Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Rafaelhos

Remover Malware do meu computador - Windows XP Profissional

Recommended Posts

Boa noite a todos.

Recentemente instalei o antivirus Karpesky e tirei o Avast. Depois disso começei a ter problemas com meu computador.

Depois disso notei que alguns programas do meu computador sumiram, como os programas de ferramentas do sistema, comunicação, entretenimento, entre varios outros.

Depois de um tempo tirei o Karpesky e instalei de novo o Avast.

Fiz uma analise com o Antivirus online da Microsoft e encontrou um TrojanClicker:Win32/Yabector.gen e não foi removido.

Instalei o Malwarebytes e acho que foi removido.

Gostaria de ajuda, pois estou desesperado.

Desde já muito obrigado.

Segue os logs...

DDS (Ver_09-12-01.01) - NTFSx86

Run by Rafae at 17:29:54,14 on dom 10/01/2010

Internet Explorer: 7.0.5730.13 BrowserJavaVersion: 1.6.0_17

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.1014.420 [GMT -2:00]

AV: avast! antivirus 4.8.1368 [VPS 100110-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

============== Running Processes ===============

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost -k DcomLaunch

C:\WINDOWS\system32\svchost -k rpcss

C:\WINDOWS\System32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup

C:\WINDOWS\system32\svchost.exe -k NetworkService

C:\WINDOWS\system32\svchost.exe -k LocalService

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe

C:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Arquivos de programas\Arquivos comuns\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe

C:\Arquivos de programas\Arquivos comuns\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\alg.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Microsoft\Office Live\OfficeLiveSignIn.exe

C:\Arquivos de programas\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Documents and Settings\Rafae\Desktop\dds.scr

C:\WINDOWS\system32\wbem\wmiprvse.exe

============== Pseudo HJT Report ===============

uStart Page = about:blank

uInternet Settings,ProxyOverride = local

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\arquivos de programas\arquivos comuns\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\arquiv~1\spybot~1\SDHelper.dll

BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File

BHO: Search Helper: {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - c:\arquivos de programas\microsoft\search enhancement pack\search helper\SEPsearchhelperie.dll

BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File

BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: GbIehObj Class: {c41a1c0e-ea6c-11d4-b1b8-444553540003} - c:\arquivos de programas\gbplugin\gbiehcef.dll

BHO: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\arquivos de programas\java\jre6\bin\jp2ssv.dll

BHO: Windows Live Toolbar Helper: {e15a8dc0-8516-42a1-81ea-dc94ec1acf10} - c:\arquivos de programas\windows live\toolbar\wltcore.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: &Windows Live Toolbar: {21fa44ef-376d-4d53-9b0f-8a89d3229068} - c:\arquivos de programas\windows live\toolbar\wltcore.dll

TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File

uRun: [MSMSGS] "c:\arquivos de programas\messenger\msmsgs.exe" /background

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

uRun: [spybotSD TeaTimer] c:\arquivos de programas\spybot - search & destroy\TeaTimer.exe

mRun: [igfxTray] c:\windows\system32\igfxtray.exe

mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe

mRun: [Persistence] c:\windows\system32\igfxpers.exe

mRun: [sunJavaUpdateSched] "c:\arquivos de programas\java\jre6\bin\jusched.exe"

mRun: [RTHDCPL] RTHDCPL.EXE

mRun: [Alcmtr] ALCMTR.EXE

mRun: [avast!] c:\arquiv~1\alwils~1\avast4\ashDisp.exe

mRun: [iSUSScheduler] "c:\arquivos de programas\arquivos comuns\installshield\updateservice\issch.exe" -start

mRun: [iSUSPM Startup] "c:\arquivos de programas\arquivos comuns\installshield\updateservice\ISUSPM.exe" -startup

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

IE: Add to Google Photos Screensa&ver

IE: E&xportar para o Microsoft Excel

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\arquivos de programas\messenger\msmsgs.exe

IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\arquivos de programas\windows live\writer\WriterBrowserExtension.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\micros~2\office11\REFIEBAR.DLL

IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\arquiv~1\spybot~1\SDHelper.dll

DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}

Notify: GbPluginCef - c:\arquivos de programas\gbplugin\gbiehcef.dll

Notify: igfxcui - igfxdev.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

SEH: GbPluginObj Class: {e37cb5f0-51f5-4395-a808-5fa49e399003} - c:\arquivos de programas\gbplugin\gbiehcef.dll

Hosts: 127.0.0.1 www.spywareinfo.com

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\rafae\dadosd~1\mozilla\firefox\profiles\ulayf9yk.gabii\

FF - prefs.js: browser.startup.homepage - about:blank

FF - plugin: c:\arquivos de programas\microsoft\office live\npOLW.dll

FF - plugin: c:\arquivos de programas\mozilla firefox\plugins\npOGAPlugin.dll

FF - plugin: c:\arquivos de programas\windows live\photo gallery\NPWLPG.dll

FF - plugin: c:\documents and settings\rafae\dados de aplicativos\mozilla\plugins\npPxPlay.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\

FF - HiddenExtension: Java Console: No Registry Reference - c:\arquivos de programas\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}

FF - HiddenExtension: Java Console: No Registry Reference - c:\arquivos de programas\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}

FF - HiddenExtension: Java Console: No Registry Reference - c:\arquivos de programas\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}

FF - HiddenExtension: Java Console: No Registry Reference - c:\arquivos de programas\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

c:\arquivos de programas\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

c:\arquivos de programas\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

============= SERVICES / DRIVERS ===============

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-12-28 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-12-28 20560]

R2 avast! Antivirus;avast! Antivirus;c:\arquivos de programas\alwil software\avast4\ashServ.exe [2009-12-28 138680]

R2 GbpSv;Gbp Service;c:\arquiv~1\gbplugin\GbpSv.exe [2008-11-25 53800]

R2 SentinelKeysServer;Sentinel Keys Server;c:\arquivos de programas\arquivos comuns\safenet sentinel\sentinel keys server\sntlkeyssrvr.exe [2008-7-11 328992]

S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\GbpKm.sys [2009-4-21 30504]

S2 SSIPDDP;SSIPDDP Parallel port device driver;c:\windows\system32\drivers\ssipddp.sys [2009-9-2 54272]

S2 SteelKey;Steel & Graphics Hardware Protection System; [x]

S3 avast! Mail Scanner;avast! Mail Scanner;c:\arquivos de programas\alwil software\avast4\ashMaiSv.exe [2009-12-28 254040]

S3 avast! Web Scanner;avast! Web Scanner;c:\arquivos de programas\alwil software\avast4\ashWebSv.exe [2009-12-28 352920]

S3 EverestDriver;Lavalys EVEREST Kernel Driver; [x]

S3 sembbus;SEMC WMC Composite Device driver (WDM);c:\windows\system32\drivers\sembbus.sys --> c:\windows\system32\drivers\sembbus.sys [?]

=============== Created Last 30 ================

2010-01-08 05:13:26 0 d-----w- c:\docume~1\rafae\dadosd~1\Malwarebytes

2010-01-08 05:13:22 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-01-08 05:13:21 0 d-----w- c:\docume~1\alluse~1\dadosd~1\Malwarebytes

2010-01-08 05:13:20 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-01-08 05:13:19 0 d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2010-01-03 04:45:37 0 d-----w- c:\docume~1\rafae\dadosd~1\TuneUp Software

2010-01-03 04:44:38 0 d-----w- c:\docume~1\alluse~1\dadosd~1\TuneUp Software

2010-01-03 04:43:25 0 d-sh--w- c:\docume~1\alluse~1\dadosd~1\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}

2009-12-31 08:24:49 0 d-----w- c:\docume~1\rafae\dadosd~1\FreshDiagnose

2009-12-28 01:18:00 466 --sh--r- c:\documents and settings\rafae\ntuser.pol

2009-12-27 22:05:36 0 d-----w- c:\docume~1\rafae\dadosd~1\Registry Mechanic

2009-12-27 17:01:52 178176 ------w- c:\windows\system32\unrar.dll

2009-12-26 08:45:14 32272 ------w- c:\windows\system32\drivers\klim5.sys

2009-12-26 06:26:27 0 d-----w- c:\docume~1\alluse~1\dadosd~1\Kaspersky Lab

2009-12-21 05:30:42 276992 ------w- c:\windows\system32\LFCMP11n.DLL

2009-12-21 05:30:42 262144 ------w- c:\windows\system32\LTDIS11n.dll

2009-12-21 05:30:42 118272 ------w- c:\windows\system32\ltfil11n.DLL

2009-12-21 05:30:19 0 d-----w- c:\arquivos de programas\PowerPlugs

2009-12-21 05:29:53 306688 ------w- c:\windows\IsUninst.exe

2009-12-19 06:16:17 0 d-----w- c:\windows\system32\wbem\Repository

2009-12-14 00:50:01 77 ------w- c:\windows\huffyuv.ini

2009-12-14 00:50:01 33280 ------w- c:\windows\system32\huffyuv.dll

2009-12-13 23:34:18 0 d-----w- c:\arquivos de programas\FreeTime

2009-12-13 22:33:38 69632 ------w- c:\windows\ALCMTR.EXE

2009-12-13 22:27:19 49152 ------w- c:\windows\system32\ChCfg.exe

2009-12-13 21:49:25 86016 ------w- c:\windows\SOUNDMAN.EXE

2009-12-13 21:49:24 9715200 ------w- c:\windows\RTLCPL.EXE

2009-12-13 21:49:24 4419584 ------w- c:\windows\system32\drivers\RtkHDAud.sys

2009-12-13 21:49:24 282624 ------w- c:\windows\system32\RTSndMgr.CPL

2009-12-13 21:49:24 1826816 ------w- c:\windows\SkyTel.exe

2009-12-13 21:49:24 1191936 ------w- c:\windows\RtlUpd.exe

2009-12-13 21:49:22 2162688 ------w- c:\windows\MicCal.exe

2009-12-13 21:49:22 16342528 ------w- c:\windows\RTHDCPL.EXE

2009-12-13 21:49:21 299008 ------w- c:\windows\system32\ALSNDMGR.CPL

2009-12-13 21:49:21 2808832 ------w- c:\windows\ALCWZRD.EXE

2009-12-13 21:49:19 520192 ------w- c:\windows\RtlExUpd.dll

2009-12-12 23:06:09 315392 ------w- c:\windows\HideWin.exe

==================== Find3M ====================

2009-12-31 07:26:18 700154 ------w- c:\windows\system32\perfh016.dat

2009-12-31 07:26:18 202350 ------w- c:\windows\system32\perfc016.dat

2009-12-31 01:28:06 2776 --sh--w- c:\windows\system32\KGyGaAvL.sys

2009-12-11 06:35:05 2560 ------w- c:\windows\_MSRSTRT.EXE

2009-11-05 10:39:40 87552 ------w- c:\windows\system32\cpwmon2k.dll

2009-10-29 07:43:17 832512 ----a-w- c:\windows\system32\wininet.dll

2009-10-29 07:43:14 78336 -c--a-w- c:\windows\system32\ieencode.dll

2009-10-29 07:43:13 17408 -c--a-w- c:\windows\system32\corpol.dll

2009-10-21 05:39:39 75776 -c--a-w- c:\windows\system32\strmfilt.dll

2009-10-21 05:39:39 25088 -c--a-w- c:\windows\system32\httpapi.dll

2009-10-13 10:34:00 271360 ----a-w- c:\windows\system32\oakley.dll

============= FINISH: 17:30:23,04 ===============

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-01-10 18:42:30

Windows 5.1.2600 Service Pack 3

Running: gmer.exe; Driver: C:\DOCUME~1\Rafae\CONFIG~1\Temp\uwtdrpow.sys

---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xA92566B8]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xA9256574]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xA9256A52]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xA925614C]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xA925664E]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xA925608C]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xA92560F0]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xA925676E]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xA925672E]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xA92568AE]

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xA8BF9400, 0x82482, 0xE8000020]

.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA8C99420] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA8C99420]

.protectÿÿÿÿhardlockunknown last code section [0xA8C99200, 0x5105, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xA8C99200, 0x5105, 0xE0000020]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\winlogon.exe[968] ntdll.dll!LdrUnloadDll 7C91738B 5 Bytes JMP 10078460 C:\Arquivos de programas\GbPlugin\gbiehcef.dll (Gbieh Module/Caixa Economica Federal)

.text C:\WINDOWS\system32\winlogon.exe[968] kernel32.dll!FreeLibrary 7C80AC7E 5 Bytes JMP 100782E0 C:\Arquivos de programas\GbPlugin\gbiehcef.dll (Gbieh Module/Caixa Economica Federal)

.text C:\WINDOWS\system32\winlogon.exe[968] kernel32.dll!FreeLibraryAndExitThread 7C80C210 5 Bytes JMP 10078180 C:\Arquivos de programas\GbPlugin\gbiehcef.dll (Gbieh Module/Caixa Economica Federal)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[1012] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002

IAT C:\WINDOWS\system32\services.exe[1012] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Classes\.wav@Content Type audio/wav

Reg HKLM\SOFTWARE\Classes\.wav@PerceivedType audio

Reg HKLM\SOFTWARE\Classes\.wav@ soundrec

Reg HKLM\SOFTWARE\Classes\.wav\OpenWithList

Reg HKLM\SOFTWARE\Classes\.wav\OpenWithList\wmplayer.exe

Reg HKLM\SOFTWARE\Classes\.wav\OpenWithProgIds

Reg HKLM\SOFTWARE\Classes\.wav\OpenWithProgIds@soundrec

Reg HKLM\SOFTWARE\Classes\.wma@Content Type audio/x-ms-wma

Reg HKLM\SOFTWARE\Classes\.wma@PerceivedType audio

Reg HKLM\SOFTWARE\Classes\.wma@ WMAFile

Reg HKLM\SOFTWARE\Classes\.wma\OpenWithList

Reg HKLM\SOFTWARE\Classes\.wma\OpenWithList\wmplayer.exe

Reg HKLM\SOFTWARE\Classes\.wma\OpenWithProgIds

Reg HKLM\SOFTWARE\Classes\.wma\OpenWithProgIds@WMAFile

Reg HKLM\SOFTWARE\Classes\.wmv@Content Type video/x-ms-wmv

Reg HKLM\SOFTWARE\Classes\.wmv@PerceivedType video

Reg HKLM\SOFTWARE\Classes\.wmv@ WMVFile

Reg HKLM\SOFTWARE\Classes\.wmv\OpenWithList

Reg HKLM\SOFTWARE\Classes\.wmv\OpenWithList\wmplayer.exe

Reg HKLM\SOFTWARE\Classes\.wmv\OpenWithProgIds

Reg HKLM\SOFTWARE\Classes\.wmv\OpenWithProgIds@WMVFile

Reg HKLM\SOFTWARE\Classes\.wpl@Content Type application/vnd.ms-wpl

Reg HKLM\SOFTWARE\Classes\.wpl@ WPLFile

Reg HKLM\SOFTWARE\Classes\.wpl@MP2.Last Default

Reg HKLM\SOFTWARE\Classes\.wpl\OpenWithList

Reg HKLM\SOFTWARE\Classes\.wpl\OpenWithList\wmplayer.exe

Reg HKLM\SOFTWARE\Classes\.wpl\OpenWithProgIds

Reg HKLM\SOFTWARE\Classes\.wpl\OpenWithProgIds@WPLFile

---- EOF - GMER 1.0.15 ----

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro Rafaelhos

Recomendo que salve este tópico em seus Favoritos para facilitar na hora de encontrá-lo.

Por favor, atente para o seguinte:

  • Caso fique sem resposta durante 3 dias, me envie uma Mensagem Privada (MP);
  • O que será passado aqui, somente será com relação ao problema do seu computador portanto, não faça mais em nenhum outro;
  • Siga, por favor, atentamente as instruções passadas e em caso de dúvidas não hesite em perguntá-las;
  • Sempre coloque suas respostas neste tópico... Não abra outro!
  • Procure sempre me manter informado, durante a remoção, sobre o que acontece com seu computador.
  • Observação: Não tome outra medida além das passadas aqui; atente para que, caso peça ajuda em outro fórum, não deixe de nos informar, sob risco de desconfigurar seu computador!

# Etapa nº 1 #

Leia as instruções contidas neste link:

Nas instruções contidas no link acima, poderá verificar quais os fóruns onde os Analistas estão devidamente habilitados a utilizar corretamente a ferramenta:"Fóruns para receber ajuda com logs do ComboFix"

  1. Faça o download do ComboFix de um dos links oficiais listados abaixo e salve no seu desktop:

[*]Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).[*]Duplo clique no icone desktopicon.png que está no desktop.[*]Leia e aceite as condições, digitando 1 e enter.[*]Computadores com Windows XP deverão instalar o Console de Recuperação:

  • Se o seu computador tem instalado o Windows XP e ainda não tem instalado o Console de Recuperação, por favor certifique-se que está conectado à Internet, e clique em "Sim".
  • Clique em "OK" ao EULA.
  • Quando o Console de Recuperação estiver já instalado, clique em "SIM" para continuar.

[*]O ComboFix será executado, por favor seja paciente e aguarde. [*]Atenção: Não utilize o mouse nem o teclado enquanto a ferramenta estiver sendo executada, isso pode fazer com que o computador pare.[*]Poderá surgir o aviso que é necessário reiniciar o computador.

NÃO REINICIE!!! O ComboFix reiniciará o computador automaticamente.[*]Quando a ferramenta terminar de rodar, gerará um log (o arquivo C:\ComboFix.txt). Copie e cole o conteúdo desse arquivo na sua proxima resposta.

NÃO utilize a ferramenta por conta própria. É uma ferramenta poderosa criada pra lidar com infecções sofisticadas e caso não a utilize corretamente poderá danificar o seu computador.

  • Existem vários malwares que impedem a execução correta da ferramenta e com isso danificar gravemente o computador. Analistas habilitados a utilizar o ComboFix conhecem esses casos e sabem lidar com estas situações.
  • Muitos dos Analistas não respondem a topicos em que vejam que o ComboFix foi utilizado sem supervisão.
  • Existem varias ferramentas anti-malware generalistas em que os autores ao elaborarem a programação das mesmas, estão pensando nos usuários finais e para serem usadas sem supervisão. O Combofix não é uma ferramenta desse tipo, e assim sendo e até por respeito ao autor da ferramenta, não utilize sem supervisão.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Diego agradeço desde já sua disponibilidade em me ajudar.

Confesso que estou muito preocupado com a "saúde" de meu computador...

segue o log do combofix,

ComboFix 10-01-11.01 - Rafae 11/01/2010 19:07:10.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.1014.589 [GMT -2:00]

Executando de: c:\documents and settings\Rafae\Desktop\ComboFix.exe

AV: avast! antivirus 4.8.1368 [VPS 100111-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

ADS - drivers: deleted 220 bytes in 2 streams.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\arquivos de programas\GbPlugin\gbiehcef.dll

C:\khq

c:\windows\system32\Desktop_.ini

c:\windows\system32\userinit.exe . . . está infectado!!

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-12-11 to 2010-01-11 ))))))))))))))))))))))))))))

.

2010-01-11 20:55 . 2010-01-11 20:55 -------- d-----w- c:\windows\system32\wbem\Repository

2010-01-11 20:53 . 2010-01-11 20:53 -------- d-----w- c:\arquivos de programas\VDOWNLOADER

2010-01-11 20:52 . 2010-01-11 20:53 -------- d--h--w- c:\documents and settings\Rafae\Recent(3)

2010-01-11 08:06 . 2010-01-11 08:06 -------- d-----w- c:\documents and settings\Rafae\BackUp

2010-01-11 06:42 . 2010-01-11 20:52 -------- d--h--w- c:\documents and settings\Rafae\Recent(2)

2010-01-11 06:14 . 2010-01-11 20:52 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\ImageBadger

2010-01-11 05:06 . 2010-01-11 05:06 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\IObit

2010-01-11 05:06 . 2010-01-11 05:06 -------- d-----w- c:\arquivos de programas\IObit

2010-01-11 04:40 . 2010-01-11 21:00 -------- d-----w- c:\arquivos de programas\VS Revo Group

2010-01-11 01:18 . 2010-01-11 03:43 -------- d-----w- c:\arquivos de programas\Lavalys

2010-01-11 00:16 . 2010-01-11 00:16 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Nero

2010-01-11 00:12 . 2010-01-11 20:53 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Nero

2010-01-11 00:12 . 2010-01-11 00:12 -------- d-----w- c:\arquivos de programas\Nero

2010-01-09 20:46 . 2010-01-11 21:11 -------- d-----w- c:\documents and settings\Rafa\Configurações locais

2010-01-09 20:46 . 2010-01-11 20:53 -------- d-----w- c:\documents and settings\Rafa\Modelos

2010-01-09 20:46 . 2010-01-11 20:53 -------- d-----w- c:\documents and settings\Rafa\Favoritos

2010-01-09 20:46 . 2010-01-11 20:53 -------- d-----w- c:\documents and settings\Rafa\Dados de aplicativos

2010-01-09 20:46 . 2010-01-11 20:53 -------- d-s---w- c:\documents and settings\Rafa

2010-01-08 05:13 . 2010-01-08 05:13 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Malwarebytes

2010-01-08 05:13 . 2010-01-08 05:13 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2010-01-03 04:45 . 2010-01-03 04:45 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\TuneUp Software

2010-01-03 04:44 . 2010-01-04 02:25 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\TuneUp Software

2010-01-03 04:43 . 2010-01-03 04:43 -------- d-sh--w- c:\documents and settings\All Users\Dados de aplicativos\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}

2009-12-31 08:24 . 2010-01-03 04:47 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\FreshDiagnose

2009-12-28 02:25 . 2009-11-24 23:48 23120 ------w- c:\windows\system32\drivers\aswRdr.sys

2009-12-28 02:24 . 2009-11-24 23:49 48560 ------w- c:\windows\system32\drivers\aswTdi.sys

2009-12-28 02:24 . 2009-11-24 23:47 27408 ------w- c:\windows\system32\drivers\aavmker4.sys

2009-12-28 02:24 . 2009-11-24 23:47 97480 ------w- c:\windows\system32\AvastSS.scr

2009-12-28 02:24 . 2009-11-24 23:50 20560 ------w- c:\windows\system32\drivers\aswFsBlk.sys

2009-12-28 02:24 . 2009-11-24 23:50 114768 ------w- c:\windows\system32\drivers\aswSP.sys

2009-12-28 02:24 . 2009-11-24 23:51 93424 ------w- c:\windows\system32\drivers\aswmon.sys

2009-12-28 02:24 . 2009-11-24 23:50 94160 ------w- c:\windows\system32\drivers\aswmon2.sys

2009-12-28 02:24 . 2009-11-24 23:54 1280480 ------w- c:\windows\system32\aswBoot.exe

2009-12-28 02:24 . 2009-12-28 02:24 -------- d-----w- c:\arquivos de programas\Alwil Software

2009-12-27 22:05 . 2009-12-27 22:05 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Registry Mechanic

2009-12-27 21:20 . 2010-01-11 20:53 -------- d-----w- c:\arquivos de programas\Windows Live Safety Center

2009-12-27 19:21 . 2009-12-27 19:21 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Media Player Classic

2009-12-27 17:01 . 2009-08-16 15:08 178176 ------w- c:\windows\system32\unrar.dll

2009-12-26 08:45 . 2009-09-14 15:42 32272 ------w- c:\windows\system32\drivers\klim5.sys

2009-12-26 06:26 . 2009-12-28 02:17 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Kaspersky Lab

2009-12-21 05:30 . 1999-11-22 16:52 276992 ------w- c:\windows\system32\LFCMP11n.DLL

2009-12-21 05:30 . 1999-11-22 15:51 118272 ------w- c:\windows\system32\ltfil11n.DLL

2009-12-21 05:30 . 1999-11-22 15:51 262144 ------w- c:\windows\system32\LTDIS11n.dll

2009-12-21 05:30 . 2009-12-21 05:34 -------- d-----w- c:\arquivos de programas\PowerPlugs

2009-12-21 05:29 . 1998-10-29 18:45 306688 ------w- c:\windows\IsUninst.exe

2009-12-19 09:59 . 2009-12-19 09:59 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\dvdcss

2009-12-14 00:50 . 2000-08-23 19:00 33280 ------w- c:\windows\system32\huffyuv.dll

2009-12-13 23:34 . 2009-12-13 23:34 -------- d-----w- c:\arquivos de programas\FreeTime

2009-12-13 22:33 . 2009-12-13 22:21 69632 ------w- c:\windows\ALCMTR.EXE

2009-12-13 22:27 . 2009-12-13 22:21 49152 ------w- c:\windows\system32\ChCfg.exe

2009-12-13 21:49 . 2009-12-13 22:21 86016 ------w- c:\windows\SOUNDMAN.EXE

2009-12-13 21:49 . 2009-12-13 22:21 9715200 ------w- c:\windows\RTLCPL.EXE

2009-12-13 21:49 . 2009-12-13 22:21 1826816 ------w- c:\windows\SkyTel.exe

2009-12-13 21:49 . 2009-12-13 22:21 1191936 ------w- c:\windows\RtlUpd.exe

2009-12-13 21:49 . 2009-12-13 22:21 4419584 ------w- c:\windows\system32\drivers\RtkHDAud.sys

2009-12-13 21:49 . 2009-12-13 22:21 16342528 ------w- c:\windows\RTHDCPL.EXE

2009-12-13 21:49 . 2009-12-13 22:21 2162688 ------w- c:\windows\MicCal.exe

2009-12-13 21:49 . 2009-12-13 22:21 2808832 ------w- c:\windows\ALCWZRD.EXE

2009-12-13 21:49 . 2007-07-26 19:09 520192 ------w- c:\windows\RtlExUpd.dll

2009-12-12 23:06 . 2009-12-12 23:06 315392 ------w- c:\windows\HideWin.exe

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-11 21:13 . 2008-11-25 09:51 -------- d-----w- c:\arquivos de programas\GbPlugin

2010-01-11 21:00 . 2008-12-28 19:56 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2010-01-11 06:41 . 2008-10-18 17:09 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Atheros

2010-01-11 06:41 . 2008-10-22 03:51 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\MSN Pictures Displayer

2010-01-11 06:16 . 2009-12-11 06:19 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\TEMP

2010-01-11 00:12 . 2009-11-24 00:36 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Nero

2010-01-08 02:34 . 2008-10-18 18:24 -------- d-----w- c:\arquivos de programas\CCleaner

2010-01-06 21:32 . 2008-12-28 19:56 -------- d-----w- c:\arquivos de programas\Spybot - Search & Destroy

2009-12-31 07:26 . 2008-04-14 12:00 700154 ------w- c:\windows\system32\perfh016.dat

2009-12-31 07:26 . 2008-04-14 12:00 202350 ------w- c:\windows\system32\perfc016.dat

2009-12-31 01:28 . 2009-09-28 21:45 2776 --sh--w- c:\windows\system32\KGyGaAvL.sys

2009-12-29 23:44 . 2008-10-18 17:09 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2009-12-24 05:05 . 2009-11-21 07:31 30601 ------w- c:\windows\java\x.exe

2009-12-13 22:36 . 2008-10-18 17:13 -------- d-----w- c:\arquivos de programas\Realtek

2009-12-13 21:49 . 2008-10-18 17:12 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield

2009-12-12 20:40 . 2009-12-05 02:22 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\NCH Swift Sound

2009-12-12 16:06 . 2009-12-05 02:22 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\NCH Swift Sound

2009-12-11 06:36 . 2008-11-25 09:51 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

2009-12-11 06:35 . 2009-12-11 06:35 2560 ------w- c:\windows\_MSRSTRT.EXE

2009-12-11 06:33 . 2009-12-11 06:15 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\SpeedBit

2009-12-02 03:15 . 2009-12-02 03:15 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Nero8

2009-11-29 04:35 . 2008-10-18 12:40 -------- d-----w- c:\arquivos de programas\Serviços on-line

2009-11-23 01:47 . 2009-11-23 01:47 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\InstallShield

2009-11-21 15:58 . 2008-04-14 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll

2009-11-15 19:54 . 2009-11-15 19:52 -------- d-----w- c:\arquivos de programas\PDFCreator

2009-11-08 07:47 . 2009-11-08 07:47 152576 -c----w- c:\documents and settings\Rafae\Dados de aplicativos\Sun\Java\jre1.6.0_17\lzma.dll

2009-11-05 10:39 . 2009-11-11 03:42 87552 ------w- c:\windows\system32\cpwmon2k.dll

2009-10-29 07:43 . 2008-04-14 12:00 832512 ----a-w- c:\windows\system32\wininet.dll

2009-10-29 07:43 . 2008-04-14 12:00 78336 -c--a-w- c:\windows\system32\ieencode.dll

2009-10-29 07:43 . 2008-04-14 12:00 17408 -c--a-w- c:\windows\system32\corpol.dll

2009-10-22 17:40 . 2009-04-21 20:48 30504 ------w- c:\windows\system32\drivers\GbpKm.sys

2009-10-21 05:39 . 2008-04-14 12:00 75776 -c--a-w- c:\windows\system32\strmfilt.dll

2009-10-21 05:39 . 2008-04-14 12:00 25088 -c--a-w- c:\windows\system32\httpapi.dll

2009-10-20 16:20 . 2008-04-14 12:00 265728 -c--a-w- c:\windows\system32\drivers\http.sys

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\arquivos de programas\Messenger\msmsgs.exe" [2008-04-13 1695232]

"SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-08-24 135168]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-08-24 159744]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-08-24 131072]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

"RTHDCPL"="RTHDCPL.EXE" [2009-12-13 16342528]

"avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

"ISUSScheduler"="c:\arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]

"ISUSPM Startup"="c:\arquivos de programas\Arquivos comuns\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Administrador\Menu Iniciar\Programas\Inicializar\

Internet Explorer.lnk - c:\arquivos de programas\Internet Explorer\IEXPLORE.EXE [2008-10-18 634632]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"XAudioService"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"NWEReboot"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\GbpKm.sys [21/4/2009 18:48 30504]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [28/12/2009 00:24 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [28/12/2009 00:24 20560]

R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [25/11/2008 07:51 53800]

R2 SentinelKeysServer;Sentinel Keys Server;c:\arquivos de programas\Arquivos comuns\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe [11/7/2008 02:02 328992]

S2 SSIPDDP;SSIPDDP Parallel port device driver;c:\windows\system32\drivers\ssipddp.sys [2/9/2009 18:58 54272]

S2 SteelKey;Steel & Graphics Hardware Protection System; [x]

S3 EverestDriver;Lavalys EVEREST Kernel Driver; [x]

S3 sembbus;SEMC WMC Composite Device driver (WDM);c:\windows\system32\DRIVERS\sembbus.sys --> c:\windows\system32\DRIVERS\sembbus.sys [?]

.

Conteúdo da pasta 'Tarefas Agendadas'

2010-01-11 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAEXEC.exe [2009-08-03 18:07]

2010-01-10 c:\windows\Tasks\User_Feed_Synchronization-{B605006D-EC1A-4669-A4DF-E9D27F72059B}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 20:36]

.

.

------- Scan Suplementar -------

.

uStart Page = about:blank

uInternet Settings,ProxyOverride = local

IE: Add to Google Photos Screensa&ver

IE: E&xportar para o Microsoft Excel

FF - ProfilePath - c:\documents and settings\Rafae\Dados de aplicativos\Mozilla\Firefox\Profiles\ulayf9yk.Gabii\

FF - prefs.js: browser.startup.homepage - about:blank

FF - plugin: c:\arquivos de programas\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\npOGAPlugin.dll

FF - plugin: c:\arquivos de programas\Windows Live\Photo Gallery\NPWLPG.dll

FF - plugin: c:\documents and settings\Rafae\Dados de aplicativos\Mozilla\plugins\npPxPlay.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

- - - - ORFÃOS REMOVIDOS - - - -

BHO-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

ShellExecuteHooks-{E37CB5F0-51F5-4395-A808-5FA49E399003} - c:\arquivos de programas\GbPlugin\gbiehcef.dll

Notify- GbPluginCef - c:\arquivos de programas\GbPlugin\gbiehcef.dll

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-11 19:14

Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]

"6140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'explorer.exe'(3960)

c:\windows\system32\WININET.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

c:\arquivos de programas\Alwil Software\Avast4\ashServ.exe

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\arquivos de programas\CyberLink\Shared files\RichVideo.exe

c:\arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

c:\arquivos de programas\Arquivos comuns\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\RTHDCPL.EXE

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Tempo para conclusão: 2010-01-11 19:18:41 - Máquina reiniciou

ComboFix-quarantined-files.txt 2010-01-11 21:18

Pré-execução: 11 pasta(s) 68.553.904.128 bytes disponíveis

Pós execução: 14 pasta(s) 69.052.907.520 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

Current=4 Default=4 Failed=3 LastKnownGood=1 Sets=1,2,3,4

- - End Of File - - 88320162BB4C18103971DB25786223EB

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro Rafaelhos

# Etapa nº 1 #

Acesse o site 4y6d3b8.gif" Jotti's malware scan "

  • Na caixa que fica em cima (File to upload & scan);
  • Copie e cole o(s) seguinte(s) arquivo(s) um de cada vez:
    • c:\windows\system32\huffyuv.dll
    • c:\windows\java\x.exe

    [*]Clique no botão 688godt.jpg[*] O(s) arquivo(s) irá(serão) ser examinado(s) por diferentes programas antivirus, por favor aguarde.[*] Copie e cole o(s) resultado(s).

Se o site acima estiver muito congestionado, tente num desses sites:

Alternativa 1

Alternativa 2

# Etapa nº 2 #

Faça o download do SystemLook em seu desktop.

Link Alternativo

  • Clique duas vezes no ícone 4119586963_6274067071_o.gif
  • Clique em executar;
  • Copie (ctrl+c) conteúdo abaixo:

:filefind
*userinit*

E cole (ctrl+v) no espaço indicado na imagem:

4120361504_f66dd92e95_o.jpg

  • Clique em 4119586997_32a5666660_o.jpg
  • Aguarde;
  • Ao término será aberto o log do scan;
  • Clique em 4120361454_3c264d5fca_o.jpg
  • Poste todo o conteúdo em sua próxima resposta.

Note:
O log também pode ser encontrado no desktop com o nome:
SystemLook.
txt

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Boa noite Diego...

Segue os resultados...

Tamanho: 33280 bytes

Tipo: PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit

MD5: b74695b50230be4a6ef2c4293a58ac3b

SHA1: 44289468d9bbef34bb51eda8944cb4951bba21a3

Tamanho: 30601 bytes

Tipo: PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5: b4fca8a5b1b357bf9e2b7a279827b8b4

SHA1: 5482c0e3680d3294e8c419d7578b295e0e1fee61

SystemLook v1.0 by jpshortstuff (11.01.10)

Log created at 19:34 on 12/01/2010 by Rafae (Administrator - Elevation successful)

========== filefind ==========

Searching for "*userinit*"

C:\Qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir --a--- 26112 bytes [12:00 14/04/2008] [12:00 14/04/2008] A7EA40F680163808D96F89B4FF991876

C:\WINDOWS\ERDNT\cache\userinit.exe --a--- 26112 bytes [21:17 11/01/2010] [12:00 14/04/2008] A7EA40F680163808D96F89B4FF991876

C:\WINDOWS\Prefetch\USERINIT.EXE-0743FDA9.pf --a--- 84250 bytes [21:02 10/01/2010] [21:16 12/01/2010] 8E1D521AA8828B7B4B6C180403688138

C:\WINDOWS\system32\userinit.exe ------ 26112 bytes [12:00 14/04/2008] [12:00 14/04/2008] A7EA40F680163808D96F89B4FF991876

-=End Of File=-

Aguardo respostas.

Abraços

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro Rafaelhos

Tamanho: 33280 bytes

Tipo: PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit

MD5: b74695b50230be4a6ef2c4293a58ac3b

SHA1: 44289468d9bbef34bb51eda8944cb4951bba21a3

Tamanho: 30601 bytes

Tipo: PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5: b4fca8a5b1b357bf9e2b7a279827b8b4

SHA1: 5482c0e3680d3294e8c419d7578b295e0e1fee61

Isso não é o resultado... por favor, poste novamente.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Diego tomara que esteja certo agora...

Segue os resultados...

Abraços

Verificador de malware do Jotti

Este arquivo já foi verificado. Os resultados da verificação estão listados abaixo.

Nome do arquivo: huffyuv.dll

Status:

Verificação finalizada. 0 dos 20 antivírus encontrou vírus..

Verificado em: Ter 12 Jan 2010 22:32:54 (CET) Link do resultado

Informações do arquivo

Tamanho: 33280 bytes

Tipo: PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit

MD5: b74695b50230be4a6ef2c4293a58ac3b

SHA1: 44289468d9bbef34bb51eda8944cb4951bba21a3

Este arquivo já foi verificado. Os resultados da verificação estão listados abaixo.

Nome do arquivo: x.exe

Status:

Verificação finalizada. 0 dos 20 antivírus encontrou vírus..

Verificado em: Qua 30 Dez 2009 05:01:25 (CET) Link do resultado

Informações do arquivo

Tamanho: 30601 bytes

Tipo: PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5: b4fca8a5b1b357bf9e2b7a279827b8b4

SHA1: 5482c0e3680d3294e8c419d7578b295e0e1fee61

SystemLook v1.0 by jpshortstuff (11.01.10)

Log created at 22:03 on 15/01/2010 by Rafae (Administrator - Elevation successful)

========== filefind ==========

Searching for "*userinit*"

C:\Qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir --a--- 26112 bytes [12:00 14/04/2008] [12:00 14/04/2008] A7EA40F680163808D96F89B4FF991876

C:\WINDOWS\ERDNT\cache\userinit.exe --a--- 26112 bytes [21:17 11/01/2010] [12:00 14/04/2008] A7EA40F680163808D96F89B4FF991876

C:\WINDOWS\Prefetch\USERINIT.EXE-0743FDA9.pf --a--- 75228 bytes [21:02 10/01/2010] [23:48 15/01/2010] AA6332E2D23F6C71397CD626781536A2

C:\WINDOWS\system32\userinit.exe ------ 26112 bytes [12:00 14/04/2008] [12:00 14/04/2008] A7EA40F680163808D96F89B4FF991876

-=End Of File=-

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro Rafaelhos

Temporariamente e durante a execução destas instruções, é muito importante que mantenha desabilitados os seus programas de proteção (Antivirus, Antispyware e Firewall). Reative as proteções após a execução do(s) procedimento(s) abaixo mencionado(s).

Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está dentro do "Código":

FCopy::
C:\WINDOWS\ERDNT\cache\userinit.exe | C:\WINDOWS\system32\userinit.exe

Salve este arquivo como: CFScript.txt

2872959479_997d4500c4_o.gif

Tal com exemplificado na foto acima, arraste o arquivo CFScript.txt para dentro do ComboFix.exe. Quando a ferramenta terminar de rodar, gerará um log. Poste esse arquivo C:\ComboFix.txt.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Diego segue...

ComboFix 10-01-16.02 - Rafae 16/01/2010 23:17:43.2.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.1014.529 [GMT -2:00]

Executando de: c:\documents and settings\Rafae\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\Rafae\Desktop\CFScript.txt

AV: avast! antivirus 4.8.1368 [VPS 100116-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

ADS - drivers: deleted 220 bytes in 2 streams.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\All Users\Dados de aplicativos\Microsoft\Network\Downloader\qmgr0.dat

c:\documents and settings\All Users\Dados de aplicativos\Microsoft\Network\Downloader\qmgr1.dat

c:\windows\system32\Thumbs.db

----- BITS: Sites possivelmente infectados -----

hxxp://armmf.adobe.com

.

--------------- FCopy ---------------

c:\windows\ERDNT\cache\userinit.exe --> c:\windows\system32\userinit.exe

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-12-17 to 2010-01-17 ))))))))))))))))))))))))))))

.

2010-01-16 07:05 . 2010-01-16 07:17 664 ----a-w- c:\windows\system32\d3d9caps.dat

2010-01-16 05:11 . 2010-01-16 05:11 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\InstallShield

2010-01-16 05:07 . 2010-01-16 05:07 -------- d--h--w- c:\documents and settings\Rafae\Recent(4)

2010-01-16 04:44 . 2010-01-16 04:44 -------- d-----w- c:\windows\system32\wbem\Repository

2010-01-16 02:52 . 2010-01-16 05:11 -------- d-----w- c:\documents and settings\Rafae\.SunDownloadManager

2010-01-12 02:28 . 2010-01-12 02:28 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Nero

2010-01-12 02:24 . 2010-01-12 02:26 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Nero

2010-01-12 02:24 . 2010-01-12 02:24 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Nero

2010-01-12 02:24 . 2010-01-12 02:24 -------- d-----w- c:\arquivos de programas\Nero

2010-01-11 20:52 . 2010-01-12 02:07 -------- d--h--w- c:\documents and settings\Rafae\Recent(3)

2010-01-11 08:06 . 2010-01-11 08:06 -------- d-----w- c:\documents and settings\Rafae\BackUp

2010-01-11 06:42 . 2010-01-11 20:52 -------- d--h--w- c:\documents and settings\Rafae\Recent(2)

2010-01-11 06:14 . 2010-01-11 20:52 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\ImageBadger

2010-01-11 05:06 . 2010-01-11 05:06 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\IObit

2010-01-09 20:46 . 2010-01-17 01:22 -------- d-----w- c:\documents and settings\Rafa\Configurações locais

2010-01-09 20:46 . 2010-01-11 20:53 -------- d-----w- c:\documents and settings\Rafa\Modelos

2010-01-09 20:46 . 2010-01-11 20:53 -------- d-----w- c:\documents and settings\Rafa\Favoritos

2010-01-09 20:46 . 2010-01-11 20:53 -------- d-----w- c:\documents and settings\Rafa\Dados de aplicativos

2010-01-09 20:46 . 2010-01-11 20:53 -------- d-s---w- c:\documents and settings\Rafa

2010-01-08 05:13 . 2010-01-08 05:13 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Malwarebytes

2010-01-08 05:13 . 2010-01-08 05:13 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2010-01-03 04:45 . 2010-01-03 04:45 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\TuneUp Software

2010-01-03 04:44 . 2010-01-04 02:25 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\TuneUp Software

2010-01-03 04:43 . 2010-01-03 04:43 -------- d-sh--w- c:\documents and settings\All Users\Dados de aplicativos\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}

2009-12-31 08:24 . 2010-01-03 04:47 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\FreshDiagnose

2009-12-28 02:25 . 2009-11-24 23:48 23120 ------w- c:\windows\system32\drivers\aswRdr.sys

2009-12-28 02:24 . 2009-11-24 23:49 48560 ------w- c:\windows\system32\drivers\aswTdi.sys

2009-12-28 02:24 . 2009-11-24 23:47 27408 ------w- c:\windows\system32\drivers\aavmker4.sys

2009-12-28 02:24 . 2009-11-24 23:47 97480 ------w- c:\windows\system32\AvastSS.scr

2009-12-28 02:24 . 2009-11-24 23:50 20560 ------w- c:\windows\system32\drivers\aswFsBlk.sys

2009-12-28 02:24 . 2009-11-24 23:50 114768 ------w- c:\windows\system32\drivers\aswSP.sys

2009-12-28 02:24 . 2009-11-24 23:51 93424 ------w- c:\windows\system32\drivers\aswmon.sys

2009-12-28 02:24 . 2009-11-24 23:50 94160 ------w- c:\windows\system32\drivers\aswmon2.sys

2009-12-28 02:24 . 2009-11-24 23:54 1280480 ------w- c:\windows\system32\aswBoot.exe

2009-12-28 02:24 . 2009-12-28 02:24 -------- d-----w- c:\arquivos de programas\Alwil Software

2009-12-27 22:05 . 2009-12-27 22:05 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Registry Mechanic

2009-12-27 21:20 . 2010-01-11 20:53 -------- d-----w- c:\arquivos de programas\Windows Live Safety Center

2009-12-27 19:21 . 2009-12-27 19:21 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\Media Player Classic

2009-12-27 17:01 . 2009-08-16 15:08 178176 ------w- c:\windows\system32\unrar.dll

2009-12-26 08:45 . 2009-09-14 15:42 32272 ------w- c:\windows\system32\drivers\klim5.sys

2009-12-26 06:26 . 2009-12-28 02:17 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Kaspersky Lab

2009-12-21 05:30 . 1999-11-22 16:52 276992 ------w- c:\windows\system32\LFCMP11n.DLL

2009-12-21 05:30 . 1999-11-22 15:51 118272 ------w- c:\windows\system32\ltfil11n.DLL

2009-12-21 05:30 . 1999-11-22 15:51 262144 ------w- c:\windows\system32\LTDIS11n.dll

2009-12-21 05:30 . 2009-12-21 05:34 -------- d-----w- c:\arquivos de programas\PowerPlugs

2009-12-21 05:29 . 1998-10-29 18:45 306688 ------w- c:\windows\IsUninst.exe

2009-12-19 09:59 . 2009-12-19 09:59 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\dvdcss

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-17 01:10 . 2008-10-18 23:55 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Messenger Plus!

2010-01-17 01:09 . 2008-10-18 23:53 -------- d-----w- c:\arquivos de programas\Messenger Plus! Live

2010-01-16 05:11 . 2008-10-18 17:09 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2010-01-16 03:51 . 2008-10-18 17:09 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Atheros

2010-01-15 04:49 . 2008-10-18 17:13 -------- d-----w- c:\arquivos de programas\Realtek

2010-01-15 03:34 . 2008-12-28 19:56 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2010-01-14 20:52 . 2009-12-11 06:15 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\SpeedBit

2010-01-14 20:52 . 2009-12-11 06:19 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\TEMP

2010-01-11 21:13 . 2008-11-25 09:51 -------- d-----w- c:\arquivos de programas\GbPlugin

2010-01-11 06:41 . 2008-10-22 03:51 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\MSN Pictures Displayer

2010-01-08 02:34 . 2008-10-18 18:24 -------- d-----w- c:\arquivos de programas\CCleaner

2010-01-06 21:32 . 2008-12-28 19:56 -------- d-----w- c:\arquivos de programas\Spybot - Search & Destroy

2009-12-31 07:26 . 2008-04-14 12:00 700154 ------w- c:\windows\system32\perfh016.dat

2009-12-31 07:26 . 2008-04-14 12:00 202350 ------w- c:\windows\system32\perfc016.dat

2009-12-31 01:28 . 2009-09-28 21:45 2776 --sh--w- c:\windows\system32\KGyGaAvL.sys

2009-12-24 05:05 . 2009-11-21 07:31 30601 ------w- c:\windows\java\x.exe

2009-12-13 23:34 . 2009-12-13 23:34 -------- d-----w- c:\arquivos de programas\FreeTime

2009-12-13 21:49 . 2008-10-18 17:12 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield

2009-12-12 20:40 . 2009-12-05 02:22 -------- d-----w- c:\documents and settings\Rafae\Dados de aplicativos\NCH Swift Sound

2009-12-12 16:06 . 2009-12-05 02:22 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\NCH Swift Sound

2009-12-11 06:36 . 2008-11-25 09:51 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

2009-11-29 04:35 . 2008-10-18 12:40 -------- d-----w- c:\arquivos de programas\Serviços on-line

2009-11-21 15:58 . 2008-04-14 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll

2009-11-08 07:47 . 2009-11-08 07:47 152576 -c----w- c:\documents and settings\Rafae\Dados de aplicativos\Sun\Java\jre1.6.0_17\lzma.dll

2009-11-05 10:39 . 2009-11-11 03:42 87552 ------w- c:\windows\system32\cpwmon2k.dll

2009-10-29 07:43 . 2008-04-14 12:00 832512 ------w- c:\windows\system32\wininet.dll

2009-10-29 07:43 . 2008-04-14 12:00 78336 -c--a-w- c:\windows\system32\ieencode.dll

2009-10-29 07:43 . 2008-04-14 12:00 17408 -c--a-w- c:\windows\system32\corpol.dll

2009-10-22 17:40 . 2009-04-21 20:48 30504 ------w- c:\windows\system32\drivers\GbpKm.sys

2009-10-21 05:39 . 2008-04-14 12:00 75776 -c--a-w- c:\windows\system32\strmfilt.dll

2009-10-21 05:39 . 2008-04-14 12:00 25088 -c--a-w- c:\windows\system32\httpapi.dll

2009-10-20 16:20 . 2008-04-14 12:00 265728 -c--a-w- c:\windows\system32\drivers\http.sys

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\arquivos de programas\Messenger\msmsgs.exe" [2008-04-13 1695232]

"SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Nero\Lib\NMBgMonitor.exe" [2007-09-20 202024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

"RTHDCPL"="RTHDCPL.EXE" [2009-12-13 16342528]

"avast!"="c:\arquiv~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

"ISUSScheduler"="c:\arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]

"ISUSPM Startup"="c:\arquivos de programas\Arquivos comuns\InstallShield\UpdateService\ISUSPM.exe" [2005-08-11 249856]

"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]

"NBKeyScan"="c:\arquivos de programas\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Administrador\Menu Iniciar\Programas\Inicializar\

Internet Explorer.lnk - c:\arquivos de programas\Internet Explorer\IEXPLORE.EXE [2008-10-18 634632]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"XAudioService"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"NWEReboot"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\WINDOWS\\system32\\mmc.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [28/12/2009 00:24 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [28/12/2009 00:24 20560]

R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [25/11/2008 07:51 53800]

R2 SentinelKeysServer;Sentinel Keys Server;c:\arquivos de programas\Arquivos comuns\SafeNet Sentinel\Sentinel Keys Server\sntlkeyssrvr.exe [11/7/2008 02:02 328992]

S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\GbpKm.sys [21/4/2009 18:48 30504]

S2 SSIPDDP;SSIPDDP Parallel port device driver;c:\windows\system32\drivers\ssipddp.sys [2/9/2009 18:58 54272]

S2 SteelKey;Steel & Graphics Hardware Protection System; [x]

S3 sembbus;SEMC WMC Composite Device driver (WDM);c:\windows\system32\DRIVERS\sembbus.sys --> c:\windows\system32\DRIVERS\sembbus.sys [?]

.

Conteúdo da pasta 'Tarefas Agendadas'

2010-01-17 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAEXEC.exe [2009-08-03 18:07]

2010-01-16 c:\windows\Tasks\User_Feed_Synchronization-{B605006D-EC1A-4669-A4DF-E9D27F72059B}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 20:36]

.

.

------- Scan Suplementar -------

.

uStart Page = about:blank

uInternet Settings,ProxyOverride = local

IE: Add to Google Photos Screensa&ver

IE: E&xportar para o Microsoft Excel

FF - ProfilePath - c:\documents and settings\Rafae\Dados de aplicativos\Mozilla\Firefox\Profiles\ulayf9yk.Gabii\

FF - prefs.js: browser.startup.homepage - about:blank

FF - plugin: c:\arquivos de programas\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\npOGAPlugin.dll

FF - plugin: c:\arquivos de programas\Windows Live\Photo Gallery\NPWLPG.dll

FF - plugin: c:\documents and settings\Rafae\Dados de aplicativos\Mozilla\plugins\npPxPlay.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

- - - - ORFÃOS REMOVIDOS - - - -

BHO-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

Notify- GbPluginCef - c:\arquivos de programas\GbPlugin\gbiehcef.dll

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-16 23:22

Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]

"6140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

Tempo para conclusão: 2010-01-16 23:24:01

ComboFix-quarantined-files.txt 2010-01-17 01:23

ComboFix2.txt 2010-01-11 21:18

Pré-execução: 12 pasta(s) 68.456.062.976 bytes disponíveis

Pós execução: 13 pasta(s) 68.436.738.048 bytes disponíveis

Current=4 Default=4 Failed=3 LastKnownGood=1 Sets=1,2,3,4

- - End Of File - - 9EADAB4F41BC6DB6DB3286E3BA9EFC6D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro Rafaelhos

Etapa nº 1 #

Preciso que me envie um arquivo para análise. Faça uma cópia deste arquivo (não execute): c:\windows\java\x.exe

Coloque-o numa pasta, compacte-a e me envie para o e-mail que lhe passei por MP ;)

Obrigado :)

Etapa nº 2 #

Leia atentamente toda a instrução abaixo antes de executar o programa.

Faça download do Kaspersky Removal Tool e salve em seu desktop.

  • Instale o programa normalmente, seguindo todas as instruções.
  • Uma pasta chamada Virus Removal Tool será criada no desktop.
  • Na tela do programa clique nas opções:
    • Meu computador
    • Hidden Startup objects
    • Disk boot sectors
    • System Memory

    [*]Clique no botão Start Scan.[*]Seja paciente, o scan é demorado![*]Conforme for scaneando provavelmente abrirá algumas janelas pequenas ao lado do relógio, não clique em nada.[*]Também há uma possibilidade de abrir uma janela maior contendo as seguintes opções:

    • Desinfection (quando possível)
    • Delete
    • Skip
  • Quando aparecer, marque primero a opção abaixo Apply to all objects e depois clique numa das opções acima.
  • Após completar tudo, clique no botão Reports, na janela que abrir nas opções acima deixe:
    • Autoscan
    • Group by result
    • All Events

    [*]Expanda Autoscan clicando no sinal ao lado de +[*]Expanda Result: Detected.[*]Clique com o botão direito do mouse e escolha Select all, e depois escolha Copy.[*]Atenção, ao fazer isso parece que o PC travou, mas não, aguarde uns minutos para liberar a memória.[*]Abra o Bloco de Notas e cole (ctrl + v) [*]Dê um nome para o arquivo e salve numa pasta de sua preferência.[*]Feche o resultado clicando no botão Exit.[*]Ao fazer isso será questionado se quer desinstalar a ferramenta, clique em Sim.[*]Reinicie o computador quando for pedido.[*]Poste o conteúdo desse arquivo em sua próxima resposta.

OBSERVAÇÃO1:
Atente para as janelas durante o scan elas possuem cores diferentes dependendo do risco. Portanto,
  • verde
    :
    baixo risco
  • amarelo
    :
    médio risco
  • vermelho
    :
    alto risco

Antes de tomar qualquer medida verifique com cuidado o caminho/nome do arquivo para ver é de seu conhecimento, caso seja clique em
Skip
.

OBSERVAÇÃO2:
Se no resultado final do scan apenas tiver
Result:
OK
, não precisa gerar um relatório, apenas informe deste.

OBSERVAÇÃO3:
Durante o scan pode ser que o Kaspersky acuse a seguinte pasta com vírus:
c:\
QooBox
. Caso isto aconteça escolha a opção
Skip
, pois a mesma pertence ao
ComboFix
e será removida quando o mesmo for desinstalado.

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Diego o arquivo foi enviado para seu email !

Fiz todos os procedimentos com o Kaspersky Removal Tool e não detectou nada, consequentemente nao gerou nenhum log !

Abraços

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro Rafaelhos

Fiz um novo scan no arquivo que me enviou, também não foi encontrado nada. Vou enviá-lo para amigos para uma análise mais aprofundada, caso encontre algo entro em contato com você por MP :)

No mais vamos dar por finalizado :hehehe:

>>>> Como está o computador?

# Etapa nº 1 #

Vamos desinstalar o ComboFix:

Vá em,

iniciar > executar e digite Combofix /Uninstall e clique OK, na janela que aparecer clique em executar e aguarde o programa ser removido!

# Etapa nº 2 #

Faça download do OTC by OldTimer e salve em seu desktop.

  • Clique duas vezes no ícone 4142006426_4719050954_o.gif
  • Clique em executar;
  • Clique em seu único botão (imagem abaixo):
    4141259853_5a542d5908_o.jpg
  • Permita que seu computador seja reiniciado.

# Etapa nº 3 #

1) Atualize o Internet Explorer (IE), o seu está com o IE6/IE7 coloque o IE8;

Internet Explorer 8

Download Aqui

2) O seu Java está desatualizado.

Versões antigas e desatualizadas, são mais vulneráveis aos malwares.

  • Faça o download da última versão do Java Runtime Environment (JRE) e salve em seu Desktop.
  • Localize o Java Runtime Environment (JRE) 6 Update 18.
  • À sua direita clique em Download.
  • Selecione a sua Plataforma.
  • Marque a caixa I agree to the Java SE Runtime Environment 6u18 with JavaFX 1 License Agreement
  • Clique em Continue
  • Clique no link Windows Offline Installation e salve o arquivo em seu Desktop.
  • Feche todos os programas. especialmente o seu Navegador (IE, Firefox, etc)
  • Clique em iniciar > painel de controle > clique duas vezes em adicionar/remover programas e desinstale todas as versões antigas do Java (JRE ou J2SE).Deverá ter um icone como este javaicon.jpg
  • Clique em Remover.
  • Repita tantas vezes for necessário até que tenha removido todas as versões antigas do Java que existam em seu PC.
  • Reinicie o computador...
  • Agora clique duas vezes em jre-6u18-windows-i586.exe que acabara de baixar e siga os passos de instalação da nova versão do Java!

# Etapa nº 4 #

<<@>> Instale o CCleaner

O CCleaner é um excelente utilitário de limpeza para o computador, que lhe ajudará no desempenho do computador. Faça o download dele aqui CCleaner


  • IMPORTANTE: Após a instalação vá até o local onde o programa foi instalado, C:\Arquivos de programas\CCleaner, clique duas vezes na pasta, numa área vazia desta janela, clique com o botão direito do mouse e escolha Novo > pasta e crie uma nova pasta; coloque o nome de backups!
  • Abra o programa e clique em Executar Limpeza;
  • clique no botão Registro > Procurar Erros > Corrigir erro(s) seleciona(s)...
    Obs: Não se esqueça de aceitar o backup das correções, e salvá-los nas pasta criada acima!

<<@>> Mantenha sempre seu Windows atualizado; mantenha uma vigilância constante com o firewall e antivírus e por fim, lembre-se que, a melhor forma de prevenir começa pelas nossas atitudes!

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Olá Diego...

Fiz todos os procedimentos que você explicou acima...

Obrigado pelos alertas do internet Explorer e do Java...

Fico no aguardo de noticias sobre uma análise mais profunda do meu Log.

Preciso que me informe os procedimentos corretos sobre usuários, eu uso somente 1 que é o administrador e coloquei senha...mais em alguns lugares aparecem outros usuários...

Tenho que criar outro tópico?

Desde já agradeço a disponibilidade de me ajudar.

você está de parabéns !

Grande abraço

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro Rafaelhos

Fico no aguardo de noticias sobre uma análise mais profunda do meu Log.
Seu log já foi bem analisado... o problema era com este arquivo: c:\windows\java\x.exe. E agora já sei que ele é legítimo e pertence a este pacote: http://www.duckware.com/jexepack/index.html

Caso desejar pode deletá-lo sem problemas :)

Preciso que me informe os procedimentos corretos sobre usuários, eu uso somente 1 que é o administrador e coloquei senha...mais em alguns lugares aparecem outros usuários...
Não entendi sua pergunta :confused:
você está de parabéns !
:joia:

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

quis dizer sobre os contas de usuários.

Eu uso só 1 conta, que coloquei meu nome e senha....sempre como ligo o computador mostra somente minha conta e pede a minha senha...

A conta de convidado está desativada....

Essa minha conta é a conta Administrador do computador, portanto só uso ela.

Essa é a maneira correta? Já ouvi falar que não se deve usar a conta como administrador.

E tem algumas coisas que fala que eu não tenho permissão para fazer uma tal alteração, diz que eu tenho que estar logado como administrador...Mais eu já estou entende?

Abraços

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro Rafaelhos

Eu uso só 1 conta, que coloquei meu nome e senha....sempre como ligo o computador mostra somente minha conta e pede a minha senha...
Está certo...
Essa minha conta é a conta Administrador do computador, portanto só uso ela.

Essa é a maneira correta? Já ouvi falar que não se deve usar a conta como administrador.

E tem algumas coisas que fala que eu não tenho permissão para fazer uma tal alteração, diz que eu tenho que estar logado como administrador...Mais eu já estou entende?

Creio que está fazendo confusão. Quando você instala o XP ele cria automaticamente uma conta de administrador e pede uma senha, que você escolhe, logo depois, ele pede para criar uma nova conta. Se só tiver uma está também será administrador, mas como você definiu uma senha para ela, e se está senha for diferente da conta administrador então, qualquer alteração que esta sua conta não possa vai ser barrada e terá que fazer pela conta administrador.

Verifique no Painel de controle, em Constas de usuários, se realmente só existe a sua conta, caso sim retire a senha e tenta fazer algo que não podia.

Pergunta: foi você quem instalou o XP?

Abraços :D

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Não foi eu que instalei nao !

intao mais tipo, em varios lugares eu vejo vários usuários como por exemplo no c: documents and setings...tem as seguintes pastas...

administrador

all users

convidado

rafa

rafae

porque tem essas pastas no c: e nas contas de usuarios nao tem nadaa?

Abs

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro Rafaelhos

porque tem essas pastas no c: e nas contas de usuarios nao tem nadaa?
Pode ser pastas de usuários desativados mas, eu não as deletaria.

Procure aqui no fórum algo relacionado ao seu problema, caso não encontre abra um tópico na área deste problema :)

Posso dar como Resolvido?

Abraços :D

Editado por diego_moicano
correção.

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Pode sim diego...

Agradeço mais uma vez pela ateção!

Abs

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caso o autor do tópico necessite, o mesmo será reaberto, para isso deverá entrar em contato com a moderação solicitando o desbloqueio.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×