Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Rafz

Processos Estranhos no Computador

Recommended Posts

Durante as ferias, enquanto eu vajava, utilizaram meu PC e, quando eu voltei, notei varios processos estranhos pelo Gerenciador de Tarefas (msnsky.exe ORKOBJ.exe, eguis.exe e hunter.exe)

Finalizei os processos, fiz o scan pelo AVG, que detectou um rootkit, que é recriado toda vez que excluido.

Utilizei tambem o CC Cleaner e fiz os scans com o DDS, o Gmer e o HijackThis

Zipei os logs e coloquei no rapidshare: http://rapidshare.com/files/267666268/Logs.rar.html

O que mais posso fazer para salvar meu pc?

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Log do DDS:

DDS (Ver_09-07-30.01) - NTFSx86

Run by Usu*rio at 23:47:06,42 on sex 14/08/2009

Internet Explorer: 7.0.5730.11 BrowserJavaVersion: 1.6.0_13

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.2047.1186 [GMT -3:00]

AV: AVG Internet Security *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup

svchost.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\ARQUIV~1\AVG\AVG8\avgam.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\ARQUIV~1\AVG\AVG8\avgemc.exe

C:\ARQUIV~1\AVG\AVG8\avgrsx.exe

C:\Arquivos de programas\AVG\AVG8\avgcsrvx.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Usuário\Desktop\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.google.com.br/

BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\arquivos de programas\arquivos comuns\adobe\acrobat\activex\AcroIEHelper.dll

BHO: RealPlayer Download and Record Plugin for Internet Explorer: {3049c3e9-b461-4bc5-8870-4c09146192ca} - c:\program files\real\realplayer\rpbrowserrecordplugin.dll

BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File

BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Adobe PDF Conversion Toolbar Helper: {ae7cd045-e861-484f-8273-0445ee161910} - c:\arquivos de programas\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\arquivos de programas\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\arquivos de programas\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll

EB: Adobe PDF: {182ec0be-5110-49c8-a062-beb1d02a220b} - c:\arquivos de programas\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

mRun: [AVG8_TRAY] c:\arquiv~1\avg\avg8\avgtray.exe

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

IE: Append to existing PDF - c:\arquivos de programas\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert link target to Adobe PDF - c:\arquivos de programas\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert link target to existing PDF - c:\arquivos de programas\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert selected links to Adobe PDF - c:\arquivos de programas\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convert selected links to existing PDF - c:\arquivos de programas\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Convert selection to Adobe PDF - c:\arquivos de programas\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert selection to existing PDF - c:\arquivos de programas\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert to Adobe PDF - c:\arquivos de programas\adobe\acrobat 8.0\acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\micros~2\office11\EXCEL.EXE/3000

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\micros~2\office11\REFIEBAR.DLL

DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

TCP: {36179DC5-10BE-48B8-9C22-5C235387E16E} = 200.204.0.10 200.204.0.138

TCP: {44DC7E14-0066-4495-975F-92843C6BD508} = 208.167.222.222,208.167.220.220

Notify: avgrsstarter - avgrsstx.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\usurio~1\dadosd~1\mozilla\firefox\profiles\wyeqjvba.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.terra.com.br/portal/

FF - component: c:\documents and settings\usuário\dados de aplicativos\mozilla\firefox\profiles\wyeqjvba.default\extensions\{87f8774f-b485-47e2-a755-a40a8a5e8874}\components\GbMzhAbn.dll

FF - plugin: c:\program files\real\realplayer\netscape6\nppl3260.dll

FF - plugin: c:\program files\real\realplayer\netscape6\nprjplug.dll

FF - plugin: c:\program files\real\realplayer\netscape6\nprpjplug.dll

FF - HiddenExtension: Java Console: No Registry Reference - c:\arquivos de programas\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}

FF - HiddenExtension: Java Console: No Registry Reference - c:\arquivos de programas\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

============= SERVICES / DRIVERS ===============

R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [2009-1-8 12552]

R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-1-8 335240]

R1 AvgMfx86;AVG On-access Scanner Minifilter Driver x86;c:\windows\system32\drivers\avgmfx86.sys [2009-1-8 27784]

R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-1-8 108552]

R2 avg8emc;AVG8 E-mail Scanner;c:\arquiv~1\avg\avg8\avgemc.exe [2009-1-8 908056]

R2 avg8wd;AVG8 WatchDog;c:\arquiv~1\avg\avg8\avgwdsvc.exe [2009-1-8 297752]

R3 PAC7302;Messenger 310;c:\windows\system32\drivers\PAC7302.SYS [2007-6-14 457856]

S2 yptnuqt;System Image;c:\windows\system32\svchost.exe -k netsvcs [2002-12-31 14336]

S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\usurio~1\config~1\temp\jzx12.tmp --> c:\docume~1\usurio~1\config~1\temp\JZX12.tmp [?]

S3 IlvMoneyDRIVER53;IlvMoneyDRIVER53;c:\documents and settings\usuário\desktop\moonlight+engine+1312.4.0.0\Money1312.sys [2009-5-30 30080]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\gamemon.des -service --> c:\windows\system32\GameMon.des -service [?]

S3 PAC207;VideoCAM GF112;c:\windows\system32\drivers\PFC027.sys [2005-4-8 162176]

S3 XDva182;XDva182;\??\c:\windows\system32\xdva182.sys --> c:\windows\system32\XDva182.sys [?]

S3 XDva190;XDva190;\??\c:\windows\system32\xdva190.sys --> c:\windows\system32\XDva190.sys [?]

S3 XDva195;XDva195;\??\c:\windows\system32\xdva195.sys --> c:\windows\system32\XDva195.sys [?]

S3 XDva205;XDva205;\??\c:\windows\system32\xdva205.sys --> c:\windows\system32\XDva205.sys [?]

S3 XDva214;XDva214;\??\c:\windows\system32\xdva214.sys --> c:\windows\system32\XDva214.sys [?]

S3 XDva224;XDva224;\??\c:\windows\system32\xdva224.sys --> c:\windows\system32\XDva224.sys [?]

S3 XDva276;XDva276;\??\c:\windows\system32\xdva276.sys --> c:\windows\system32\XDva276.sys [?]

S3 XDva279;XDva279;\??\c:\windows\system32\xdva279.sys --> c:\windows\system32\XDva279.sys [?]

=============== Created Last 30 ================

2009-08-14 22:25 <DIR> --d-hr-- c:\documents and settings\usuário\Recent

2009-08-14 22:19 <DIR> --d----- c:\arquivos de programas\CCleaner

2009-07-31 18:35 <DIR> --d----- c:\documents and settings\usuário\WINDOWS

2009-07-29 10:01 1,056,768 a------- c:\windows\system32\libmysql41.dll

2009-07-29 10:01 819,712 a------- c:\windows\arp32.exe

2009-07-29 10:00 <DIR> --d----- c:\arquivos de programas\Messenger Plus! Live

2009-07-29 10:00 3,063,631 a------- c:\windows\system32\Pegm.exe

2009-07-27 15:47 0 a------- c:\windows\winmem.ini

2009-07-24 23:11 <DIR> --d----- c:\documents and settings\usuário\.jagex_cache_32

2009-07-21 16:00 <DIR> --d----- c:\docume~1\alluse~1\dadosd~1\GbPlugin

2009-07-19 19:12 <DIR> --d----- c:\arquivos de programas\MegaJogos

==================== Find3M ====================

2009-08-14 21:36 9,175,040 a---h--- c:\documents and settings\usuário\NTUSER.DAT

2009-07-31 09:50 11,952 a------- c:\windows\system32\avgrsstx.dll

2009-07-31 09:50 335,240 a------- c:\windows\system32\drivers\avgldx86.sys

2009-07-27 15:47 337,408 ---sh--- c:\windows\help\ORKOBJ.exe

2009-07-27 15:47 902,144 ---sh--- c:\windows\help\hunter.exe

2009-07-27 15:47 449,536 ---sh--- c:\windows\help\msnsky.exe

2009-06-26 13:18 230,432 a------- C:\PA7302.DAT

2009-06-17 15:50 465,986 a------- c:\windows\system32\perfh016.dat

2009-06-17 15:50 76,414 a------- c:\windows\system32\perfc016.dat

2009-05-24 20:47 410,984 ac------ c:\windows\system32\deploytk.dll

2009-03-09 15:29 316 ac------ c:\arquivos de programas\unin.bat

2009-01-04 18:30 32 a----r-- c:\documents and settings\all users\hash.dat

2008-09-03 17:31 22,328 ac------ c:\docume~1\usurio~1\dadosd~1\PnkBstrK.sys

2009-03-22 10:10 32,768 ac-sh--- c:\windows\system32\config\systemprofile\configurações locais\histórico\history.ie5\mshist012009032220090323\index.dat

============= FINISH: 23:47:28,09 ===============

Tenho tambem o attach do DDS e os logs do gmer e HijackThis

Compartilhar este post


Link para o post
Compartilhar em outros sites

Leia as instruções contidas neste link:

Nas instruções contidas no link acima, poderá verificar quais os fóruns onde os Analistas estão devidamente habilitados a utilizar corretamente a ferramenta:"Fóruns para receber ajuda com logs do ComboFix"

  1. Faça o download do ComboFix de um dos links oficiais listados abaixo e salve no seu desktop:

[*]Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).[*]Duplo clique no icone desktopicon.png que está no desktop.[*]Leia e aceite as condições, digitando 1 e enter.[*]Computadores com Windows XP deverão instalar o Console de Recuperação:

  • Se o seu computador tem instalado o Windows XP e ainda não tem instalado o Console de Recuperação, por favor certifique-se que está conectado à Internet, e clique em "Sim".
  • Clique em "OK" ao EULA.
  • Quando o Console de Recuperação estiver já instalado, clique em "SIM" para continuar.

[*]O ComboFix será executado, por favor seja paciente e aguarde. [*]Atenção: Não utilize o mouse nem o teclado enquanto a ferramenta estiver sendo executada, isso pode fazer com que o computador pare.[*]Poderá surgir o aviso que é necessário reiniciar o computador.

NÃO REINICIE!!! O ComboFix reiniciará o computador automaticamente.[*]Quando a ferramenta terminar de rodar, gerará um log (o arquivo C:\ComboFix.txt). Copie e cole o conteúdo desse arquivo na sua proxima resposta.

NÃO utilize a ferramenta por conta própria. É uma ferramenta poderosa criada pra lidar com infecções sofisticadas e caso não a utilize corretamente poderá danificar o seu computador.

  • Existem vários malwares que impedem a execução correta da ferramenta e com isso danificar gravemente o computador. Analistas habilitados a utilizar o ComboFix conhecem esses casos e sabem lidar com estas situações.
  • Muitos dos Analistas não respondem a topicos em que vejam que o ComboFix foi utilizado sem supervisão.
  • Existem varias ferramentas anti-malware generalistas em que os autores ao elaborarem a programação das mesmas, estão pensando nos usuários finais e para serem usadas sem supervisão. O Combofix não é uma ferramenta desse tipo, e assim sendo e até por respeito ao autor da ferramenta, não utilize sem supervisão.

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Log do ComboFix:

ComboFix 09-08-18.04 - Usuário 19/08/2009 15:28.1.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.2047.1564 [GMT -3:00]

Executando de: c:\documents and settings\Usuário\Desktop\ComboFix.exe

AV: AVG Internet Security *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\arquivos de programas\Gravity\Ragnarok Online\BGM\_desktop.ini

c:\arquivos de programas\Gravity\Ragnarok Online\GameGuard\_desktop.ini

c:\arquivos de programas\Gravity\Ragnarok Online\PatchClient\_desktop.ini

c:\arquivos de programas\Gravity\Ragnarok Online\skin\_desktop.ini

c:\arquivos de programas\Gravity\Ragnarok Online\skin\default\_desktop.ini

c:\arquivos de programas\Gravity\Ragnarok Online\skin\default\basic_interface\_desktop.ini

c:\arquivos de programas\Gravity\Ragnarok Online\skin\Scribbling Kid\_desktop.ini

c:\arquivos de programas\Gravity\Ragnarok Online\skin\Scribbling Kid\basic_interface\_desktop.ini

c:\documents and settings\All Users\Dados de aplicativos\Microsoft\Network\Downloader\qmgr0.dat

c:\documents and settings\All Users\Dados de aplicativos\Microsoft\Network\Downloader\qmgr1.dat

c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013

c:\windows\Help\HUNTER.exe

c:\windows\Help\msnsky.exe

c:\windows\Help\ORKOBJ.exe

c:\windows\Installer\35f194.msi

c:\windows\system32\libmysql41.dll

c:\windows\winmem.ini

----- BITS: Sites possivelmente infectados -----

hxxp://msxb-d1.vou.llnw.net:3074

A cópia de c:\windows\system32\mspmsnsv.dll foi encontrada e desinfectada

Cópia restaurada de - c:\windows\system32\dllcache\mspmsnsv.dll

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_ILVMONEYDRIVER53

-------\Service_IlvMoneyDRIVER53

(((((((((((((((( Arquivos/Ficheiros criados de 2009-07-19 to 2009-08-19 ))))))))))))))))))))))))))))

.

2009-08-15 01:19 . 2009-08-15 01:19 -------- d-----w- c:\arquivos de programas\CCleaner

2009-08-12 21:26 . 2009-07-31 12:50 2061592 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg8\update\backup\avgcorex.dll

2009-08-12 21:26 . 2009-07-31 12:50 2000152 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg8\update\backup\avgtray.exe

2009-08-12 21:26 . 2009-07-31 12:50 1213720 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg8\update\backup\avgfrw.exe

2009-08-12 21:23 . 2009-07-31 12:47 1126168 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg8\update\backup\avgupd.exe

2009-08-12 21:23 . 2009-07-31 12:47 758040 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg8\update\backup\avginet.dll

2009-08-12 21:23 . 2009-07-31 12:47 1471768 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg8\update\backup\avgupd.dll

2009-07-29 13:01 . 2009-07-05 23:34 819712 ----a-w- c:\windows\arp32.exe

2009-07-29 13:00 . 2009-07-29 13:06 -------- d-----w- c:\arquivos de programas\Messenger Plus! Live

2009-07-29 13:00 . 2009-07-29 13:01 3063631 ----a-w- c:\windows\system32\Pegm.exe

2009-07-21 19:00 . 2009-07-21 19:00 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-16 10:41 . 2008-07-27 22:30 -------- d-----w- c:\arquivos de programas\Cabal Online

2009-08-15 01:25 . 2009-03-05 21:08 -------- d-----w- c:\arquivos de programas\Three Rings Design

2009-08-11 17:01 . 2009-03-28 16:27 -------- d-----w- c:\arquivos de programas\Valve

2009-07-31 12:50 . 2009-01-08 11:52 11952 ----a-w- c:\windows\system32\avgrsstx.dll

2009-07-31 12:50 . 2009-01-08 11:52 27784 ----a-w- c:\windows\system32\drivers\avgmfx86.sys

2009-07-31 12:50 . 2009-01-08 11:52 335240 ----a-w- c:\windows\system32\drivers\avgldx86.sys

2009-07-31 12:50 . 2009-07-17 14:59 3476760 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg8\update\backup\avgui.exe

2009-07-24 14:40 . 2008-07-27 17:20 -------- d-----w- c:\arquivos de programas\Ubisoft

2009-07-24 14:40 . 2008-07-23 19:17 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2009-07-23 01:46 . 2009-07-19 22:12 -------- d-----w- c:\arquivos de programas\MegaJogos

2009-07-18 18:44 . 2009-06-29 12:34 -------- d-----w- c:\arquivos de programas\MuRoX

2009-06-26 16:18 . 2009-03-22 01:53 230432 ----a-w- C:\PA7302.DAT

2009-06-17 18:50 . 2002-12-31 12:00 76414 ----a-w- c:\windows\system32\perfc016.dat

2009-06-17 18:50 . 2002-12-31 12:00 465986 ----a-w- c:\windows\system32\perfh016.dat

2009-05-24 23:47 . 2009-05-24 23:47 410984 -c--a-w- c:\windows\system32\deploytk.dll

2009-03-09 18:29 . 2009-03-09 18:29 316 -c--a-w- c:\arquivos de programas\unin.bat

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AVG8_TRAY"="c:\arquiv~1\AVG\AVG8\avgtray.exe" [2009-08-12 2007832]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-07-31 12:50 11952 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Assistente Tecnico Speedy.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Assistente Tecnico Speedy.lnk

backup=c:\windows\pss\Assistente Tecnico Speedy.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Usuário^Menu Iniciar^Programas^Inicializar^Adobe Gamma.lnk]

path=c:\documents and settings\Usuário\Menu Iniciar\Programas\Inicializar\Adobe Gamma.lnk

backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\dxdiag.exe"=

"c:\\Arquivos de programas\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=

"c:\\Arquivos de programas\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=

"c:\\Arquivos de programas\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=

"c:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=

"c:\\Arquivos de programas\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=

"c:\\Arquivos de programas\\Electronic Arts\\EADM\\Core.exe"=

"c:\\Arquivos de programas\\Cabal Online\\launcher\\update\\ESTdnheadless.exe"=

"c:\\Arquivos de programas\\Garena\\Garena.exe"=

"c:\\Arquivos de programas\\AVG\\AVG8\\avgam.exe"=

"c:\\Arquivos de programas\\AVG\\AVG8\\avgemc.exe"=

"c:\\Arquivos de programas\\AVG\\AVG8\\avgupd.exe"=

"c:\\Arquivos de programas\\Electronic Arts\\The Battle for Middle-earth II\\game.dat"=

"c:\\Arquivos de programas\\Java\\jre1.6.0_07\\bin\\javaw.exe"=

"c:\\Arquivos de programas\\MegaJogos\\jre\\jre\\bin\\javaw.exe"=

"c:\\Arquivos de programas\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=

"c:\\Arquivos de programas\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Arquivos de programas\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Valve\\hl.exe"=

"c:\\Arquivos de programas\\Valve\\hlds.exe"=

"c:\\Arquivos de programas\\Mass Effect\\Binaries\\MassEffect.exe"=

"c:\\Arquivos de programas\\Mass Effect\\MassEffectLauncher.exe"=

"c:\\Arquivos de programas\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=

"c:\\Arquivos de programas\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=

"c:\\Level Up! Games\\Grand Chase Season 2\\main.exe"=

"c:\\Arquivos de programas\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=

"c:\\Arquivos de programas\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=

"c:\\Arquivos de programas\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=

R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [8/1/2009 08:52 12552]

R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [8/1/2009 08:52 335240]

R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [8/1/2009 08:52 108552]

R2 avg8emc;AVG8 E-mail Scanner;c:\arquiv~1\AVG\AVG8\avgemc.exe [8/1/2009 08:56 908056]

R2 avg8wd;AVG8 WatchDog;c:\arquiv~1\AVG\AVG8\avgwdsvc.exe [8/1/2009 08:56 297752]

R3 PAC7302;Messenger 310;c:\windows\system32\drivers\PAC7302.SYS [14/6/2007 18:34 457856]

S2 yptnuqt;System Image;c:\windows\system32\svchost.exe -k netsvcs [31/12/2002 09:00 14336]

S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\USURIO~1\CONFIG~1\Temp\JZX12.tmp --> c:\docume~1\USURIO~1\CONFIG~1\Temp\JZX12.tmp [?]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

S3 PAC207;VideoCAM GF112;c:\windows\system32\drivers\PFC027.sys [8/4/2005 10:46 162176]

S3 XDva182;XDva182;\??\c:\windows\system32\XDva182.sys --> c:\windows\system32\XDva182.sys [?]

S3 XDva190;XDva190;\??\c:\windows\system32\XDva190.sys --> c:\windows\system32\XDva190.sys [?]

S3 XDva195;XDva195;\??\c:\windows\system32\XDva195.sys --> c:\windows\system32\XDva195.sys [?]

S3 XDva205;XDva205;\??\c:\windows\system32\XDva205.sys --> c:\windows\system32\XDva205.sys [?]

S3 XDva214;XDva214;\??\c:\windows\system32\XDva214.sys --> c:\windows\system32\XDva214.sys [?]

S3 XDva224;XDva224;\??\c:\windows\system32\XDva224.sys --> c:\windows\system32\XDva224.sys [?]

S3 XDva276;XDva276;\??\c:\windows\system32\XDva276.sys --> c:\windows\system32\XDva276.sys [?]

S3 XDva279;XDva279;\??\c:\windows\system32\XDva279.sys --> c:\windows\system32\XDva279.sys [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

yptnuqt

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

IE: Append to existing PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert link target to Adobe PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert link target to existing PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert selected links to Adobe PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convert selected links to existing PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Convert selection to Adobe PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert selection to existing PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert to Adobe PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {36179DC5-10BE-48B8-9C22-5C235387E16E} = 200.204.0.10 200.204.0.138

TCP: {44DC7E14-0066-4495-975F-92843C6BD508} = 208.167.222.222,208.167.220.220

DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab

FF - ProfilePath - c:\documents and settings\Usuário\Dados de aplicativos\Mozilla\Firefox\Profiles\wyeqjvba.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.terra.com.br/portal/

FF - component: c:\documents and settings\Usuário\Dados de aplicativos\Mozilla\Firefox\Profiles\wyeqjvba.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E8874}\components\GbMzhAbn.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-08-19 15:37

Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]

"ImagePath"="\??\c:\docume~1\USURIO~1\CONFIG~1\Temp\JZX12.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\yptnuqt]

"ServiceDll"="c:\windows\system32\awtxpgv.dll"

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_USERS\S-1-5-21-1229272821-1563985344-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:bf,c6,70,b2,1e,84,88,c9,39,8e,83,ad,66,a2,7d,dd,0b,f7,1a,2d,55,81,53,

f7,6d,cb,ac,e8,5f,82,6f,92,5e,29,70,45,fd,84,f0,05,70,0a,c5,0c,a9,6d,6f,5d,\

"??"=hex:65,47,ff,33,30,5e,90,37,40,19,e6,e2,71,30,e4,60

[HKEY_USERS\S-1-5-21-1229272821-1563985344-839522115-1003\Software\SecuROM\License information*]

"datasecu"=hex:4a,d8,7e,c3,81,76,06,59,b7,c4,85,3b,08,89,48,c3,e0,ec,bd,e5,0b,

4f,bd,0b,a2,2d,b3,82,7c,1c,7e,e4,cf,79,c1,2e,3b,6f,22,c4,da,4b,ff,fd,e7,86,\

"rkeysecu"=hex:64,b6,bd,e1,3e,80,9e,c4,40,b4,90,83,87,8e,33,49

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'explorer.exe'(2876)

c:\arquiv~1\WINDOW~2\wmpband.dll

c:\windows\system32\ieframe.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe

c:\windows\system32\nvsvc32.exe

c:\arquivos de programas\CyberLink\Shared Files\RichVideo.exe

c:\arquiv~1\AVG\AVG8\avgam.exe

c:\arquiv~1\AVG\AVG8\avgrsx.exe

c:\windows\system32\PAStiSvc.exe

c:\arquivos de programas\AVG\AVG8\avgcsrvx.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Tempo para conclusão: 2009-08-19 15:42 - Máquina reiniciou

ComboFix-quarantined-files.txt 2009-08-19 18:42

Pré-execução: 1.027.403.776 bytes disponíveis

Pós execução: 1.268.015.104 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

227

Compartilhar este post


Link para o post
Compartilhar em outros sites

Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).

Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está dentro do "Código":


Driver::

yptnuqt

NetSvc::

yptnuqt

File::

c:\windows\system32\awtxpgv.dll

  • Salve este arquivo como: CFScript.txt
    CFScriptB-4.gif
  • Tal com exemplificado na foto acima, arraste o arquivo CFScript.txt para dentro do ComboFix.exe
  • Quando a ferramenta terminar de rodar, gerará um log. Poste esse arquivo C:\ComboFix.txt.

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

ComboFix 09-08-25.01 - Usuário 25/08/2009 18:26.2.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.2047.1575 [GMT -3:00]

Executando de: c:\documents and settings\Usuário\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Usuário\Desktop\CFScript.txt.txt

AV: AVG Internet Security *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

FILE ::

"c:\windows\system32\awtxpgv.dll"

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\steps.txt

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_YPTNUQT

-------\Service_yptnuqt

(((((((((((((((( Arquivos/Ficheiros criados de 2009-07-25 to 2009-08-25 ))))))))))))))))))))))))))))

.

2009-08-15 01:19 . 2009-08-15 01:19 -------- d-----w- c:\arquivos de programas\CCleaner

2009-08-12 21:26 . 2009-07-31 12:50 2061592 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg8\update\backup\avgcorex.dll

2009-08-12 21:26 . 2009-07-31 12:50 2000152 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg8\update\backup\avgtray.exe

2009-08-12 21:26 . 2009-07-31 12:50 1213720 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg8\update\backup\avgfrw.exe

2009-08-12 21:23 . 2009-07-31 12:47 1126168 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg8\update\backup\avgupd.exe

2009-08-12 21:23 . 2009-07-31 12:47 758040 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg8\update\backup\avginet.dll

2009-08-12 21:23 . 2009-07-31 12:47 1471768 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg8\update\backup\avgupd.dll

2009-07-29 13:01 . 2009-07-05 23:34 819712 ----a-w- c:\windows\arp32.exe

2009-07-29 13:00 . 2009-07-29 13:06 -------- d-----w- c:\arquivos de programas\Messenger Plus! Live

2009-07-29 13:00 . 2009-07-29 13:01 3063631 ----a-w- c:\windows\system32\Pegm.exe

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-24 03:05 . 2008-07-27 17:35 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe

2009-08-24 00:47 . 2002-12-31 12:00 76414 ----a-w- c:\windows\system32\perfc016.dat

2009-08-24 00:47 . 2002-12-31 12:00 465986 ----a-w- c:\windows\system32\perfh016.dat

2009-08-20 20:19 . 2009-01-08 11:52 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\avg8

2009-08-16 10:41 . 2008-07-27 22:30 -------- d-----w- c:\arquivos de programas\Cabal Online

2009-08-15 01:25 . 2009-03-05 21:08 -------- d-----w- c:\arquivos de programas\Three Rings Design

2009-08-11 17:01 . 2009-03-28 16:27 -------- d-----w- c:\arquivos de programas\Valve

2009-07-31 12:50 . 2009-01-08 11:52 11952 ----a-w- c:\windows\system32\avgrsstx.dll

2009-07-31 12:50 . 2009-01-08 11:52 27784 ----a-w- c:\windows\system32\drivers\avgmfx86.sys

2009-07-31 12:50 . 2009-01-08 11:52 335240 ----a-w- c:\windows\system32\drivers\avgldx86.sys

2009-07-31 12:50 . 2009-07-17 14:59 3476760 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg8\update\backup\avgui.exe

2009-07-24 14:40 . 2008-07-27 17:20 -------- d-----w- c:\arquivos de programas\Ubisoft

2009-07-24 14:40 . 2008-07-23 19:17 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2009-07-23 01:46 . 2009-07-19 22:12 -------- d-----w- c:\arquivos de programas\MegaJogos

2009-07-21 19:00 . 2009-07-21 19:00 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

2009-07-18 18:44 . 2009-06-29 12:34 -------- d-----w- c:\arquivos de programas\MuRoX

2009-06-26 16:18 . 2009-03-22 01:53 230432 ----a-w- C:\PA7302.DAT

2009-03-09 18:29 . 2009-03-09 18:29 316 -c--a-w- c:\arquivos de programas\unin.bat

.

((((((((((((((((((((((((((((( SnapShot@2009-08-19_18.37.59 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-08-25 21:35 . 2009-08-25 21:35 16384 c:\windows\temp\Perflib_Perfdata_6ec.dat

+ 2002-12-31 12:00 . 2009-08-24 00:47 67696 c:\windows\system32\perfc009.dat

- 2002-12-31 12:00 . 2009-06-17 18:50 67696 c:\windows\system32\perfc009.dat

+ 2008-07-23 18:56 . 2008-04-13 22:21 60416 c:\windows\system32\dllcache\msimn.exe

+ 2009-05-19 22:50 . 2009-08-24 21:42 49152 c:\windows\.jagex_cache_32\runescape\jagmisc.dll

- 2009-05-19 22:50 . 2009-08-18 19:00 49152 c:\windows\.jagex_cache_32\runescape\jagmisc.dll

+ 2009-05-19 22:50 . 2009-08-24 21:42 81920 c:\windows\.jagex_cache_32\runescape\jaggl.dll

- 2009-05-19 22:50 . 2009-08-18 19:00 81920 c:\windows\.jagex_cache_32\runescape\jaggl.dll

- 2002-12-31 12:00 . 2009-06-17 18:50 432992 c:\windows\system32\perfh009.dat

+ 2002-12-31 12:00 . 2009-08-24 00:47 432992 c:\windows\system32\perfh009.dat

+ 2008-07-31 13:16 . 2008-07-31 13:16 947472 c:\windows\system32\msjava.dll

- 2007-03-12 16:02 . 2003-02-28 21:26 947472 c:\windows\system32\msjava.dll

- 2009-04-21 22:10 . 2009-07-22 18:20 101948 c:\windows\.jagex_cache_32\loginapplet\cache--2062608270.dat

+ 2009-04-21 22:10 . 2009-08-22 14:31 101948 c:\windows\.jagex_cache_32\loginapplet\cache--2062608270.dat

+ 2008-07-23 15:31 . 2009-08-24 15:11 2315064 c:\windows\system32\FNTCACHE.DAT

+ 2009-08-24 03:12 . 2009-08-24 03:12 3573248 c:\windows\Installer\2a9334b.msi

+ 2009-08-24 03:10 . 2009-08-24 03:10 3085824 c:\windows\Installer\2a93346.msi

+ 2009-08-24 03:09 . 2009-08-24 03:09 3285504 c:\windows\Installer\2a93340.msi

+ 2009-08-24 03:08 . 2009-08-24 03:08 3096064 c:\windows\Installer\2a9333b.msi

+ 2009-08-24 03:07 . 2009-08-24 03:07 4908544 c:\windows\Installer\2a93324.msi

+ 2009-08-24 03:06 . 2009-08-24 03:06 4915200 c:\windows\Installer\2a9331e.msi

+ 2009-08-24 03:05 . 2009-08-24 03:05 3076608 c:\windows\Installer\2a93317.msi

+ 2009-08-24 03:05 . 2009-08-24 03:05 3076608 c:\windows\Installer\2a93312.msi

+ 2009-08-24 03:05 . 2009-08-24 03:05 3117056 c:\windows\Installer\2a9330d.msi

+ 2009-08-24 03:04 . 2009-08-24 03:04 3095552 c:\windows\Installer\2a93308.msi

+ 2009-08-24 03:02 . 2009-08-24 03:02 3073024 c:\windows\Installer\2a932ff.msi

+ 2009-08-24 03:02 . 2009-08-24 03:02 3073536 c:\windows\Installer\2a932f2.msi

+ 2009-08-24 03:01 . 2009-08-24 03:01 3074048 c:\windows\Installer\2a932e8.msi

+ 2009-08-24 03:01 . 2009-08-24 03:01 3073024 c:\windows\Installer\2a932de.msi

+ 2009-08-24 03:00 . 2009-08-24 03:00 3073536 c:\windows\Installer\2a932d4.msi

+ 2009-08-24 03:00 . 2009-08-24 03:00 3075072 c:\windows\Installer\2a932ca.msi

+ 2009-08-24 02:59 . 2009-08-24 02:59 3089408 c:\windows\Installer\2a932c5.msi

+ 2009-08-24 02:59 . 2009-08-24 02:59 3078656 c:\windows\Installer\2a932c0.msi

+ 2009-08-24 02:58 . 2009-08-24 02:58 3146240 c:\windows\Installer\2a932bb.msi

+ 2009-08-24 02:58 . 2009-08-24 02:58 3150848 c:\windows\Installer\2a932b6.msi

+ 2009-08-24 02:58 . 2009-08-24 02:58 3083776 c:\windows\Installer\2a932b1.msi

+ 2009-08-24 02:57 . 2009-08-24 02:57 3076096 c:\windows\Installer\2a932a7.msi

+ 2009-08-24 02:57 . 2009-08-24 02:57 3079680 c:\windows\Installer\2a932a2.msi

+ 2009-08-24 02:56 . 2009-08-24 02:56 3087360 c:\windows\Installer\2a9329d.msi

+ 2009-08-24 02:56 . 2009-08-24 02:56 3094016 c:\windows\Installer\2a93253.msi

+ 2009-08-24 02:55 . 2009-08-24 02:55 3273216 c:\windows\Installer\2a9324e.msi

+ 2009-08-24 02:55 . 2009-08-24 02:55 3186176 c:\windows\Installer\2a93248.msi

+ 2009-08-24 02:54 . 2009-08-24 02:54 3073024 c:\windows\Installer\2a93243.msi

+ 2009-08-24 02:54 . 2009-08-24 02:54 3110912 c:\windows\Installer\2a93238.msi

+ 2009-08-24 02:53 . 2009-08-24 02:53 3178496 c:\windows\Installer\2a9322e.msi

+ 2009-08-24 02:52 . 2009-08-24 02:52 3228160 c:\windows\Installer\2a93229.msi

+ 2009-08-24 02:52 . 2009-08-24 02:52 3070976 c:\windows\Installer\2a93224.msi

+ 2009-08-24 02:47 . 2009-08-24 02:47 3174400 c:\windows\Installer\2a9321f.msi

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AVG8_TRAY"="c:\arquiv~1\AVG\AVG8\avgtray.exe" [2009-08-12 2007832]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]

"AdobeCS4ServiceManager"="c:\arquivos de programas\Arquivos comuns\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-07-31 12:50 11952 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Assistente Tecnico Speedy.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Assistente Tecnico Speedy.lnk

backup=c:\windows\pss\Assistente Tecnico Speedy.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Usuário^Menu Iniciar^Programas^Inicializar^Adobe Gamma.lnk]

path=c:\documents and settings\Usuário\Menu Iniciar\Programas\Inicializar\Adobe Gamma.lnk

backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\dxdiag.exe"=

"c:\\Arquivos de programas\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=

"c:\\Arquivos de programas\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=

"c:\\Arquivos de programas\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=

"c:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=

"c:\\Arquivos de programas\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=

"c:\\Arquivos de programas\\Electronic Arts\\EADM\\Core.exe"=

"c:\\Arquivos de programas\\Cabal Online\\launcher\\update\\ESTdnheadless.exe"=

"c:\\Arquivos de programas\\Garena\\Garena.exe"=

"c:\\Arquivos de programas\\AVG\\AVG8\\avgam.exe"=

"c:\\Arquivos de programas\\AVG\\AVG8\\avgemc.exe"=

"c:\\Arquivos de programas\\AVG\\AVG8\\avgupd.exe"=

"c:\\Arquivos de programas\\Electronic Arts\\The Battle for Middle-earth II\\game.dat"=

"c:\\Arquivos de programas\\Java\\jre1.6.0_07\\bin\\javaw.exe"=

"c:\\Arquivos de programas\\MegaJogos\\jre\\jre\\bin\\javaw.exe"=

"c:\\Arquivos de programas\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"=

"c:\\Arquivos de programas\\Rockstar Games\\Grand Theft Auto IV\\LaunchGTAIV.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Arquivos de programas\\Rockstar Games\\Grand Theft Auto IV\\GTAIV.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Valve\\hl.exe"=

"c:\\Arquivos de programas\\Valve\\hlds.exe"=

"c:\\Arquivos de programas\\Mass Effect\\Binaries\\MassEffect.exe"=

"c:\\Arquivos de programas\\Mass Effect\\MassEffectLauncher.exe"=

"c:\\Arquivos de programas\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=

"c:\\Arquivos de programas\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=

"c:\\Level Up! Games\\Grand Chase Season 2\\main.exe"=

"c:\\Arquivos de programas\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=

"c:\\Arquivos de programas\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=

"c:\\Arquivos de programas\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=

"c:\\Arquivos de programas\\Arquivos comuns\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5353:TCP"= 5353:TCP:Adobe CSI CS4

R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [8/1/2009 08:52 12552]

R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [8/1/2009 08:52 335240]

R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [8/1/2009 08:52 108552]

R2 avg8emc;AVG8 E-mail Scanner;c:\arquiv~1\AVG\AVG8\avgemc.exe [8/1/2009 08:56 908056]

R2 avg8wd;AVG8 WatchDog;c:\arquiv~1\AVG\AVG8\avgwdsvc.exe [8/1/2009 08:56 297752]

R3 PAC7302;Messenger 310;c:\windows\system32\drivers\PAC7302.SYS [14/6/2007 18:34 457856]

S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\USURIO~1\CONFIG~1\Temp\JZX12.tmp --> c:\docume~1\USURIO~1\CONFIG~1\Temp\JZX12.tmp [?]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

S3 PAC207;VideoCAM GF112;c:\windows\system32\drivers\PFC027.sys [8/4/2005 10:46 162176]

S3 XDva182;XDva182;\??\c:\windows\system32\XDva182.sys --> c:\windows\system32\XDva182.sys [?]

S3 XDva190;XDva190;\??\c:\windows\system32\XDva190.sys --> c:\windows\system32\XDva190.sys [?]

S3 XDva195;XDva195;\??\c:\windows\system32\XDva195.sys --> c:\windows\system32\XDva195.sys [?]

S3 XDva205;XDva205;\??\c:\windows\system32\XDva205.sys --> c:\windows\system32\XDva205.sys [?]

S3 XDva214;XDva214;\??\c:\windows\system32\XDva214.sys --> c:\windows\system32\XDva214.sys [?]

S3 XDva224;XDva224;\??\c:\windows\system32\XDva224.sys --> c:\windows\system32\XDva224.sys [?]

S3 XDva276;XDva276;\??\c:\windows\system32\XDva276.sys --> c:\windows\system32\XDva276.sys [?]

S3 XDva279;XDva279;\??\c:\windows\system32\XDva279.sys --> c:\windows\system32\XDva279.sys [?]

.

- - - - ORFÃOS REMOVIDOS - - - -

HKCU-Run-AdobeBridge - (no file)

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

IE: Append to existing PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert link target to Adobe PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert link target to existing PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert selected links to Adobe PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convert selected links to existing PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Convert selection to Adobe PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Convert selection to existing PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert to Adobe PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {36179DC5-10BE-48B8-9C22-5C235387E16E} = 200.204.0.10 200.204.0.138

TCP: {44DC7E14-0066-4495-975F-92843C6BD508} = 208.167.222.222,208.167.220.220

DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab

FF - ProfilePath - c:\documents and settings\Usuário\Dados de aplicativos\Mozilla\Firefox\Profiles\wyeqjvba.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.terra.com.br/portal/

FF - component: c:\documents and settings\Usuário\Dados de aplicativos\Mozilla\Firefox\Profiles\wyeqjvba.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E8874}\components\GbMzhAbn.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-08-25 18:35

Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]

"ImagePath"="\??\c:\docume~1\USURIO~1\CONFIG~1\Temp\JZX12.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_USERS\S-1-5-21-1229272821-1563985344-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:bf,c6,70,b2,1e,84,88,c9,39,8e,83,ad,66,a2,7d,dd,0b,f7,1a,2d,55,81,53,

f7,6d,cb,ac,e8,5f,82,6f,92,5e,29,70,45,fd,84,f0,05,70,0a,c5,0c,a9,6d,6f,5d,\

"??"=hex:65,47,ff,33,30,5e,90,37,40,19,e6,e2,71,30,e4,60

[HKEY_USERS\S-1-5-21-1229272821-1563985344-839522115-1003\Software\SecuROM\License information*]

"datasecu"=hex:4a,d8,7e,c3,81,76,06,59,b7,c4,85,3b,08,89,48,c3,e0,ec,bd,e5,0b,

4f,bd,0b,a2,2d,b3,82,7c,1c,7e,e4,cf,79,c1,2e,3b,6f,22,c4,da,4b,ff,fd,e7,86,\

"rkeysecu"=hex:64,b6,bd,e1,3e,80,9e,c4,40,b4,90,83,87,8e,33,49

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'explorer.exe'(1344)

c:\arquiv~1\WINDOW~2\wmpband.dll

c:\windows\system32\ieframe.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe

c:\windows\system32\nvsvc32.exe

c:\arquivos de programas\CyberLink\Shared Files\RichVideo.exe

c:\arquiv~1\AVG\AVG8\avgam.exe

c:\arquiv~1\AVG\AVG8\avgrsx.exe

c:\windows\system32\PAStiSvc.exe

c:\arquivos de programas\AVG\AVG8\avgcsrvx.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Tempo para conclusão: 2009-08-25 18:40 - Máquina reiniciou

ComboFix-quarantined-files.txt 2009-08-25 21:40

ComboFix2.txt 2009-08-19 18:42

Pré-execução: 2.313.592.832 bytes disponíveis

Pós execução: 2.264.932.352 bytes disponíveis

257

Compartilhar este post


Link para o post
Compartilhar em outros sites

Faça download do Kaspersky Removal Tool. Salve em seu desktop (área de trabalho).

  • Instale o programa normalmente, seguindo todas as instruções.
  • Uma pasta chamada Virus Removal Tool será criada no desktop.
  • Na tela principal do programa clique na opção Meu computador, Startup objects, Disk boot sectors e depois clique no botão Scan.
  • Seja paciente, o scan pode demorar
  • Se ele encontrar alguma infecção abrirá uma janela de alerta clique em skip.
  • Após completar tudo, clique no botão Reports... e clique em Save to file.
  • Dê um nome para o arquivo e salve numa pasta de sua preferência.
  • Feche o resultado clicando no X da janela.
  • Logo em seguida feche o programa também clicando no X da janela. Ao fazer isso será questionado se quer desinstalar a ferramenta, clique em No. Poste o conteúdo desse arquivo em sua próxima resposta e aguarde.

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Não consigo postar o log, pois o mesmo é muito grande (92MB no bloco de notas) e não esta sendo copiado...

Como eu posso fazer para coloca-lo aqui?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Copie e poste apenas o inicio do log.

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Scan

----

Scanned: 626937

Detected: 9

Untreated: 0

Start time: 29/8/2009 20:52:41

Duration: 11:01:22

Finish time: 30/8/2009 07:54:03

Detected

--------

Status Object

------ ------

deleted: virus Virus.Win32.Induc.a File: C:\Qoobox\Quarantine\C\WINDOWS\Help\hunter.exe.vir//PE_Patch.PECompact//PecBundle//PECompact

deleted: virus Virus.Win32.Induc.a File: C:\Qoobox\Quarantine\C\WINDOWS\Help\msnsky.exe.vir//PE_Patch.PECompact//PecBundle//PECompact

deleted: virus Virus.Win32.Induc.a File: C:\Qoobox\Quarantine\C\WINDOWS\Help\ORKOBJ.exe.vir//PE_Patch.PECompact//PecBundle//PECompact

deleted: Trojan program Trojan-Downloader.Win32.Agent.cjyi File: C:\System Volume Information\_restore{6397A7C9-7EEA-440D-BFEB-734A9351AA9C}\RP36\A0032137.exe//MsgPlusLive-482.exe/smss.exe//pux.exe

deleted: Trojan program Trojan-Downloader.Win32.Banload.agsr File: C:\System Volume Information\_restore{6397A7C9-7EEA-440D-BFEB-734A9351AA9C}\RP44\A0033110.exe

deleted: Trojan program Trojan-Spy.Win32.Agent.ayek File: C:\System Volume Information\_restore{6397A7C9-7EEA-440D-BFEB-734A9351AA9C}\RP44\A0033137.exe/eguis.exe

deleted: Trojan program Trojan-Downloader.Win32.Banload.agsr File: C:\WINDOWS\system32\Pegm.exe//gbiesrv.exe

deleted: Trojan program Trojan-Downloader.Win32.Agent.cjyi File: C:\WINDOWS\system32\MsDtc\smss.exe//pux.exe

deleted: Trojan program Trojan-Downloader.Win32.Agent.cjyi File: C:\WINDOWS\system32\MsDtc\smss.exe

.

.

.

.

.

.

.

.

.

.

.

Statistics

----------

Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted

------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------

All objects 626937 9 0 8 0 3481 2197 95 1

System memory 3411 0 0 0 0 1 0 0 0

Startup objects 952 0 0 0 0 5 168 0 0

Disk boot sectors 2 0 0 0 0 0 0 0 0

Meu computador 622572 9 0 8 0 3475 2029 95 1

Settings

--------

Parameter Value

--------- -----

Security Level Recommended

Action Prompt for action when the scan is complete

Run mode Manually

File types Scan all files

Scan only new and changed files No

Scan archives All

Scan embedded OLE objects All

Skip if object is larger than No

Skip if scan takes longer than No

Parse email formats No

Scan password-protected archives No

Enable iChecker technology No

Enable iSwift technology No

Show detected threats on "Detected" tab Yes

Rootkits search Yes

Deep rootkits search No

Use heuristic analyzer Yes

Quarantine

----------

Status Object Size Added

------ ------ ---- -----

Backup

------

Status Object Size

------ ------ ----

----------------

pulei a parte de events, que era a unica parte grande do log

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

O computador parece estar inteiro, eu só estava com duvida se não haviam keyloggers ou outros malwares mais perigosos, agora posso gravar algumas coisas em DVD para limpar espaço do PC sem me preocupar.

Muito obrigado pela ajuda :D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caso o autor do tópico necessite, o mesmo será reaberto, para isso deverá entrar em contato com a moderação solicitando o desbloqueio.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×