.

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá, fiz exatamente como você postou, mas o mesmo problema continua...nem é preciso conectar que o aviso logo aparece.

Devo formatá-lo? :(

Compartilhar este post


Link para o post
Compartilhar em outros sites
Olá, fiz exatamente como você postou, mas o mesmo problema continua...nem é preciso conectar que o aviso logo aparece.

Devo formatá-lo? :(

>@< Opa,Claudio_ks98!A formatação deve ocorrer,somente,quando existem sérios comprometimentos com o sistema,o que não é o caso.

<!> Poste,na sua resposta,um nôvo Log do HijackThis + rapport_clean + Avenger.txt.

>@< Não postando,êstes Logs,o direcionamento para procedimentos mais precisos,fica comprometido.Poste,ao menos,o relatório do Avenger,já o Clean,não precisa ser repetido.

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

>@< Configure o Windows para que mostre: Ver todos os Arquivos,até os ocultos!

>@< Desabilite as proteções residentes de AntiVírus e AntiSpywares!

>@< Faça o download da EliStarA.

>@< Baixe-a para o Disco Local-C e crie uma pasta para a ferramenta,estabelecendo um caminho para o Desktop! ( Atalho. )

>@< Faça o download do ELINOTIF.DLL.Salve-o no interior da pasta criada para EliStarA!

>@< Faça o download do EliTriIP.

>@< Baixe-a para o Desktop!

>@< Ps: Ambas,as ferramentas,estarão na página descargas ( Descargas > Utilidades SATINFO ).

>@< Selecione as ferramentas ( Uma por vez! ) e clique no pé da página,no botão Descargar xxx.Onde xxx é a denominação da ferramenta escolhida!

>@< Faça o download do Clean.

>@< Salve-o no Disco Local-C e descompacte-o aí mesmo,enviando o executável para o Desktop! ( Atalho. )

>@< O executável é um ícone denominado: clean.cmd.

>@< Reinicie o computador e entre em Modo de Segurança.

>@< Execute,primeiro,a ferramenta: EliStartA.

>@< Vá ao seu ícone e execute-a!

>@< Aceite as condições propostas e aguarde o término do scan.Aguarde!Pois vai demorar um pouco para concluir a varredura do PC.

>@< Terminando,execute a ferramenta EliTriIP.

>@< O scan desta ferramenta é mais rápido!

>@< Terminando,execute o programa de limpeza profunda ( clean ) com um duplo clique no seu executável.

>@< Abrir-se-á um prompt com três opções: Escolha o dois ( 2 )!

>@< Aperte Enter! >> Aperte Enter,novamente! >> Aguarde!

>@< Aperte Enter,novamente!

>@< Surgirá um relatório ( rapport_clean ),que você deverá copiar e postar para análise.

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

>@< Poste o relatório infoSAT.txt que está na raíz C:\ ( Disco Local-C ) + rapport_clean + Avenger.txt ( Relatório anterior! )

>@< Poste,também,um nôvo Log do HijackThis,feito em Modo Normal,na sua resposta.

>@< Ps: A ferramenta EliStarA,deletará (Opcional! ) a sua página inicial!Posteriormente,você à configurará novamente.

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×