Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
caiomperet

calling.com

Recommended Posts

Pessoal,

Estava tendo um problema de internet MUITO lenta, e liguei para o meu provedor, que disse que tudo estava bem com a conexão, mas que mesmo quando eu não estava rodando programas que acessem a internet (inclusive emule), o tráfego de rede estava absurdo, quase no máximo, e que provavelmente eu estava sendo vítima de um trojan.

Eu verifiquei no gerenciado de tarefas que um dos programas com maior uso de memória e de CPU era um tal de calling.com, e matei o processo. Isso resolveu temporariamente o problema, porém quando eu reinicio o computador esse processo sempre retorna.

Gostaria de pedir a ajuda de vocês para remover esse malware, antes que ele cause estrago maior.

Eu já rodei o kaspersky online, seguido do SuperAntiSpyware, mas o problema persistiu. Tentei rodar o Combofix (conforme recomendado em um post do Arquivo Morto tratando desse vírus), só que o computador trava (INVALID KERNEL QUERY, se não me engano - Tela azul!).

Obrigado,

Caio

Posto a seguir o log do Hijack This e do Kaspersky Online!

Post do Hijack This:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:18, on 2008-11-02

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Arquivos de programas\Cyberlink\Shared files\RichVideo.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\DAEMON Tools\daemon.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Arquivos de programas\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com/

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIV~2\GBPLUGIN\gbieh.dll

O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [msennger] C:\WINDOWS\system32\drive\calling.com

O4 - HKLM\..\Run: [WinReg] C:\WINDOWS\system32\drive\calling.com

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Arquivos de programas\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Vidalia] "C:\Arquivos de programas\Vidalia Bundle\Vidalia\vidalia.exe"

O4 - HKCU\..\Run: [bitComet] "C:\Arquivos de programas\BitComet\BitComet.exe" /tray

O4 - HKCU\..\Run: [hohohhaha] C:\WINDOWS\system32\drive\calling.com

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Append to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~2\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~2\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~2\ARQUIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: GbPluginBb - C:\ARQUIV~2\GBPLUGIN\gbieh.dll

O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehcef.dll

O20 - Winlogon Notify: __GbPluginBb - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll

O23 - Service: ABAQUS License Service - Unknown owner - C:\ABAQUS\License\lmgrd.exe (file missing)

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\Cyberlink\Shared files\RichVideo.exe

--

End of file - 7830 bytes

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Sunday, November 2, 2008

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Saturday, November 01, 2008 12:54:47

Records in database: 1366097

--------------------------------------------------------------------------------

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

Scan area - My Computer:

A:\

C:\

D:\

E:\

F:\

Scan statistics:

Files scanned: 105733

Threat name: 12

Infected objects: 32

Suspicious objects: 0

Duration of the scan: 02:44:56

File name / Threat name / Threats count

C:\Arquivos de programas\mIRC\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.62 1

C:\Documents and Settings\User\Configurações locais\Temporary Internet Files\Content.IE5\8PI3G1UV\hah[1].exe Infected: Backdoor.Win32.IRCBot.dsh 1

C:\Documents and Settings\User\Configurações locais\Temporary Internet Files\Content.IE5\8PI3G1UV\hah[1].exe Infected: not-a-virus:NetTool.Win32.Sniffer.c 1

C:\Documents and Settings\User\Configurações locais\Temporary Internet Files\Content.IE5\8PI3G1UV\hah[1].exe Infected: not-a-virus:RiskTool.Win32.HideWindows 2

C:\Documents and Settings\User\Configurações locais\Temporary Internet Files\Content.IE5\8PI3G1UV\hah[1].exe Infected: not-a-virus:PSWTool.Win32.PassView.162 1

C:\Documents and Settings\User\Configurações locais\Temporary Internet Files\Content.IE5\8PI3G1UV\hah[1].exe Infected: Backdoor.IRC.Zapchast.zwqy 1

C:\Documents and Settings\User\Configurações locais\Temporary Internet Files\Content.IE5\8PI3G1UV\hah[1].exe Infected: Backdoor.IRC.Zapchast.zwqz 1

C:\Documents and Settings\User\Configurações locais\Temporary Internet Files\Content.IE5\8PI3G1UV\hah[1].exe Infected: Backdoor.IRC.Zapchast.zwra 1

C:\Documents and Settings\User\Configurações locais\Temporary Internet Files\Content.IE5\8PI3G1UV\hah[1].exe Infected: Backdoor.IRC.Zapchast.zwrb 1

C:\Documents and Settings\User\Desktop\shutdown.exe Infected: Backdoor.Win32.Agent.rvl 1

C:\Documents and Settings\User\Meus documentos\shutdown.zip Infected: Backdoor.Win32.Agent.rvl 1

C:\Downloads\Virtual Cover Creator 2.1.0.zip Infected: Trojan-Downloader.Win32.Bagle.ael 1

C:\srs.exe Infected: Backdoor.Win32.IRCBot.dsh 1

C:\srs.exe Infected: not-a-virus:NetTool.Win32.Sniffer.c 1

C:\srs.exe Infected: not-a-virus:RiskTool.Win32.HideWindows 2

C:\srs.exe Infected: not-a-virus:PSWTool.Win32.PassView.162 1

C:\srs.exe Infected: Backdoor.IRC.Zapchast.zwqy 1

C:\srs.exe Infected: Backdoor.IRC.Zapchast.zwqz 1

C:\srs.exe Infected: Backdoor.IRC.Zapchast.zwra 1

C:\srs.exe Infected: Backdoor.IRC.Zapchast.zwrb 1

C:\WINDOWS\svrse.exe Infected: Trojan.Win32.Agent.zre 1

C:\WINDOWS\system32\drive\calling.com Infected: Backdoor.Win32.IRCBot.dsh 1

C:\WINDOWS\system32\drive\lam2.exe Infected: not-a-virus:NetTool.Win32.Sniffer.c 1

C:\WINDOWS\system32\drive\lam3.exe Infected: not-a-virus:RiskTool.Win32.HideWindows 1

C:\WINDOWS\system32\drive\lam4.exe Infected: not-a-virus:RiskTool.Win32.HideWindows 1

C:\WINDOWS\system32\drive\lam5.exe Infected: not-a-virus:PSWTool.Win32.PassView.162 1

C:\WINDOWS\system32\drive\lmz.exe Infected: Backdoor.IRC.Zapchast.zwqy 1

C:\WINDOWS\system32\drive\lmz1.bmp Infected: Backdoor.IRC.Zapchast.zwqz 1

C:\WINDOWS\system32\drive\lmz2.bmp Infected: Backdoor.IRC.Zapchast.zwra 1

C:\WINDOWS\system32\drive\lmz3.bmp Infected: Backdoor.IRC.Zapchast.zwrb 1

The selected area was scanned.

Editado por caiomperet

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá Diego,

Obrigado, e desculpe-me por não ter postados esses logs.

Gostaria de saber também se devo abrir outro tópico referente ao notebook, pois ele fica muitas vezes em rede com este, e desconfio que pode ter sido infectado pelos mesmos virus.

ALiás, é seguro conectar os dois por um roteador por enquanto, ou devo esperar e desifectar todos antes disso?

Obrigado,

Caio

Log do RSIT:

Logfile of random's system information tool 1.04 (written by random/random)

Run by User at 2008-11-07 20:18:32

Microsoft Windows XP Professional Service Pack 2

System drive C: has 1 GB (4%) free of 38 GB

Total RAM: 447 MB (30% free)

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:18, on 2008-11-07

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Arquivos de programas\Cyberlink\Shared files\RichVideo.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\Rundll32.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\RealOneMessageCenter.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Documents and Settings\User\Desktop\RSIT.exe

C:\Arquivos de programas\HijackThis\User.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com/

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIV~2\GBPLUGIN\gbieh.dll (file missing)

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

O4 - HKCU\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKCU\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-21-1715567821-1409082233-839522115-1005\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Thalita')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Append to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~2\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~2\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~2\ARQUIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: GbPluginBb - C:\ARQUIV~2\GBPLUGIN\gbieh.dll (file missing)

O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehcef.dll (file missing)

O23 - Service: ABAQUS License Service - - (no file)

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\Cyberlink\Shared files\RichVideo.exe

--

End of file - 7304 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

Adobe PDF Reader Link Helper - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]

RealPlayer Download and Record Plugin for Internet Explorer - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2008-07-30 308856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]

SSVHelper Class - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

Auxiliar de Conexão do Windows Live - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2007-09-20 328752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE7CD045-E861-484f-8273-0445EE161910}]

Adobe PDF Conversion Toolbar Helper - C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2007-05-10 321120]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41A1C0E-EA6C-11D4-B1B8-444553540000}]

GbIehObj Class - C:\ARQUIV~2\GBPLUGIN\gbieh.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{47833539-D0C5-4125-9FA8-0819E2EAAC93} - Adobe PDF - C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll [2007-05-10 321120]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"QuickTime Task"=C:\Arquivos de programas\QuickTime\qttask.exe [2007-06-29 286720]

"TkBellExe"=C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe [2008-07-30 185896]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2006-08-03 577536]

"QuickTime Task"=C:\Arquivos de programas\QuickTime\qttask.exe [2007-06-29 286720]

"SunJavaUpdateSched"=C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe [2008-06-10 144784]

"SiSPower"=C:\WINDOWS\system32\SiSPower.dll [2006-08-22 49152]

"TkBellExe"=C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe [2008-07-30 185896]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]

C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe [2008-01-11 623992]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]

C:\WINDOWS\AGRSMMSG.exe [2003-09-23 88363]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]

C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe [2003-12-22 241664]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd2.exe [2004-02-18 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe [2004-03-04 172032]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

[]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]

C:\Arquivos de programas\PowerDVD\Language\Language.exe [2006-04-13 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]

[]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

C:\Arquivos de programas\QuickTime\qttask.exe [2007-06-29 286720]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

C:\Arquivos de programas\PowerDVD\PDVDServ.exe [2005-12-07 30208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb]

C:\ARQUIV~2\GBPLUGIN\gbieh.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginCef]

C:\Arquivos de programas\GbPlugin\gbiehcef.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{E37CB5F0-51F5-4395-A808-5FA49E399F83}"=C:\ARQUIV~2\GBPLUGIN\gbieh.dll []

"{E37CB5F0-51F5-4395-A808-5FA49E399003}"=C:\Arquivos de programas\GbPlugin\gbiehcef.dll []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=36

"NoDriveAutoRun"=FFFFFFFF

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoResolveSearch"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\Arquivos de programas\eMule\emule.exe"="C:\Arquivos de programas\eMule\emule.exe:*:Enabled:eMule"

"C:\ABAQUS\6.6-3\exec\ABQcaeK.exe"="C:\ABAQUS\6.6-3\exec\ABQcaeK.exe:*:Enabled:ABQcaeK"

"C:\ABAQUS\6.6-3\exec\ABQvwrK.exe"="C:\ABAQUS\6.6-3\exec\ABQvwrK.exe:*:Enabled:ABQvwrK"

"C:\ABAQUS\6.7-1\exec\ABQcaeK.exe"="C:\ABAQUS\6.7-1\exec\ABQcaeK.exe:*:Enabled:ABQcaeK"

"C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE"="C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE:*:Disabled:Internet Explorer"

"C:\Arquivos de programas\Messenger\msmsgs.exe"="C:\Arquivos de programas\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\Arquivos de programas\NetMeeting\conf.exe"="C:\Arquivos de programas\NetMeeting\conf.exe:*:Enabled:Windows® NetMeeting®"

"C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe"="C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\Arquivos de programas\Windows Live\Messenger\livecall.exe"="C:\Arquivos de programas\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\Arquivos de programas\BitComet\BitComet.exe"="C:\Arquivos de programas\BitComet\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"

"C:\Arquivos de programas\Skype\Phone\Skype.exe"="C:\Arquivos de programas\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe"="C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\Arquivos de programas\Windows Live\Messenger\livecall.exe"="C:\Arquivos de programas\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

======File associations======

.scr - open - C:\WINDOWS\system32\notepad.exe "%1"

.scr - install -

.scr - config -

======List of files/folders created in the last 1 months======

2008-11-07 20:18:32 ----D---- C:\rsit

2008-11-07 20:08:14 ----A---- C:\WINDOWS\gmer.ini

2008-11-07 20:08:13 ----A---- C:\WINDOWS\gmer_uninstall.cmd

2008-11-07 20:08:13 ----A---- C:\WINDOWS\gmer.exe

2008-11-07 20:08:13 ----A---- C:\WINDOWS\gmer.dll

2008-11-03 00:06:24 ----D---- C:\Documents and Settings\User\Dados de aplicativos\Malwarebytes

2008-11-03 00:06:19 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Malwarebytes

2008-11-03 00:06:19 ----D---- C:\Arquivos de programas\Malwarebytes' Anti-Malware

2008-11-02 23:57:27 ----D---- C:\Arquivos de programas\Marcos Velasco Security

2008-11-02 23:45:35 ----D---- C:\Arquivos de programas\IObit

2008-11-02 23:38:24 ----D---- C:\Arquivos de programas\CCleaner

2008-11-02 10:08:09 ----D---- C:\ComboFix

2008-11-02 10:01:18 ----A---- C:\WINDOWS\system32\CF1186.exe

2008-11-02 00:11:35 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\SUPERAntiSpyware.com

2008-11-02 00:11:25 ----D---- C:\Documents and Settings\User\Dados de aplicativos\SUPERAntiSpyware.com

2008-11-02 00:11:25 ----D---- C:\Arquivos de programas\SUPERAntiSpyware

2008-11-01 13:55:09 ----D---- C:\Arquivos de programas\HijackThis

2008-11-01 13:30:08 ----D---- C:\Documents and Settings\User\Dados de aplicativos\WinRAR

2008-11-01 13:15:02 ----D---- C:\WINDOWS\ERUNT

2008-10-25 17:42:00 ----A---- C:\syys.exe

2008-10-25 14:56:37 ----D---- C:\WINDOWS\system32\drive

2008-10-25 14:53:52 ----A---- C:\srs.exe

2008-10-25 14:53:23 ----RSH---- C:\WINDOWS\svrse.exe

======List of files/folders modified in the last 1 months======

2008-11-07 20:08:14 ----D---- C:\WINDOWS

2008-11-07 20:08:13 ----D---- C:\WINDOWS\system32\drivers

2008-11-07 20:03:25 ----D---- C:\WINDOWS\Temp

2008-11-04 22:53:15 ----D---- C:\Downloads

2008-11-03 01:46:17 ----SHD---- C:\System Volume Information

2008-11-03 01:46:17 ----D---- C:\WINDOWS\system32\Restore

2008-11-03 01:45:35 ----D---- C:\Arquivos de programas\GbPlugin

2008-11-03 00:06:19 ----RD---- C:\Arquivos de programas

2008-11-03 00:03:56 ----D---- C:\WINDOWS\Prefetch

2008-11-03 00:03:55 ----D---- C:\WINDOWS\Debug

2008-11-02 23:39:49 ----SHD---- C:\WINDOWS\Installer

2008-11-02 23:39:45 ----D---- C:\WINDOWS\system32

2008-11-02 23:39:45 ----D---- C:\Arquivos de programas\Arquivos comuns

2008-11-02 22:46:17 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\GbPlugin

2008-11-02 10:08:10 ----D---- C:\WINDOWS\erdnt

2008-11-02 10:05:41 ----D---- C:\Arquivos de programas\eMule

2008-11-02 10:02:26 ----D---- C:\WINDOWS\system32\CatRoot2

2008-11-02 09:55:53 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI

2008-11-01 13:13:39 ----D---- C:\Documents and Settings

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 SiSkp;SiSkp; C:\WINDOWS\system32\DRIVERS\srvkp.sys [2006-08-22 16640]

R2 Hardlock;Hardlock; \??\C:\WINDOWS\system32\drivers\hardlock.sys []

R2 SSIPDDP;SSIPDDP Parallel port device driver; \??\C:\WINDOWS\system32\DRIVERS\SSIPDDP.SYS []

R3 AgereSoftModem;Agere Systems Soft Modem; C:\WINDOWS\system32\DRIVERS\AGRSM.sys [2003-09-23 1197740]

R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2006-09-20 4019072]

R3 MODEMCSA;Dispositivo de filtro de fluxo unimodem; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]

R3 rtl8139;Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]

R3 SiS315;SiS315; C:\WINDOWS\system32\DRIVERS\sisgrp.sys [2006-08-22 259584]

R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-04 26624]

R3 usbhub;USB2 Enabled Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-04 57600]

R3 usbohci;Microsoft USB Open Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2004-08-03 17024]

R3 usbprint;Microsoft USB PRINTER Class; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-04 25856]

S3 aeexl04g;aeexl04g; C:\WINDOWS\system32\drivers\aeexl04g.sys []

S3 catchme;catchme; C:\WINDOWS\system32\drivers\catchme.sys []

S3 es1371;Creative AudioPCI (ES1371,ES1373) (WDM); C:\WINDOWS\system32\drivers\es1371mp.sys [2001-08-17 40704]

S3 FETNDIS;VIA PCI 10/100Mb Fast Ethernet Adapter NT Driver; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]

S3 FXDrv32;FXDrv32; \??\E:\FXDrv32.sys []

S3 gmer;gmer; C:\WINDOWS\System32\DRIVERS\gmer.sys [2008-11-07 85969]

S3 NPF;WinPcap Packet Driver (NPF); C:\WINDOWS\system32\drivers\NPF.sys []

S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-03 1897408]

S3 pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys []

S3 USBSTOR;USB Mass Storage Driver; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]

S3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-04 20480]

S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Apple Mobile Device;Apple Mobile Device; C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2007-09-06 110592]

R2 MDM;Machine Debug Manager; C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-20 322120]

R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Arquivos de programas\Cyberlink\Shared files\RichVideo.exe [2005-08-08 167936]

R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2004-08-11 38912]

S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]

S3 Autodesk Licensing Service;Autodesk Licensing Service; C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe [2008-09-02 85096]

S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]

S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2007-08-09 654848]

S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864]

S3 IDriverT;InstallDriver Table Manager; C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]

S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376]

S3 ose;Office Source Engine; C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]

S3 usnjsvc;Serviço de Compartilhamento de Pastas Messenger do USN Journal Reader; C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]

S3 WLSetupSvc;Windows Live Setup Service; C:\Arquivos de programas\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]

S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880]

-----------------EOF-----------------

Log do GMER:

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2008-11-07 20:17:40

Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.14 ----

SSDT sptd.sys ZwCreateKey [0xF73CC0D0]

SSDT sptd.sys ZwEnumerateKey [0xF73D1FB2]

SSDT sptd.sys ZwEnumerateValueKey [0xF73D2340]

SSDT sptd.sys ZwOpenKey [0xF73CC0B0]

SSDT sptd.sys ZwQueryKey [0xF73D2418]

SSDT sptd.sys ZwQueryValueKey [0xF73D2298]

SSDT sptd.sys ZwSetValueKey [0xF73D24AA]

---- Kernel code sections - GMER 1.0.14 ----

? C:\WINDOWS\system32\drivers\sptd.sys O arquivo já está sendo usado por outro processo.

.text USBPORT.SYS!DllUnload F6CE162C 5 Bytes JMP 83C3C1C8

? System32\Drivers\aeexl04g.SYS O sistema não pode encontrar o arquivo especificado. !

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F73CCAD4] sptd.sys

IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F73CCC1A] sptd.sys

IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73CCB9C] sptd.sys

IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F73CD748] sptd.sys

IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73CD61E] sptd.sys

IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F73E229A] sptd.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 845D81E8

AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows ® 2000 DDK provider)

Device \FileSystem\Fastfat \FatCdrom 8381B790

Device \Driver\usbohci \Device\USBPDO-0 83C3B1E8

Device \Driver\NetBT \Device\NetBT_Tcpip_{A3306152-885E-4574-A61E-251AC301C391} 839631E8

Device \Driver\dmio \Device\DmControl\DmIoDaemon 845681E8

Device \Driver\dmio \Device\DmControl\DmConfig 845681E8

Device \Driver\dmio \Device\DmControl\DmPnP 845681E8

Device \Driver\dmio \Device\DmControl\DmInfo 845681E8

Device \Driver\usbohci \Device\USBPDO-1 83C3B1E8

Device \Driver\usbehci \Device\USBPDO-2 83C241E8

Device \Driver\PCI_NTPNP2954 \Device\00000047 sptd.sys

Device \Driver\PCI_NTPNP2954 \Device\00000047 sptd.sys

Device \Driver\Ftdisk \Device\HarddiskVolume1 845DA1E8

Device \Driver\Cdrom \Device\CdRom0 83C551E8

Device \Driver\Cdrom \Device\CdRom1 83C551E8

Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-13 845D91E8

Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-3 845D91E8

Device \Driver\atapi \Device\Ide\IdeDeviceP3T1L0-1b 845D91E8

Device \Driver\atapi \Device\Ide\IdePort0 845D91E8

Device \Driver\atapi \Device\Ide\IdePort1 845D91E8

Device \Driver\atapi \Device\Ide\IdePort2 845D91E8

Device \Driver\atapi \Device\Ide\IdePort3 845D91E8

Device \Driver\Cdrom \Device\CdRom2 83C551E8

Device \Driver\NetBT \Device\NetBt_Wins_Export 839631E8

Device \Driver\NetBT \Device\NetbiosSmb 839631E8

Device \Driver\usbohci \Device\USBFDO-0 83C3B1E8

Device \Driver\usbohci \Device\USBFDO-1 83C3B1E8

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 839531E8

Device \Driver\usbehci \Device\USBFDO-2 83C241E8

Device \FileSystem\MRxSmb \Device\LanmanRedirector 839531E8

Device \Driver\Ftdisk \Device\FtControl 845DA1E8

Device \Driver\aeexl04g \Device\Scsi\aeexl04g1Port4Path0Target0Lun0 83C01570

Device \Driver\aeexl04g \Device\Scsi\aeexl04g1 83C01570

Device \FileSystem\Fastfat \Fat 8381B790

AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows ® 2000 DDK provider)

Device \FileSystem\Cdfs \Cdfs 8393C1E8

---- Services - GMER 1.0.14 ----

Service C:\Arquivos de programas\GbPlugin\GbpSv.exe (*** hidden *** ) [AUTO] GbpSv <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\GbpSv@Type 16

Reg HKLM\SYSTEM\CurrentControlSet\Services\GbpSv@Start 2

Reg HKLM\SYSTEM\CurrentControlSet\Services\GbpSv@ErrorControl 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\GbpSv@ImagePath C:\Arquivos de programas\GbPlugin\GbpSv.exe

Reg HKLM\SYSTEM\CurrentControlSet\Services\GbpSv@DisplayName Gbp Service

Reg HKLM\SYSTEM\CurrentControlSet\Services\GbpSv@Group GbPlugin Group

Reg HKLM\SYSTEM\CurrentControlSet\Services\GbpSv@ObjectName LocalSystem

Reg HKLM\SYSTEM\CurrentControlSet\Services\GbpSv@Description Service for G-Buster Browser Defense

Reg HKLM\SYSTEM\CurrentControlSet\Services\GbpSv\Security

Reg HKLM\SYSTEM\CurrentControlSet\Services\GbpSv\Security@Security 0x01 0x00 0x14 0x80 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Arquivos de programas\DAEMON Tools\

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x8D 0x83 0xF3 0x74 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x7A 0x28 0x68 0x3A ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x24 0xD9 0xB3 0xAF ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xEE 0xA3 0x32 0x5E ...

Reg HKLM\SYSTEM\ControlSet002\Services\GbpSv@Type 16

Reg HKLM\SYSTEM\ControlSet002\Services\GbpSv@Start 2

Reg HKLM\SYSTEM\ControlSet002\Services\GbpSv@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet002\Services\GbpSv@ImagePath C:\Arquivos de programas\GbPlugin\GbpSv.exe

Reg HKLM\SYSTEM\ControlSet002\Services\GbpSv@DisplayName Gbp Service

Reg HKLM\SYSTEM\ControlSet002\Services\GbpSv@Group GbPlugin Group

Reg HKLM\SYSTEM\ControlSet002\Services\GbpSv@ObjectName LocalSystem

Reg HKLM\SYSTEM\ControlSet002\Services\GbpSv@Description Service for G-Buster Browser Defense

Reg HKLM\SYSTEM\ControlSet002\Services\GbpSv\Security

Reg HKLM\SYSTEM\ControlSet002\Services\GbpSv\Security@Security 0x01 0x00 0x14 0x80 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Arquivos de programas\DAEMON Tools\

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x8D 0x83 0xF3 0x74 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x7A 0x28 0x68 0x3A ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x24 0xD9 0xB3 0xAF ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0xEE 0xA3 0x32 0x5E ...

---- EOF - GMER 1.0.14 ----

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro caiomperet

Bem vindo à Remoção de Malware

Recomendo que salve este tópico em seus Favoritos para facilitar na hora de encontrá-la novamente.

Atente para o seguinte, por favor:

1) Estarei acompanhado os procedimentos de análise de seu log, retornarei tão logo que seja possível!;

2) Não tome nenhum procedimento até começarmos;

3) O que será passado aqui somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;

4) Caso tenha outro computador abra um novo tópico com seu respectivo log;

5) Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;

6) Sempre coloque suas respostas neste tópico... Não abra outro!

Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

OK Diego, vou seguir as instruções e aguardo a tua avaliação.

Com relação ao outro computador que está em rede com aquele, vou abrir outro tópico então.

Abraço,

Caio

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro caiomperet

Obrigado, e desculpe-me por não ter postados esses logs.
Sem problemas :)
Gostaria de saber também se devo abrir outro tópico referente ao notebook, pois ele fica muitas vezes em rede com este, e desconfio que pode ter sido infectado pelos mesmos virus.
Sim, pode abrir um novo tópico e aguarde a análise, por favor!
ALiás, é seguro conectar os dois por um roteador por enquanto, ou devo esperar e desifectar todos antes disso?
Aguarde a desinfecção de ambos os computadores, é mais seguro!

Leia as instruções contidas neste link:

Nas instruções contidas no link acima, poderá verificar quais os fóruns onde os Analistas estão devidamente habilitados a utilizar corretamente a ferramenta:"Fóruns para receber ajuda com logs do ComboFix"

  1. Faça o download do ComboFix de um dos links oficiais listados abaixo e salve no seu desktop:

[*]Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).[*]Duplo clique no icone desktopicon.png que está no desktop.[*]Leia e aceite as condições, digitando 1 e enter.[*]Computadores com Windows XP deverão instalar o Console de Recuperação:

  • Se o seu computador tem instalado o Windows XP e ainda não tem instalado o Console de Recuperação, por favor certifique-se que está conectado à Internet, e clique em "Sim".
  • Clique em "OK" ao EULA.
  • Quando o Console de Recuperação estiver já instalado, clique em "SIM" para continuar.

[*]O ComboFix será executado, por favor seja paciente e aguarde. [*]Atenção: Não utilize o mouse nem o teclado enquanto a ferramenta estiver sendo executada, isso pode fazer com que o computador pare.[*]Poderá surgir o aviso que é necessário reiniciar o computador.

NÃO REINICIE!!! O ComboFix reiniciará o computador automaticamente.[*]Quando a ferramenta terminar de rodar, gerará um log (o arquivo C:\ComboFix.txt). Copie e cole o conteúdo desse arquivo na sua proxima resposta.

NÃO utilize a ferramenta por conta própria. É uma ferramenta poderosa criada pra lidar com infecções sofisticadas e caso não a utilize corretamente poderá danificar o seu computador.

  • Existem vários malwares que impedem a execução correta da ferramenta e com isso danificar gravemente o computador. Analistas habilitados a utilizar o ComboFix conhecem esses casos e sabem lidar com estas situações.
  • Muitos dos Analistas não respondem a topicos em que vejam que o ComboFix foi utilizado sem supervisão.
  • Existem varias ferramentas anti-malware generalistas em que os autores ao elaborarem a programação das mesmas, estão pensando nos usuários finais e para serem usadas sem supervisão. O Combofix não é uma ferramenta desse tipo, e assim sendo e até por respeito ao autor da ferramenta, não utilize sem supervisão.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Oi Diego, aqui vai o log do ComboFix:

ComboFix 08-11-11.01 - User 2008-11-12 20:50:00.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.184 [GMT -2:00]

Executando de: c:\documents and settings\User\Desktop\ComboFix.exe

* Criado um novo ponto de restauro

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_GBPSV

-------\Legacy_NPF

-------\Service_GbpSv

-------\Service_NPF

(((((((((((((((( Arquivos/Ficheiros criados de 2008-10-12 to 2008-11-12 ))))))))))))))))))))))))))))

.

2008-11-07 20:18 . 2008-11-07 20:18 <DIR> d-------- C:\rsit

2008-11-07 20:08 . 2008-11-07 20:08 250 --a------ c:\windows\gmer.ini

2008-11-03 00:06 . 2008-11-03 00:06 <DIR> d-------- c:\documents and settings\User\Dados de aplicativos\Malwarebytes

2008-11-03 00:06 . 2008-11-03 00:06 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2008-11-03 00:06 . 2008-11-03 00:06 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware

2008-11-03 00:06 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-03 00:06 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-11-02 23:57 . 2008-11-03 00:03 <DIR> d-------- c:\arquivos de programas\Marcos Velasco Security

2008-11-02 23:45 . 2008-11-02 23:45 <DIR> d-------- c:\arquivos de programas\IObit

2008-11-02 23:38 . 2008-11-02 23:38 <DIR> d-------- c:\arquivos de programas\CCleaner

2008-11-02 00:11 . 2008-11-02 10:00 <DIR> d-------- c:\documents and settings\User\Dados de aplicativos\SUPERAntiSpyware.com

2008-11-02 00:11 . 2008-11-02 00:11 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\SUPERAntiSpyware.com

2008-11-02 00:11 . 2008-11-02 10:00 <DIR> d-------- c:\arquivos de programas\SUPERAntiSpyware

2008-11-01 13:15 . 2008-11-01 13:15 <DIR> d-------- c:\windows\ERUNT

2008-11-01 13:13 . 2007-07-30 13:43 <DIR> d--h----- c:\documents and settings\Administrador\Modelos

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> d-------- c:\documents and settings\Administrador\Meus documentos

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> dr------- c:\documents and settings\Administrador\Menu Iniciar

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> d-------- c:\documents and settings\Administrador\Favoritos

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> dr-h----- c:\documents and settings\Administrador\Dados de aplicativos

2008-11-01 13:13 . 2008-11-01 13:14 <DIR> d--h----- c:\documents and settings\Administrador\Configurações locais

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de rede

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de impressão

2008-11-01 13:13 . 2008-11-01 13:13 <DIR> d-------- c:\documents and settings\Administrador

2008-10-25 17:42 . 2008-10-30 22:09 70,932 --a------ C:\syys.exe

2008-10-25 14:56 . 2008-11-02 23:39 <DIR> d-------- c:\windows\system32\drive

2008-10-25 14:53 . 2008-10-25 14:56 1,290,890 --a------ C:\srs.exe

2008-10-25 14:53 . 2001-01-01 02:29 20,480 -r-hs---- c:\windows\svrse.exe

2008-10-20 19:12 . 2008-10-20 19:12 151 --a------ c:\windows\explorer.rar

2008-10-14 21:44 . 2008-10-25 15:12 54,156 --ah----- c:\windows\QTFont.qfn

2008-10-14 21:44 . 2008-10-14 21:44 1,409 --a------ c:\windows\QTFont.for

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-03 03:45 --------- d-----w c:\arquivos de programas\GbPlugin

2008-11-03 00:46 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

2008-11-02 12:05 --------- d-----w c:\arquivos de programas\eMule

2008-10-06 19:48 --------- d-----w c:\documents and settings\User\Dados de aplicativos\Skype

2008-09-27 10:01 --------- d-----w c:\arquivos de programas\Quicken

2008-09-23 22:57 --------- d-----w c:\documents and settings\User\Dados de aplicativos\Intuit

2008-09-23 22:56 --------- d-----w c:\arquivos de programas\Arquivos comuns\Palo Alto Software

2008-09-23 22:56 --------- d-----w c:\arquivos de programas\Arquivos comuns\Intuit

2008-09-23 22:55 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Intuit

2007-10-18 23:04 81,920 -c--a-w c:\documents and settings\User\Dados de aplicativos\ezpinst.exe

2007-10-18 23:04 47,360 -c--a-w c:\documents and settings\User\Dados de aplicativos\pcouffin.sys

2001-01-01 04:29 20,480 --sh--r c:\windows\svrse.exe

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"QuickTime Task"="c:\arquivos de programas\QuickTime\qttask.exe" [2007-06-29 286720]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2008-07-30 185896]

"SoundMan"="SOUNDMAN.EXE" [2006-08-03 c:\windows\SOUNDMAN.EXE]

"SiSPower"="SiSPower.dll" [2006-08-22 c:\windows\system32\SiSPower.dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"QuickTime Task"="c:\arquivos de programas\QuickTime\qttask.exe" [2007-06-29 286720]

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2008-07-30 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveSearch"= 1 (0x1)

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]

--a------ 2008-01-11 20:54 623992 c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]

--a------ 2003-12-22 09:38 241664 c:\arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2004-02-18 15:55 49152 c:\arquivos de programas\Hewlett-Packard\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]

--a------ 2004-03-04 13:46 172032 c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]

--a------ 2006-04-13 12:09 49152 c:\arquivos de programas\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-06-29 07:24 286720 c:\arquivos de programas\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--------- 2005-12-07 23:57 30208 c:\arquivos de programas\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]

--a------ 2003-09-23 02:06 88363 c:\windows\AGRSMMSG.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Arquivos de programas\\eMule\\emule.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\NetMeeting\\conf.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"4660:TCP"= 4660:TCP:emule porta

"4670:UDP"= 4670:UDP:emule porta2

"7761:TCP"= 7761:TCP:BitComet 7761 TCP

"7761:UDP"= 7761:UDP:BitComet 7761 UDP

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 SSIPDDP;SSIPDDP Parallel port device driver;c:\windows\system32\DRIVERS\SSIPDDP.SYS [2000-05-17 54272]

S3 FXDrv32;FXDrv32;E:\FXDrv32.sys [ ]

.

Conteúdo da pasta 'Tarefas Agendadas'

2007-09-29 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\arquivos de programas\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]

.

- - - - ORFÃOS REMOVIDOS - - - -

ShellExecuteHooks-{E37CB5F0-51F5-4395-A808-5FA49E399003} - c:\arquivos de programas\GbPlugin\gbiehcef.dll

Notify- GbPluginBb - c:\arquiv~2\GBPLUGIN\gbieh.dll

Notify- GbPluginCef - c:\arquivos de programas\GbPlugin\gbiehcef.dll

.

------- Scan Suplementar -------

.

FireFox -: Profile - c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\xksxy5yn.default\

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-12 20:55:11

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\arquivos de programas\Cyberlink\Shared files\RichVideo.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\rundll32.exe

.

**************************************************************************

.

Tempo para conclusão: 2008-11-12 21:00:06 - Máquina reiniciou

ComboFix-quarantined-files.txt 2008-11-12 23:00:03

Pré-execução: 1,298,964,480 bytes disponíveis

Pós execução: 1,264,844,800 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

163

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro caiomperet

Etapa nº 1 #

Vá até 4y6d3b8.gif" Jotti's malware scan ":

  • Na caixa que fica em cima (File to upload & scan);
  • Copie e cole o seguinte:
    c:\windows\system32\wdfmgr.exe
  • Clique no botão 688godt.jpg
  • O arquivo irá ser examinado por diferentes programas antivirus, por favor aguarde.
  • Repita e submeta a análise, também estes arquivos:
    c:\windows\explorer.rar
  • Copie e cole esse resultado, juntamente com novo log do HijackThis.

Se o site acima estiver muito congestionado, tente num desses sites:

Alternativa 1

Alternativa 2

Etapa nº 2 #

Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).

Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está dentro do "CODE":

http://forum.clubedohardware.com.br/calling/596879

Collect::[4]
C:\syys.exe
C:\srs.exe
c:\windows\svrse.exe
C:\WINDOWS\system32\drivers\aeexl04g.sys

Suspect::
c:\windows\explorer.rar

Dirlook::
c:\windows\system32\drive

Driver::
aeexl04g

Folder::
C:\Arquivos de programas\GbPlugin

FireFox::
FireFox -: Profile - c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\xksxy5yn.defa ult\

  • Salve este arquivo como: CFScript.txt
    CFScriptB-4.gif
  • Tal com exemplificado na foto acima, arraste o arquivo CFScript.txt para o ComboFix.exe
  • Quando a ferramenta terminar de rodar, gerará um arquivo zipado chamado de: Submit [Date Time].zip e também será criado um arquivo: CF-Submit-Previous.htm
  • Certifique-se que tem conexão à internet, pois terá de enviar uns arquivos para análise mais detalhada.
  • No seu computador, localize a pasta C:\Qoobox. Dentro dessa pasta verá um arquivo como nome "CF-Submit-Previous.htm", terá um icone semelhante a este:
  • icon_html.png
  • Dê duplo clique nesse arquivo e uma página será aberta no seu Internet Explorer
  • Na caixa por baixo de "Submeter o malware para análise em Bleeping Computer", copie e cole o caminho para o arquivo que está a frente de "File path ---> (exemplo: C:\Qoobox\Quarantine\Submit [Date Time].zip)
  • Clique agora em "Send" para o arquivo ser enviado.
  • Cole o arquivo C:\ComboFix.txt na sua resposta.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

ComboFix 08-11-11.01 - User 2008-11-13 22:58:45.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.180 [GMT -2:00]

Executando de: c:\documents and settings\User\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\User\Desktop\CFScript.txt

* Criado um novo ponto de restauro

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\arquivos de programas\GbPlugin

c:\arquivos de programas\GbPlugin\bb.gpc

c:\arquivos de programas\GbPlugin\cef.gpc

c:\arquivos de programas\GbPlugin\gbieh.gmd

c:\arquivos de programas\GbPlugin\gbpdist.dll

c:\arquivos de programas\GbPlugin\gbpsv.exe

C:\srs.exe

C:\syys.exe

c:\windows\svrse.exe

.

(((((((((((((((( Arquivos/Ficheiros criados de 2008-10-14 to 2008-11-14 ))))))))))))))))))))))))))))

.

2008-11-07 20:18 . 2008-11-07 20:18 <DIR> d-------- C:\rsit

2008-11-07 20:08 . 2008-11-07 20:08 250 --a------ c:\windows\gmer.ini

2008-11-03 00:06 . 2008-11-03 00:06 <DIR> d-------- c:\documents and settings\User\Dados de aplicativos\Malwarebytes

2008-11-03 00:06 . 2008-11-03 00:06 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2008-11-03 00:06 . 2008-11-03 00:06 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware

2008-11-03 00:06 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-03 00:06 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-11-02 23:57 . 2008-11-03 00:03 <DIR> d-------- c:\arquivos de programas\Marcos Velasco Security

2008-11-02 23:45 . 2008-11-02 23:45 <DIR> d-------- c:\arquivos de programas\IObit

2008-11-02 23:38 . 2008-11-02 23:38 <DIR> d-------- c:\arquivos de programas\CCleaner

2008-11-02 00:11 . 2008-11-02 10:00 <DIR> d-------- c:\documents and settings\User\Dados de aplicativos\SUPERAntiSpyware.com

2008-11-02 00:11 . 2008-11-02 00:11 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\SUPERAntiSpyware.com

2008-11-02 00:11 . 2008-11-02 10:00 <DIR> d-------- c:\arquivos de programas\SUPERAntiSpyware

2008-11-01 13:15 . 2008-11-01 13:15 <DIR> d-------- c:\windows\ERUNT

2008-11-01 13:13 . 2007-07-30 13:43 <DIR> d--h----- c:\documents and settings\Administrador\Modelos

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> d-------- c:\documents and settings\Administrador\Meus documentos

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> dr------- c:\documents and settings\Administrador\Menu Iniciar

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> d-------- c:\documents and settings\Administrador\Favoritos

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> dr-h----- c:\documents and settings\Administrador\Dados de aplicativos

2008-11-01 13:13 . 2008-11-13 23:00 <DIR> d--h----- c:\documents and settings\Administrador\Configurações locais

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de rede

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de impressão

2008-11-01 13:13 . 2008-11-01 13:13 <DIR> d-------- c:\documents and settings\Administrador

2008-10-25 14:56 . 2008-11-02 23:39 <DIR> d-------- c:\windows\system32\drive

2008-10-20 19:12 . 2008-10-20 19:12 151 --a------ c:\windows\explorer.rar

2008-10-14 21:44 . 2008-10-25 15:12 54,156 --ah----- c:\windows\QTFont.qfn

2008-10-14 21:44 . 2008-10-14 21:44 1,409 --a------ c:\windows\QTFont.for

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-03 00:46 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

2008-11-02 12:05 --------- d-----w c:\arquivos de programas\eMule

2008-10-06 19:48 --------- d-----w c:\documents and settings\User\Dados de aplicativos\Skype

2008-09-27 10:01 --------- d-----w c:\arquivos de programas\Quicken

2008-09-23 22:57 --------- d-----w c:\documents and settings\User\Dados de aplicativos\Intuit

2008-09-23 22:56 --------- d-----w c:\arquivos de programas\Arquivos comuns\Palo Alto Software

2008-09-23 22:56 --------- d-----w c:\arquivos de programas\Arquivos comuns\Intuit

2008-09-23 22:55 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Intuit

2007-10-18 23:04 81,920 -c--a-w c:\documents and settings\User\Dados de aplicativos\ezpinst.exe

2007-10-18 23:04 47,360 -c--a-w c:\documents and settings\User\Dados de aplicativos\pcouffin.sys

.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

---- Directory of c:\windows\system32\drive ----

2008-11-02 10:06 134 --a------ c:\windows\system32\drive\370.reg

2008-11-02 10:05 3963 --a------ c:\windows\system32\drive\dbqp.fon

2008-11-01 12:51 134 --a------ c:\windows\system32\drive\159.reg

2008-11-01 12:47 134 --a------ c:\windows\system32\drive\109.reg

2008-11-01 10:35 134 --a------ c:\windows\system32\drive\885.reg

2008-11-01 10:35 134 --a------ c:\windows\system32\drive\441.reg

2008-11-01 10:16 134 --a------ c:\windows\system32\drive\173.reg

2008-11-01 09:03 134 --a------ c:\windows\system32\drive\766.reg

2008-11-01 09:00 134 --a------ c:\windows\system32\drive\896.reg

2008-11-01 09:00 134 --a------ c:\windows\system32\drive\145.reg

2008-11-01 06:08 134 --a------ c:\windows\system32\drive\477.reg

2008-11-01 06:08 134 --a------ c:\windows\system32\drive\448.reg

2008-11-01 03:36 134 --a------ c:\windows\system32\drive\446.reg

2008-11-01 03:29 134 --a------ c:\windows\system32\drive\175.reg

2008-11-01 02:31 134 --a------ c:\windows\system32\drive\464.reg

2008-11-01 00:26 134 --a------ c:\windows\system32\drive\869.reg

2008-05-25 21:30 35509 --a------ c:\windows\system32\drive\lmz.exe

2008-05-25 20:38 33587 --a------ c:\windows\system32\drive\lmz1.bmp

2008-05-25 19:48 278 --a------ c:\windows\system32\drive\poiyu

2007-11-25 04:15 42512 --a------ c:\windows\system32\drive\lmz3.bmp

2007-11-21 02:47 15734 --a------ c:\windows\system32\drive\lmz2.bmp

2007-11-03 10:17 10338 --a------ c:\windows\system32\drive\winreg.oce

2007-10-26 08:57 3984 --a------ c:\windows\system32\drive\Refix.ocx

2007-10-01 17:57 8970 --a------ c:\windows\system32\drive\wsx

2007-10-01 17:57 11089 --a------ c:\windows\system32\drive\qaz

2007-09-05 12:02 90112 --a------ c:\windows\system32\drive\lam2.exe

2007-09-05 12:02 61440 --a------ c:\windows\system32\drive\lam1.exe

2007-09-05 12:02 31744 --a------ c:\windows\system32\drive\lam5.exe

2007-09-05 12:02 19968 --a------ c:\windows\system32\drive\lam3.exe

2007-09-05 12:02 17408 --a------ c:\windows\system32\drive\lam4.exe

2006-03-15 22:51 18432 --a------ c:\windows\system32\drive\msn.dll

2003-04-19 12:43 86016 --a------ c:\windows\system32\drive\reg.dll

2003-03-16 16:49 33792 --a------ c:\windows\system32\drive\d.dll

2002-08-27 19:03 29184 --a------ c:\windows\system32\drive\systemac.dll

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"QuickTime Task"="c:\arquivos de programas\QuickTime\qttask.exe" [2007-06-29 286720]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2008-07-30 185896]

"SoundMan"="SOUNDMAN.EXE" [2006-08-03 c:\windows\SOUNDMAN.EXE]

"SiSPower"="SiSPower.dll" [2006-08-22 c:\windows\system32\SiSPower.dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"QuickTime Task"="c:\arquivos de programas\QuickTime\qttask.exe" [2007-06-29 286720]

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2008-07-30 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]

--a------ 2008-01-11 20:54 623992 c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]

--a------ 2003-12-22 09:38 241664 c:\arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2004-02-18 15:55 49152 c:\arquivos de programas\Hewlett-Packard\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]

--a------ 2004-03-04 13:46 172032 c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]

--a------ 2006-04-13 12:09 49152 c:\arquivos de programas\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-06-29 07:24 286720 c:\arquivos de programas\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--------- 2005-12-07 23:57 30208 c:\arquivos de programas\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]

--a------ 2003-09-23 02:06 88363 c:\windows\AGRSMMSG.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Arquivos de programas\\eMule\\emule.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\NetMeeting\\conf.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"4660:TCP"= 4660:TCP:emule porta

"4670:UDP"= 4670:UDP:emule porta2

"7761:TCP"= 7761:TCP:BitComet 7761 TCP

"7761:UDP"= 7761:UDP:BitComet 7761 UDP

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 SSIPDDP;SSIPDDP Parallel port device driver;c:\windows\system32\DRIVERS\SSIPDDP.SYS [2000-05-17 54272]

S3 FXDrv32;FXDrv32;E:\FXDrv32.sys [ ]

*Newly Created Service* - CATCHME

.

Conteúdo da pasta 'Tarefas Agendadas'

2007-09-29 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\arquivos de programas\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-13 23:00:09

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

.

Tempo para conclusão: 2008-11-13 23:00:52

ComboFix-quarantined-files.txt 2008-11-14 01:00:47

ComboFix2.txt 2008-11-12 23:00:07

Pré-execução: 1,250,242,560 bytes disponíveis

Pós execução: 1,239,982,080 bytes disponíveis

172

Compartilhar este post


Link para o post
Compartilhar em outros sites

Service load: 0% 100%

File: wdfmgr.exe

Status: OK(Note: file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5: c81b8635dee0d3ef5f64b3dd643023a5

Packers detected: -

Scanner results

Scan taken on 14 Nov 2008 01:15:22 (GMT)

A-Squared Found nothing

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

G DATA Found nothing

Ikarus Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

Panda Antivirus Found nothing

Sophos Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found nothing

Compartilhar este post


Link para o post
Compartilhar em outros sites

Service load: 0% 100%

File: explorer.rar

Status: OK(Note: file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5: 4c516b406b68a0719e5af5c0ded9a279

Packers detected: -

Scanner results

Scan taken on 14 Nov 2008 01:19:06 (GMT)

A-Squared Found nothing

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

G DATA Found nothing

Ikarus Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

Panda Antivirus Found nothing

Sophos Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found nothing

Compartilhar este post


Link para o post
Compartilhar em outros sites

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:20, on 2008-11-13

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Arquivos de programas\Cyberlink\Shared files\RichVideo.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\explorer.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.clubedohardware.com.br/calling/596879

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIV~2\GBPLUGIN\gbieh.dll (file missing)

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

O4 - HKCU\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKCU\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Append to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~2\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~2\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~2\ARQUIV~1\Skype\SKYPE4~1.DLL

O23 - Service: ABAQUS License Service - - (no file)

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\Cyberlink\Shared files\RichVideo.exe

--

End of file - 7137 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro caiomperet

>>> Pergunta: o serviço abaixo é de seu conhecimento:

O23 - Service: ABAQUS License Service - - (no file)

Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).

Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está dentro do "Código":

Folder::
c:\windows\system32\drive

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41A1C0E-EA6C-11D4-B1B8-444553540000}]

Salve este arquivo como: CFScript.txt

2872959479_997d4500c4_o.gif

Tal com exemplificado na foto acima, arraste o arquivo CFScript.txt para dentro do ComboFix.exe. Quando a ferramenta terminar de rodar, gerará um log. Poste esse arquivo C:\ComboFix.txt.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Oi Diego,

O processo indicado era de um software que foi desinstalado do micro há algum tempo.

Conforme solicitado, segue o post do ComboFix.txt:

ComboFix 08-11-11.01 - User 2008-11-14 22:18:45.4 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.186 [GMT -2:00]

Executando de: c:\documents and settings\User\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\User\Desktop\CFScript.txt

* Criado um novo ponto de restauro

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\drive

c:\windows\system32\drive\109.reg

c:\windows\system32\drive\145.reg

c:\windows\system32\drive\159.reg

c:\windows\system32\drive\173.reg

c:\windows\system32\drive\175.reg

c:\windows\system32\drive\370.reg

c:\windows\system32\drive\441.reg

c:\windows\system32\drive\446.reg

c:\windows\system32\drive\448.reg

c:\windows\system32\drive\464.reg

c:\windows\system32\drive\477.reg

c:\windows\system32\drive\766.reg

c:\windows\system32\drive\869.reg

c:\windows\system32\drive\885.reg

c:\windows\system32\drive\896.reg

c:\windows\system32\drive\d.dll

c:\windows\system32\drive\dbqp.fon

c:\windows\system32\drive\lam1.exe

c:\windows\system32\drive\lam2.exe

c:\windows\system32\drive\lam3.exe

c:\windows\system32\drive\lam4.exe

c:\windows\system32\drive\lam5.exe

c:\windows\system32\drive\lmz.exe

c:\windows\system32\drive\lmz1.bmp

c:\windows\system32\drive\lmz2.bmp

c:\windows\system32\drive\lmz3.bmp

c:\windows\system32\drive\msn.dll

c:\windows\system32\drive\poiyu

c:\windows\system32\drive\qaz

c:\windows\system32\drive\Refix.ocx

c:\windows\system32\drive\reg.dll

c:\windows\system32\drive\systemac.dll

c:\windows\system32\drive\winreg.oce

c:\windows\system32\drive\wsx

.

(((((((((((((((( Arquivos/Ficheiros criados de 2008-10-15 to 2008-11-15 ))))))))))))))))))))))))))))

.

2008-11-07 20:18 . 2008-11-07 20:18 <DIR> d-------- C:\rsit

2008-11-07 20:08 . 2008-11-07 20:08 250 --a------ c:\windows\gmer.ini

2008-11-03 00:06 . 2008-11-03 00:06 <DIR> d-------- c:\documents and settings\User\Dados de aplicativos\Malwarebytes

2008-11-03 00:06 . 2008-11-03 00:06 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2008-11-03 00:06 . 2008-11-03 00:06 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware

2008-11-03 00:06 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-03 00:06 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-11-02 23:57 . 2008-11-03 00:03 <DIR> d-------- c:\arquivos de programas\Marcos Velasco Security

2008-11-02 23:45 . 2008-11-02 23:45 <DIR> d-------- c:\arquivos de programas\IObit

2008-11-02 23:38 . 2008-11-02 23:38 <DIR> d-------- c:\arquivos de programas\CCleaner

2008-11-02 00:11 . 2008-11-02 10:00 <DIR> d-------- c:\documents and settings\User\Dados de aplicativos\SUPERAntiSpyware.com

2008-11-02 00:11 . 2008-11-02 00:11 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\SUPERAntiSpyware.com

2008-11-02 00:11 . 2008-11-02 10:00 <DIR> d-------- c:\arquivos de programas\SUPERAntiSpyware

2008-11-01 13:15 . 2008-11-01 13:15 <DIR> d-------- c:\windows\ERUNT

2008-11-01 13:13 . 2007-07-30 13:43 <DIR> d--h----- c:\documents and settings\Administrador\Modelos

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> d-------- c:\documents and settings\Administrador\Meus documentos

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> dr------- c:\documents and settings\Administrador\Menu Iniciar

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> d-------- c:\documents and settings\Administrador\Favoritos

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> dr-h----- c:\documents and settings\Administrador\Dados de aplicativos

2008-11-01 13:13 . 2008-11-14 22:20 <DIR> d--h----- c:\documents and settings\Administrador\Configurações locais

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de rede

2008-11-01 13:13 . 2007-07-30 10:26 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de impressão

2008-11-01 13:13 . 2008-11-01 13:13 <DIR> d-------- c:\documents and settings\Administrador

2008-10-20 19:12 . 2008-10-20 19:12 151 --a------ c:\windows\explorer.rar

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-03 00:46 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

2008-11-02 12:05 --------- d-----w c:\arquivos de programas\eMule

2008-10-06 19:48 --------- d-----w c:\documents and settings\User\Dados de aplicativos\Skype

2008-09-27 10:01 --------- d-----w c:\arquivos de programas\Quicken

2008-09-23 22:57 --------- d-----w c:\documents and settings\User\Dados de aplicativos\Intuit

2008-09-23 22:56 --------- d-----w c:\arquivos de programas\Arquivos comuns\Palo Alto Software

2008-09-23 22:56 --------- d-----w c:\arquivos de programas\Arquivos comuns\Intuit

2008-09-23 22:55 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Intuit

2007-10-18 23:04 81,920 -c--a-w c:\documents and settings\User\Dados de aplicativos\ezpinst.exe

2007-10-18 23:04 47,360 -c--a-w c:\documents and settings\User\Dados de aplicativos\pcouffin.sys

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"QuickTime Task"="c:\arquivos de programas\QuickTime\qttask.exe" [2007-06-29 286720]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2008-07-30 185896]

"SoundMan"="SOUNDMAN.EXE" [2006-08-03 c:\windows\SOUNDMAN.EXE]

"SiSPower"="SiSPower.dll" [2006-08-22 c:\windows\system32\SiSPower.dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"QuickTime Task"="c:\arquivos de programas\QuickTime\qttask.exe" [2007-06-29 286720]

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2008-07-30 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]

--a------ 2008-01-11 20:54 623992 c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]

--a------ 2003-12-22 09:38 241664 c:\arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2004-02-18 15:55 49152 c:\arquivos de programas\Hewlett-Packard\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]

--a------ 2004-03-04 13:46 172032 c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]

--a------ 2006-04-13 12:09 49152 c:\arquivos de programas\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-06-29 07:24 286720 c:\arquivos de programas\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--------- 2005-12-07 23:57 30208 c:\arquivos de programas\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]

--a------ 2003-09-23 02:06 88363 c:\windows\AGRSMMSG.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Arquivos de programas\\eMule\\emule.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\NetMeeting\\conf.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"4660:TCP"= 4660:TCP:emule porta

"4670:UDP"= 4670:UDP:emule porta2

"7761:TCP"= 7761:TCP:BitComet 7761 TCP

"7761:UDP"= 7761:UDP:BitComet 7761 UDP

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 SSIPDDP;SSIPDDP Parallel port device driver;c:\windows\system32\DRIVERS\SSIPDDP.SYS [2000-05-17 54272]

S3 FXDrv32;FXDrv32;E:\FXDrv32.sys [ ]

.

Conteúdo da pasta 'Tarefas Agendadas'

2007-09-29 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\arquivos de programas\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-14 22:20:27

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

.

Tempo para conclusão: 2008-11-14 22:21:11

ComboFix-quarantined-files.txt 2008-11-15 00:21:03

ComboFix2.txt 2008-11-14 01:00:53

ComboFix3.txt 2008-11-12 23:00:07

Pré-execução: 1,218,211,840 bytes disponíveis

Pós execução: 1,210,126,336 bytes disponíveis

158

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro caiomperet

# Etapa nº 1 #

Reinicie o computador em Modo Seguro (pressione a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização)

# Etapa nº 2 #

Vá no no menu iniciar > executar e digite cmd, no prompt digite:

sc stop "ABAQUS License Service" (enter)

sc delete "ABAQUS License Service" (enter)

digite exit (enter)

>>> Reinicie o computador em Modo Normal.

# Etapa nº 3 #

Temporariamente desative o seu anti-virus!

Faça um Online Scan em kaspersky Virusscanner

  • Clique em Clipboard01-1.jpg
  • Quando questionando para instalar o ActiveX, clique Clipboard015.jpg
  • Aguarde a instalação e a atualização e depois clique em Clipboard013.jpg
  • Clique agora em Clipboard016.jpg
  • Nas opções do scan (settings), certifique-se que as entradas abaixo estão selecionadas:
    • Scan using the following Anti-Virus database:

    • Extended (if available otherwise Standard)
  • Scan Options:

  • Scan Archives Scan Mail Bases
Clique Clipboard014.jpgClique em My Computer para que seja feito um Scan completo no seu sistema.Será inciaido o scan e poderá demorar um pouco. Seja paciente e aguarde.No final do Scan, clique no botão Save as TextSalve o log com os resultados e cole o conteúdo na sua próxima mensagem.Gere e cole também um novo log do HijackThis.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Lá vão os logs solicitados.

Obrigado!

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Monday, November 17, 2008

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Sunday, November 16, 2008 20:31:41

Records in database: 1388279

--------------------------------------------------------------------------------

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

Scan area - My Computer:

A:\

C:\

D:\

E:\

F:\

Scan statistics:

Files scanned: 74736

Threat name: 12

Infected objects: 21

Suspicious objects: 0

Duration of the scan: 02:19:11

File name / Threat name / Threats count

C:\Arquivos de programas\mIRC\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.62 1

C:\Documents and Settings\User\Meus documentos\shutdown.zip Infected: Backdoor.Win32.Agent.rvl 1

C:\Downloads\Virtual Cover Creator 2.1.0.zip Infected: Trojan-Downloader.Win32.Bagle.ael 1

C:\Qoobox\Quarantine\C\WINDOWS\system32\drive\lam2.exe.vir Infected: not-a-virus:NetTool.Win32.Sniffer.c 1

C:\Qoobox\Quarantine\C\WINDOWS\system32\drive\lam3.exe.vir Infected: not-a-virus:RiskTool.Win32.HideWindows 1

C:\Qoobox\Quarantine\C\WINDOWS\system32\drive\lam4.exe.vir Infected: not-a-virus:RiskTool.Win32.HideWindows 1

C:\Qoobox\Quarantine\C\WINDOWS\system32\drive\lam5.exe.vir Infected: not-a-virus:PSWTool.Win32.PassView.162 1

C:\Qoobox\Quarantine\C\WINDOWS\system32\drive\lmz.exe.vir Infected: Backdoor.IRC.Zapchast.zwqy 1

C:\Qoobox\Quarantine\C\WINDOWS\system32\drive\lmz1.bmp.vir Infected: Backdoor.IRC.Zapchast.zwqz 1

C:\Qoobox\Quarantine\C\WINDOWS\system32\drive\lmz2.bmp.vir Infected: Backdoor.IRC.Zapchast.zwra 1

C:\Qoobox\Quarantine\C\WINDOWS\system32\drive\lmz3.bmp.vir Infected: Backdoor.IRC.Zapchast.zwrb 1

C:\Qoobox\Quarantine\[4]-Submit_2008-11-13@22.58.zip Infected: Backdoor.Win32.IRCBot.dsh 1

C:\Qoobox\Quarantine\[4]-Submit_2008-11-13@22.58.zip Infected: not-a-virus:NetTool.Win32.Sniffer.c 1

C:\Qoobox\Quarantine\[4]-Submit_2008-11-13@22.58.zip Infected: not-a-virus:RiskTool.Win32.HideWindows 2

C:\Qoobox\Quarantine\[4]-Submit_2008-11-13@22.58.zip Infected: not-a-virus:PSWTool.Win32.PassView.162 1

C:\Qoobox\Quarantine\[4]-Submit_2008-11-13@22.58.zip Infected: Backdoor.IRC.Zapchast.zwqy 1

C:\Qoobox\Quarantine\[4]-Submit_2008-11-13@22.58.zip Infected: Backdoor.IRC.Zapchast.zwqz 1

C:\Qoobox\Quarantine\[4]-Submit_2008-11-13@22.58.zip Infected: Backdoor.IRC.Zapchast.zwra 1

C:\Qoobox\Quarantine\[4]-Submit_2008-11-13@22.58.zip Infected: Backdoor.IRC.Zapchast.zwrb 1

C:\Qoobox\Quarantine\[4]-Submit_2008-11-13@22.58.zip Infected: Trojan.Win32.Agent.zre 1

The selected area was scanned.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:09, on 2008-11-17

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Arquivos de programas\Cyberlink\Shared files\RichVideo.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\Rundll32.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Arquivos de programas\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.clubedohardware.com.br/calling/596879

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe

O4 - HKCU\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKCU\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Append to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~2\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~2\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~2\ARQUIV~1\Skype\SKYPE4~1.DLL

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\Cyberlink\Shared files\RichVideo.exe

--

End of file - 7050 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro caiomperet

# Etapa nº 1 #

Com a ajuda do Windows Explorer (Win + E) procure os arquivo abaixos destacados em vermelho e delete-os!

C:\Documents and Settings\User\Meus documentos\shutdown.zip Infected: Backdoor.Win32.Agent.rvl 1

C:\Downloads\Virtual Cover Creator 2.1.0.zip Infected: Trojan-Downloader.Win32.Bagle.ael 1

Quanto ao log está limpo :joia:

# Etapa nº 2 #

Desinstale o ComboFix:

Vá em,

iniciar > executar e digite Combofix /u e clique OK, na janela qu aparecer clique em executar e aguarde o programa ser removido!

# Etapa nº 3 #

1) Atualize o Service Pack (SP) do windows XP, o seu está com SP2 coloque o SP3;

Service Pack 3

Download Aqui

2) Atualize o Internet Explorer (IE), o seu está com o IE6 coloque o IE7;

Internet Explorer 7

Download Aqui

# Etapa nº 4 #

O seu Java está desatualizado.

Versões antigas e desatualizadas, estão mais vulneráveis aos malwares.

  • Faça o download da última versão do Java Runtime Environment (JRE) 6 Update 10 e salve no seu ambiente de trabalho (Desktop).
  • Navegue até "Java Runtime Environment (JRE) 6 Update 10...allows end-users to run Java applications".
  • Clique em "Download". (está do lado direito)
  • Selecione a sua Plataforma: "Windows".
  • Selecione a sua linguagem: "Português".
  • Leia a Licença de uso e marque a caixa: "Accept License Agreement".
  • Clique "Continue".
  • Clique no link para download Windows Offline Installation e salve o arquivo no seu Ambiente de Trabalho.
  • Feche todos os programas que esteja usar. Especialmente o seu Navegador (IE, Firefox, etc)
  • Clique em Iniciar -> Configurações -> Painel de Controle, duplo clique em Adicionar/Remover Programas e remova todas as versões antigas de Java.
  • Marque qualquer item , que tenha no nome: Java Runtime Environment (JRE ou J2SE). Deverá ter um icone como este javaicon.jpg
  • Clique em Remover ou Modificar/Remover.
  • Repita quantas vezes for necessário, até que tenha removido todas as versões antigas de Java que existam no seu PC.
  • Reinicie o seu computador, após ter removido as versões antigas de Java.
  • Dê agora o duplo-clique em jre-6u10-windows-i586-p.exe (está no seu desktop), para instalar a nova e mais segura versão de Java.

# Etapa nº 5 #

<<@>> Instale o CCleaner

O CCleaner é um excelente utilitário de limpeza para o computador, que lhe ajudará no desempenho do computador.

Faça o download dele aqui CCleaner


  • IMPORTANTE: Após a instalação vá até o local onde o programa foi instalado, C:\Arquivos de programas\CCleaner, clique duas vezes na pasta, numa área vazia desta janela, clique com o botão direito do mouse e escolha Novo > pasta e crie uma nova pasta; coloque o nome de backups!
  • Abra o programa e clique em Executar Limpeza;
  • clique no botão Registro > Procurar Erros > Corrigir erro(s) seleciona(s)...
    Obs: Não se esqueça de aceitar o backup das correções, e salvá-los nas pasta criada acima!

<<@>> Mantenha sempre seu Windows atualizado; mantenha uma vigilância constante com o firewall e antivírus e por fim, lembre-se que, a melhor forma de prevenir começa pelas nossas atitudes!

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok Diego,

Muito obrigado pela ajuda!!!!!

Um abração,

Caio

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caso o autor do tópico necessite, o mesmo será reaberto, para isso deverá entrar em contato com a moderação solicitando o desbloqueio.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×