Remoção de vírus

[Mr.Wolf]

Boa tarde pessoal!


BrunoBsB, não sei se ainda necessita de ajuda. Caso positivo, peço que poste avisando, por gentileza.

_________________________________


Olá kym3ra, seu computador está infectado sim. Trata-se de Trojans Vundo. Siga as instruções abaixo kym3ra:

Spoiler

1ª Etapa

Vá em Painel de Controle > Adicionar ou Remover Programas e desinstale o componente: AskBarDis


2ª Etapa

- Faça o download do Malwarebytes Anti-Malware e salve-o no desktop;

● Dê dois cliques no programa para iniciar a instalação. Selecione o idioma Português (Brasil);
● Ao final da instalação, marque as opções "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em Concluir;
● Após a instalação execute o programa;
● Marque a opção Verificação Completa e depois clique em Verificar. Selecione sua unidade C: e clique no botão Iniciar Verificação;
● Quando o scan terminar, clique em OK e o log será automaticamente aberto para você;
● Se algo for detectado, verifique se todos os itens estão marcados e clique no botão Remover.
OBS: Caso apareça uma mensagem pedindo para que você reinicie o computador para completar o processo de remoção, reinicie-o imediatamente;
● O log pode ser consultado clicando em Logs do menu principal também;

Copie e cole o conteúdo desse log na sua próxima resposta, juntamente com um novo log do HijackThis.

_________________________________


luisednardo, agora sim, o payload do Rootkit foi desativado. Rode o ComboFix.

 

[BrunoBsB]

Boa tarde pessoal!


BrunoBsB, não sei se ainda necessita de ajuda. Caso positivo, peço que poste avisando, por gentileza.

_________________________________


Olá kym3ra, seu computador está infectado sim. Trata-se de Trojans Vundo. Siga as instruções abaixo kym3ra:

Spoiler

1ª Etapa

Vá em Painel de Controle > Adicionar ou Remover Programas e desinstale o componente: AskBarDis


2ª Etapa

- Faça o download do Malwarebytes Anti-Malware e salve-o no desktop;

● Dê dois cliques no programa para iniciar a instalação. Selecione o idioma Português (Brasil);
● Ao final da instalação, marque as opções "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em Concluir;
● Após a instalação execute o programa;
● Marque a opção Verificação Completa e depois clique em Verificar. Selecione sua unidade C: e clique no botão Iniciar Verificação;
● Quando o scan terminar, clique em OK e o log será automaticamente aberto para você;
● Se algo for detectado, verifique se todos os itens estão marcados e clique no botão Remover.
OBS: Caso apareça uma mensagem pedindo para que você reinicie o computador para completar o processo de remoção, reinicie-o imediatamente;
● O log pode ser consultado clicando em Logs do menu principal também;

Copie e cole o conteúdo desse log na sua próxima resposta, juntamente com um novo log do HijackThis.

_________________________________


luisednardo, agora sim, o payload do Rootkit foi desativado. Rode o ComboFix.

sim Mr.Wolf ,necessito de ajuda...
agora quando meu windows inicia ele vai direto para o modo de segurança e se eu seleciona o ultima configuração valida ou o inicializra normal o pc renicia ou fica travado na tela de boas vindas...

veja o meu ultimo post onde "encontrei" os virus, mas eles voltam sempre e eu nao achei a fonte deles

[]´s

 

[XQuest]

Olá Mr.Wolf, muito obrigado até aqui pela ajuda. Aqui abaixo está o log do HijackThis do meu micro.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:55:31, on 4/5/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\MSN Messenger\msnmsgr.exe
C:\Arquivos de programas\WinKey\WinKey.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Util\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: G-Buster Browser Defense Unibanco - {C41A1C0E-EA6C-11D4-B1B8-444553540008} - C:\WINDOWS\Downloaded Program Files\gbiehuni.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Arquivos de programas\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AVP] "C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: WinKey.lnk = C:\Arquivos de programas\WinKey\WinKey.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Estatísticas de proteção de tráfego da web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O14 - IERESET.INF: START_PAGE_URL=http://www.compartilhando.org/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} (GbPluginObj Class) - https://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - AppInit_DLLs: C:\ARQUIV~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\ARQUIV~1\KASPER~1\KASPER~1\mzvkbd3.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.DLL
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Arquivos de programas\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Gbp Service (GbpSv) - Banco Unibanco - C:\Arquivos de programas\GbPlugin\GbpSv.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Arquivos de programas\ISO Recorder\ImapiHelper.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Arquivos de programas\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7035 bytes

 

[GO-ICE]

Cockfinder

Como remover o cockfinder???

 

[kym3ra]

Acabei não encontrando o AskBarDis para remoção através do adicionar e remover programas (nem por outro aplicativo de desinstalação) então, deletei ele manualmente na pasta arquivos de programas.

Malwarebytes

Spoiler

Malwarebytes' Anti-Malware 1.36
Versão do banco de dados: 2075
Windows 6.0.6001 Service Pack 1

04/05/2009 22:40:06
mbam-log-2009-05-04 (22-40-06).txt

Tipo de Verificação: Completa (C:\|)
Objetos verificados: 170496
Tempo decorrido: 1 hour(s), 8 minute(s), 23 second(s)

Processos da Memória infectados: 0
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 2
Valores do Registro infectados: 0
Ítens do Registro infectados: 0
Pastas infectadas: 0
Arquivos infectados: 3

Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)

Chaves do Registro infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\cs41275 (Malware.Trace) -> Quarantined and deleted successfully.

Valores do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Ítens do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Pastas infectadas:
(Nenhum ítem malicioso foi detectado)

Arquivos infectados:
C:\Users\Kym3ra\AppData\Local\Temp\kdf2368.tmp (Worm.Parite) -> Quarantined and deleted successfully.
C:\Users\Kym3ra\AppData\Local\Temp\cib511C.tmp (Worm.Parite) -> Quarantined and deleted successfully.
C:\Users\Kym3ra\AppData\Local\Temp\dvfD826.tmp (Worm.Parite) -> Quarantined and deleted successfully.

HijackThis

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:06:38, on 04/05/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9BE2DB0F-2DE2-4C2B-B502-8F3C5C7ABA39} - C:\Windows\system32\efCUoPJc.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIÇO DE REDE')
O13 - Gopher Prefix:
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: RealtekUSB - Realtek - C:\Program Files\REALTEK\RTL8187 Wireless LAN Utility\RtlService.exe

--
End of file - 4033 bytes

Valeu!!

 

[BrunoBsB]

Por favor Mr.Wolf se puder analizar o meu log do Malwarebytes:

 

[Mr.Wolf]

Opa pessoal, vou responder a todos neste mesmo post para evitar flood ok.


BrunoBsB, siga as instruções do spoile abaixo:

Spoiler

1ª Etapa

Baixe o ATF-Cleaner e salve-o no desktop.
Dê um duplo clique no programa e marque a opção "Select All". Clique no botão Empty Selected > OK.
Clique em Exit para fechar.

2ª Etapa

- Faça download do Kaspersky AVP Tool e salve na pasta de C:\Arquivos de programas;

● Instale o programa normalmente seguindo todos os seus passos;
● Não faça scan ainda com a ferramenta;
● Reinicie o computador em Modo de Segurança (segurando a tecla F8 na inicialização do sistema e escolhendo a opção Modo Seguro no menu);
● Já em Modo Seguro, execute então o programa e marque todas as opções como mostra a imagem abaixo:

● Voltando a tela inicial, configure o programa como na imagem:

● Depois, clique no botão Scan e aguarde;
● Seja paciente, o scan pode demorar bastante;
● Se ele encontrar alguma infecção, vá confirmando a solicitação de remoção dos arquivos contaminados;
● Ao término do scan, clique em Reports e salve o relatório com a extensão .txt no desktop;
● Reinicie o computador em Modo Normal novamente e cole o relatório do scan aqui;
● Talvez, ao término da verificação, aparecerá uma janela para que a ferramenta seja desinstalada. Se aparecer confirme a desinstalação;
● Caso não apareça esta janela, feche todos os aplicativos abertos, entre dentro da pasta Kaspersky AVP Tool (estará na mesma pasta onde você salvou o arquivo de instalação - Arquivos de Programas), e dê duplo clique sobre o arquivo unins000.exe;
● Clique em OK duas vezes para completar o processo de remoção.

Poste este log do programa em sua próxima resposta.

____________________________


Amigo XQuest, siga as instruções do spoiler abaixo:

Spoiler

- Faça o download do ComboFix e salve-o na área de trabalho;

● Desative temporariamente o seu antivirus para não detectar a ferramenta como vírus;
● Duplo clique no ícone combofix.exe para iniciar o scan;
● Leia o contrato que aparecerá e clique em Sim para continuar;
● Abrirá uma janela do Console de Recuperação, clique em Sim para instalar. Se aparecer outra janela do Console, clique em OK > Sim;
● Aguarde enquanto o ComboFix faz o scan;
● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;
● Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a varredura da ferramenta;
● Se quiser sair ou parar o ComboFix, tecle N;
● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;
● Será gerado um log em C:\ComboFix.txt.

Cole este log em sua próxima resposta.

____________________________


kym3ra, siga abaixo no spoiler:

Spoiler

Faça o download do OTListIt2 e salve-o no desktop;

● Dê um duplo clique em OTListIt2.exe para executá-lo;
● Marque as opções Scan All Users e Minimal Output. No item "File Age" coloque a opção 90 Days;
● Clique no botão

e aguarde o scan;
● Dois logs serão gerados no Bloco de Notas:

- OTListIt.txt <- este será aberto
- Extra.txt <- este estará minimizado

Cole-os ou anexe-os em sua próxima resposta.

 

[kym3ra]

O arquivo OTListIt.txt era muito grande então dividi ele em parte 1 e parte 2.

Ver anexo OTListItPARTE1.Txt

Ver anexo OTListItPARTE2.txt

Ver anexo Extras.Txt​

Valeu pela ajuda!

 

[Mr.Wolf]

kym3ra, execute o OTListIt2 e cole este texto abaixo na janela Custom Scans/Fixes

:Processes
explorer.exe

:OTLI
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found
O2 - BHO: (no name) - {9BE2DB0F-2DE2-4C2B-B502-8F3C5C7ABA39} - C:\Windows\system32\efCUoPJc.dll File not found
O3 - HKLM\..\Toolbar: (Foxit Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found
O3 - HKU\S-1-5-21-3861016936-1555234343-1621014405-1000\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found
O30 - LSA: Authentication Packages - (C:\Windows\system32\efCUoPJc) -  File not found

:Files
C:\Windows\System32\qOIxuSih.dll
C:\Users\Kym3ra\AppData\Roaming\inst.exe
C:\Program Files\AskBarDis

:Reg

:Commands 
[purity]
[emptytemp]
[start explorer]
[Reboot]

Clique no botão Run Fix e aguarde. Talvez, seu computador seja reiniciado.

Será gerado um novo log do OTListIt2. Poste-o em sua próxima resposta, juntamente com um novo log do HijackThis.

 

[luisednardo]

luisednardo, agora sim, o payload do Rootkit foi desativado. Rode o ComboFix.

Mr Wolf, infelizmente o Combofix reiniciou e não foi executado corretamente nem no modo de segurança. Será que o Avenger resolve? O que faço agora?

 

[Mr.Wolf]

Avenger não poderá ser rodado luisednardo, pois as infecções não possuem string's "abertos" para isso. Pode até rodar o Avenger, mas ele não removerá absolutamente nada.

Poste um log do RSIT.

OBS: Alterando de 1 Month para 2 Months no painel inicial do RSIT.

 

[Megadeeth]

faaala Mestre como tah irmaozin?????

Mr.Wolf disculpa a entromissao aki mais tava vendo vc ajudando o Luis Ednardo ai e ñ soh com ele ñ,ouço vc dizer de tal de payload dos virus,strings e tal e com isso ñ pode ser usada tal ferramenta !!!!!

gostaria de saber o q sera essas paradas Mestre payload,strings e tal dos virus???? e pq ñ pode usar tal ferramenta kuando tal virus tiver essas paradas??? isso eh programaçao do virus????

OFF - Mestre to pegando firme na quele material de logica de programaçao q vc me passou um dia ainda estarei com isso na ponta dos dedos kkkkkkkkkkkk

obrigadao Mestre

 

[luisednardo]

Avenger não poderá ser rodado luisednardo, pois as infecções não possuem string's "abertos" para isso. Pode até rodar o Avenger, mas ele não removerá absolutamente nada.

Poste um log do RSIT.

OBS: Alterando de 1 Month para 2 Months no painel inicial do RSIT.

Logs em anexo. Tem alguma idéia de porquê o pc reinicou sem terminar de rodar o combofix mesmo em modo de segurança

 

[Mr.Wolf]

gostaria de saber o q sera essas paradas Mestre payload,strings e tal dos virus???? isso eh programaçao do virus????

Exato, Megadeeth. São as programações maléficas que foram utilizadas no vírus. Payload, que já expliquei aqui no tópico, nada mais é do que a ação do vírus. Ou seja, imediata ou demorada, e também o que um vírus está carregando em sua carga.
O String de um vírus são as propriedades maléficas utilizadas no mesmo. Isso varia e existe string aberto e fechado. Existem vírus com vários tipos de propriedades (strings):

> Propriedade MY - Aberto
> Propriedade DFG - Fechado
> Propriedade UY7 - Fechado
> Etc...

Os tipos mais comuns são estes acima.

e pq ñ pode usar tal ferramenta kuando tal virus tiver essas paradas???

Cada ferramenta, logicamente, possui uma "fórmula" especial em sua programação, os famosos scripts removal (ficheiros de remoção). Muitas das ferramentas não suportam a remoção de vírus que não possuem strings abertos (MY). Principalmente ferramentas scripts to prepare, como o Avenger, OTMoveIt3, entre outras.

Por isso deve-se saber este tipo de programação nos vírus para saber qual ferramenta usar. Muitas vezes, as pessoas utilizam um monte de ferramentas e o vírus não é removido de forma alguma, daí se perguntam: "Pô, mas já usei Avenger, OTMoveIt3, ComboFix, BankerFix, e o vírus não sai, como!?"

Simples: Possivelmente a infecção não possui string aberto. E sim, isso dificulta a remoção do malware do PC.

 

[Megadeeth]

putz vlw pela maravilhosa ixplicaçao como sempre Mestre vlw msm !!!!!

mto dificil intender essas paradas ai nem sabia q essas coisas malucas ae existiam pra mim to virus era igual kkkkkkkk !!!!!!! mais como vou saber se o virus tem string aberto ou fechado e kual o payload dele Mr????? isso q ñ sei!!!!!

e se um virus tem tdo isso e ñ pode usar essas ferramentas o q faremos????

obrigadao Mestre

 

[Mr.Wolf]

luisednardo, vá até a pasta C:\Documents and Settings\Pedro\Menu Iniciar\Programas\Inicializar e delete o arquivo que se encontra na pasta. A pasta é oculta.

- Faça o download do OTMoveIt3 e salve no desktop;

Cole este texto na janela e clique em Move It.

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"FDF101"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"wsctf.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d491d14-caad-11dd-81d3-000feab4e12a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b0c9a38-e3e3-11dd-8243-000feab4e12a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b0c9a39-e3e3-11dd-8243-000feab4e12a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62d41e54-3039-11de-8376-000feab4e12a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{996f5a08-084f-11de-831e-000feab4e12a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd83d413-d03f-11dd-81e2-000feab4e12a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4c072d2-34c2-11de-838a-000feab4e12a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec98cbaa-060f-11de-8308-000feab4e12a}]
:Files
C:\WINDOWS\system32\7225D3\FDF101.EXE
C:\found.000

Reinicie o computador manualmente, poste os logs do OTMoveIT3 e um novo do RSIT.

Tem alguma idéia de porquê o pc reinicou sem terminar de rodar o combofix mesmo em modo de segurança

O ComboFix foi bloqueado por algum serviço do sistema. Qual? Não sei. Pode ser qualquer um, isso é um bug da ferramenta e não do Windows, na verdade. E por causa disso ele pode reiniciar sem completar o scan, ou dar a famosa tela azul de morte!

 

[luisednardo]

luisednardo, vá até a pasta C:\Documents and Settings\Pedro\Menu Iniciar\Programas\Inicializar e delete o arquivo que se encontra na pasta. A pasta é oculta.

- Faça o download do OTMoveIt3 e salve no desktop;

Cole este texto na janela e clique em Move It.

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"FDF101"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"wsctf.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d491d14-caad-11dd-81d3-000feab4e12a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b0c9a38-e3e3-11dd-8243-000feab4e12a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b0c9a39-e3e3-11dd-8243-000feab4e12a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62d41e54-3039-11de-8376-000feab4e12a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{996f5a08-084f-11de-831e-000feab4e12a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd83d413-d03f-11dd-81e2-000feab4e12a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4c072d2-34c2-11de-838a-000feab4e12a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec98cbaa-060f-11de-8308-000feab4e12a}]
:Files
C:\WINDOWS\system32\7225D3\FDF101.EXE
C:\found.000

Reinicie o computador manualmente, poste os logs do OTMoveIT3 e um novo do RSIT.


O ComboFix foi bloqueado por algum serviço do sistema. Qual? Não sei. Pode ser qualquer um, isso é um bug da ferramenta e não do Windows, na verdade. E por causa disso ele pode reiniciar sem completar o scan, ou dar a famosa tela azul de morte!

Não foi possível remover a pasta Inicializar em modo normal, vou tentar em modo seguro

 

[Mr.Wolf]

mais como vou saber se o virus tem string aberto ou fechado e kual o payload dele Mr?????

Conhecendo-os.

Se possui conhecimento de todos os vírus, se sabe distinguir que vírus é, o que ele faz e como ele age, já é meio caminho andado. Cada vírus possui um tipo de programação "pessoal", digamos assim. Rootkits, Worms e Keyloggers possuem strings fechadas. Mas isso não quer dizer que TODAS as variantes destes malwares possua, os mais comuns possuem strings abertos. Tudo isso depende.

Já para descobrir o nível de payload, no log do HijackThis dá para ver. Porém, ainda assim, depende de seu conhecimento sobre cada vírus.

Existem programas que mostram informações sobre os strings, payload e outras coisas de qualquer vírus. Basta se infectar (em uma máquina virtual obviamente), executar estes programas e fazer a leitura - Para fazer a leitura necessita entender de programação também, principalmente programação viral.

Ver o payload é muito mais fácil do que ver um string do vírus, pois por qualquer log dá para ver. Os strings podem aparecer em logs também, mas não é sempre, diria que na maioria das vezes não! Daí o negócio é conhecer com quem você está lidando mesmo. Ou seja, conhecer as características e funções de seu "rival", o vírus!

e se um virus tem tdo isso e ñ pode usar essas ferramentas o q faremos????

Megadeeth, existem centenas de milhares de ferramentas... Remover um vírus não se baseia em: ComboFix - BankerFix - Malwarebytes - Avenger - KillBox.

Se chegamos conclusão que o vírus possui um string fechado ou algo que faça com que estas ferramentas sejam ineficazes, utilizamos outra(s). Temos um arsenal de ferramentas.

Sim, usar ComboFix - BankerFix - Malwarebytes - Avenger - KillBox, é mais fácil e mais rápido sim. Entretanto, vírus com strings fechados são raros no Brasil, o caso do log do luisednardo é um fato raro. Vírus que não possuem strings abertos são mais comuns no exterior. No entanto, se vermos que o vírus possui string fechado, saberemos como lidar com ele, utilizando outros tipos de ferramentas, muitas desconhecidas!

 

[Mr.Wolf]

Não foi possível remover a pasta Inicializar em modo normal, vou tentar em modo seguro

luisednardo, não é para deletar a pasta Inicializar. Mas sim o arquivo que existe dentro dela.

 

[luisednardo]

luisednardo, não é para deletar a pasta Inicializar. Mas sim o arquivo que existe dentro dela.

Foi mal, erro meu!

Spoiler

========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\FDF101 deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\wsctf.exe deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d491d14-caad-11dd-81d3-000feab4e12a}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b0c9a38-e3e3-11dd-8243-000feab4e12a}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b0c9a39-e3e3-11dd-8243-000feab4e12a}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62d41e54-3039-11de-8376-000feab4e12a}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{996f5a08-084f-11de-831e-000feab4e12a}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd83d413-d03f-11dd-81e2-000feab4e12a}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4c072d2-34c2-11de-838a-000feab4e12a}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec98cbaa-060f-11de-8308-000feab4e12a}\\ deleted successfully.
========== FILES ==========
File move failed. C:\WINDOWS\system32\7225D3\FDF101.EXE scheduled to be moved on reboot.
C:\found.000\dir0000.chk moved successfully.
C:\found.000 moved successfully.

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05052009_032948

Files moved on Reboot...
C:\WINDOWS\system32\7225D3\FDF101.EXE moved successfully.

 

[Megadeeth]

Conhecendo-os.

Se possui conhecimento de todos os vírus, se sabe distinguir que vírus é, o que ele faz e como ele age, já é meio caminho andado. Cada vírus possui um tipo de programação "pessoal", digamos assim. Rootkits, Worms e Keyloggers possuem strings fechadas. Mas isso não quer dizer que TODAS as variantes destes malwares possua, os mais comuns possuem strings abertos. Tudo isso depende.

Já para descobrir o nível de payload, no log do HijackThis dá para ver. Porém, ainda assim, depende de seu conhecimento sobre cada vírus.

Existem programas que mostram informações sobre os strings, payload e outras coisas de qualquer vírus. Basta se infectar (em uma máquina virtual obviamente), executar estes programas e fazer a leitura - Para fazer a leitura necessita entender de programação também, principalmente programação viral.

Ver o payload é muito mais fácil do que ver um string do vírus, pois por qualquer log dá para ver. Os strings podem aparecer em logs também, mas não é sempre, diria que na maioria das vezes não! Daí o negócio é conhecer com quem você está lidando mesmo. Ou seja, conhecer as características e funções de seu "rival", o vírus!


Megadeeth, existem centenas de milhares de ferramentas... Remover um vírus não se baseia em: ComboFix - BankerFix - Malwarebytes - Avenger - KillBox.

Se chegamos conclusão que o vírus possui um string fechado ou algo que faça com que estas ferramentas sejam ineficazes, utilizamos outra(s). Temos um arsenal de ferramentas.

Sim, usar ComboFix - BankerFix - Malwarebytes - Avenger - KillBox, é mais fácil e mais rápido sim. Entretanto, vírus com strings fechados são raros no Brasil, o caso do log do luisednardo é um fato raro. Vírus que não possuem strings abertos são mais comuns no exterior. No entanto, se vermos que o vírus possui string fechado, saberemos como lidar com ele, utilizando outros tipos de ferramentas, muitas desconhecidas!

Mestre isso tdo ai pra mim eh grego cara!!!!! kkkkkkkkkk

eu num sei nd de virus mto menos as programaçoes e messetes deles sei nd com nd msm!!!!!! deixa isso pra v6 ae q intendem :yes:

vlw pelas ixplicaçoes Mr.Wolf ñ sabia q tinham tantas ferramentas assim eh q soh vejo combo fix banker fix malware bytes e essas outras !!!!!!! ñ conheco mtas outras como vc assim!!!!! :cry:

mto obrigado pelas ixplicaçoes msm Mr vc eh o cara manu sempre me tirando as duvidas e ñ pense q deixo pra traz tdo q vc me ixplica eu anoto tdinho no word e salvo aki ixplicaçao por ixplicaçao des da 1ª ateh essa q acabei de anotar aki vlw msm!!!!!!!!!! gostaria mtoooooooooo de ter o conhecimento q tu tens irmao vc eh fera dmais sem comentarios !!!!!!!!

Mr.Wolf existe anti virus brasilero???? e tipo esses virus do exterior tem diferença com os do brasil???

obrigadao Mestre

:yes:

 

[Mr.Wolf]

luisednardo, abra o HijackThis e dê um Fix checked nas duas entradas abaixo:

O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\7225D3\FDF101.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Por favor, poste o info.txt luisednardo. Está dentro da pasta do RSIT -> C:\rsit.

 

[luisednardo]

Mr WOlf, na conversa com o Megadeeth vc falou que dá pra ver o nível de payload através do hijackthis. Pode me explicar como fazê-lo?

 

[luisednardo]

Ok

Spoiler

info.txt logfile of random's system information tool 1.06 2009-05-05 03:53:26

======Uninstall list======

-->C:\Arquivos de programas\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
-->MsiExec.exe /X{57922B53-02D4-4DFC-AC24-A3519DC1F49A}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe After Effects CS3 Presets-->MsiExec.exe /I{193EAFD0-1BAF-4FB4-B18F-79D5D6A4B285}
Adobe After Effects CS3 Third Party Content-->MsiExec.exe /I{7ECEF10B-F1C2-4FD5-861F-A3FCB4653304}
Adobe After Effects CS3-->C:\Arquivos de programas\Arquivos comuns\Adobe\Installers\5d83aea83f5009a0d267d337e3f55fe\Setup.exe
Adobe After Effects CS3-->MsiExec.exe /I{EB0202F7-016A-410C-ADE4-40F848CCC661}
Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Bridge 1.0-->MsiExec.exe /I{AE3D38A6-13B1-40B3-9423-D1FA9982FB6A}
Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
Adobe Color - Photoshop Specific-->MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}
Adobe Color Common Settings-->MsiExec.exe /I{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}
Adobe Color EU Extra Settings-->MsiExec.exe /I{51846830-E7B2-4218-8968-B77F0FF475B8}
Adobe Color JA Extra Settings-->MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}
Adobe Color NA Recommended Settings-->MsiExec.exe /I{95655ED4-7CA5-46DF-907F-7144877A32E5}
Adobe Common File Installer-->MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5102}
Adobe Default Language CS3-->MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Fonts All-->MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}
Adobe Help Center 2.0-->MsiExec.exe /I{8FFC924C-ED06-44CB-8867-3CA778ECE903}
Adobe Help Viewer CS3-->MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245}
Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
Adobe MotionPicture Color Files-->MsiExec.exe /I{6B708481-748A-4EB4-97C1-CD386244FF77}
Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop CS3-->C:\Arquivos de programas\Arquivos comuns\Adobe\Installers\719d6f144d0c086a0dfa7ff76bb9ac1\Setup.exe
Adobe Photoshop CS3-->MsiExec.exe /I{3D7E3EC9-46CF-4359-9289-39CE01DFB82F}
Adobe Premiere Pro 1.5-->RunDll32 "C:\Arquivos de programas\Arquivos comuns\InstallShield\Professional\RunTime\0701\Intel32\ctor.dll",LaunchSetup "C:\Arquivos de programas\InstallShield Installation Information\{A14F7508-B784-40B8-B11A-E0E2EEB7229F}\setup.exe" -l0x0009
Adobe Premiere Pro 2.0-->msiexec /I {FA17A726-B229-4116-B793-A2AB1A4EAE2E}
Adobe Premiere Pro CS3 Functional Content-->MsiExec.exe /I{50F102CA-4BE2-41A9-9810-5BB05EB91B9A}
Adobe Premiere Pro CS3 Third Party Content-->MsiExec.exe /I{485ACF57-F364-440A-8496-E1E81C8FA1AA}
Adobe Premiere Pro CS3-->C:\Arquivos de programas\Arquivos comuns\Adobe\Installers\32fdd767b4383606e8168e834af5d90\Setup.exe
Adobe Premiere Pro CS3-->MsiExec.exe /I{58DCEEE5-532E-44F4-B1D7-A146EF9E9FDA}
Adobe Reader 9 - Português-->MsiExec.exe /I{AC76BA86-7AD7-1046-7B44-A90000000001}
Adobe Setup-->MsiExec.exe /I{BB81360F-041C-4CF7-B15E-71380D154244}
Adobe Setup-->MsiExec.exe /I{F1C9C7F7-0D56-40B2-A276-152762D39BCA}
Adobe Setup-->MsiExec.exe /I{FF11004C-F42A-4A31-9BCF-7F5C8FDBE53C}
Adobe Stock Photos 1.0-->MsiExec.exe /I{786C5747-1437-443D-B06E-79A00FE45110}
Adobe Stock Photos CS3-->MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}
Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe Video Profiles-->MsiExec.exe /I{845A8DB9-8802-4FD3-9FE3-938A6C46A2EC}
Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
Adobe XMP DVA Panels CS3-->MsiExec.exe /I{0224CACC-994D-45F8-B973-D65056EA9C2F}
Adobe XMP Panels CS3-->MsiExec.exe /I{D5A31AB1-345D-47C7-A87B-036A669F6DF1}
AlphaMagic Gradients for Hollywood FX PRO-->C:\WINDOWS\unvise32.exe C:\WINDOWS\unalphamagic.log
AlphaStar v.1.0.02-->"C:\Arquivos de programas\Adobe\Adobe After Effects 7.0\Support Files\Plug-ins\AlphaPlugins\unins000.exe"
AnyDVD-->"C:\Arquivos de programas\SlySoft\AnyDVD\AnyDVD-uninst.exe" /D="C:\Arquivos de programas\SlySoft\AnyDVD"
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Arquivo do WinRAR-->C:\Arquivos de programas\WinRAR\uninstall.exe
Assistente de Conexão do Windows Live-->MsiExec.exe /I{51A9E3DD-37B8-47BB-8E67-5B76B3EFBC48}
Atualização de Segurança para o Codificador do Windows Media (KB954156)-->"C:\WINDOWS\$NtUninstallKB954156_WM9L$\spuninst\spuninst.exe"
Atualização de Segurança para o Windows Media Player (KB911564)-->"C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe"
Atualização de Segurança para o Windows Media Player 6.4 (KB925398)-->"C:\WINDOWS\$NtUninstallKB925398_WMP64$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB890046)-->"C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB893756)-->"C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB896358)-->"C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB896423)-->"C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB896428)-->"C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB899587)-->"C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB899591)-->"C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB900725)-->"C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB901017)-->"C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB901214)-->"C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB902400)-->"C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB905414)-->"C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB905749)-->"C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB908519)-->"C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB911562)-->"C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB911927)-->"C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB913580)-->"C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB914388)-->"C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB914389)-->"C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB918118)-->"C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB918439)-->"C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB920213)-->"C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB920670)-->"C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB920683)-->"C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB920685)-->"C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB923191)-->"C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Atualização de Segurança para Windows XP (KB923980)-->"C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB924270)-->"C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB924667)-->"C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB925902)-->"C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB926255)-->"C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB926436)-->"C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB927779)-->"C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB927802)-->"C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB928255)-->"C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB929123)-->"C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB930178)-->"C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB931261)-->"C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB932168)-->"C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB933729)-->"C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB935839)-->"C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB935840)-->"C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB937894)-->"C:\WINDOWS\$NtUninstallKB937894$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB938127)-->"C:\WINDOWS\$NtUninstallKB938127$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB943055)-->"C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB943460)-->"C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB943485)-->"C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB944338-v2)-->"C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB944653)-->"C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB945553)-->"C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB946026)-->"C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB950749)-->"C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe"
Atualização para Windows XP (KB894391)-->"C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Atualização para Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Atualização para Windows XP (KB900485)-->"C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Atualização para Windows XP (KB908531)-->"C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Atualização para Windows XP (KB910437)-->"C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Atualização para Windows XP (KB911280)-->"C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Atualização para Windows XP (KB916595)-->"C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Atualização para Windows XP (KB920872)-->"C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Atualização para Windows XP (KB922582)-->"C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Atualização para Windows XP (KB925720)-->"C:\WINDOWS\$NtUninstallKB925720$\spuninst\spuninst.exe"
Atualização para Windows XP (KB927891)-->"C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Atualização para Windows XP (KB930916)-->"C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Atualização para Windows XP (KB936357)-->"C:\WINDOWS\$NtUninstallKB936357$\spuninst\spuninst.exe"
Atualização para Windows XP (KB938828)-->"C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Atualização para Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Atualização para Windows XP (KB961503)-->"C:\WINDOWS\$NtUninstallKB961503$\spuninst\spuninst.exe"
Atualização para Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
BluffTitler-->"C:\Outerspace Software\BluffTitler\uninstall.exe"
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
Boris FX-->RunDll32 C:\ARQUIV~1\ARQUIV~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Arquivos de programas\InstallShield Installation Information\{37EADA02-5920-47A6-A17D-A6E010187587}\Setup.exe" -l0x9
BR-->MsiExec.exe /I{C57CD366-C6BE-45B5-B5C6-0424E506F1D0}
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
CloneDVD2-->"C:\Arquivos de programas\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe" /D="C:\Arquivos de programas\Elaborate Bytes\CloneDVD2"
CorelDRAW Graphics Suite X3-->MsiExec.exe /I{63218538-4A69-497F-8455-904261B0E9E4}
CursorXP-->C:\Program Files\CursorXP\CurXPUtil.exe -u
DreaMule 3.2-->"C:\Arquivos de programas\DreaMule\unins000.exe"
Ferramenta de Carregamento do Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
FontNav-->MsiExec.exe /I{4E98F23B-1328-4322-A6EC-2EDC8FC3A4FE}
GenArts Sapphire Plug-ins Version 1.07 for After Effects-->C:\ARQUIV~1\GenArts\SAPPHI~1\UNWISE.EXE C:\ARQUIV~1\GenArts\SAPPHI~1\INSTALL.LOG
High Definition Audio Driver Package - KB835221-->C:\WINDOWS\$NtUninstallKB835221WXP$\spuninst\spuninst.exe
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\HijackThis\HijackThis.exe" /uninstall
Hotfix para Windows XP (KB935448)-->"C:\WINDOWS\$NtUninstallKB935448$\spuninst\spuninst.exe"
Hotfix para Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
iColorFolder-->C:\Arquivos de programas\iColorFolder\uninstall.exe
Intel(R) Graphics Media Accelerator Driver-->C:\WINDOWS\system32\igxpun.exe -uninstall
IRPF2009 - Declaração de Ajuste Anual e Final de Espólio-->C:\ARQUIV~2\IRPF2009\UNWISE.EXE C:\ARQUIV~2\IRPF2009\INSTALL.LOG
Java(TM) 6 Update 12-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
Junk Mail filter update-->MsiExec.exe /I{4DE3E3D9-AE81-45DE-9195-3015F7B1DBF3}
Keylight 1.2v1 for After Effects 7.0-->"C:\Arquivos de programas\Adobe\Adobe After Effects 7.0\Support Files\Plug-ins\Keylight-1.2\unins001.exe"
K-Lite Mega Codec Pack 4.1.7-->"C:\Arquivos de programas\K-Lite Codec Pack\unins000.exe"
LensProIII 3.6-->"C:\Arquivos de programas\Adobe\Adobe After Effects 7.0\Support Files\Plug-ins\Panopticum\unins000.exe"
LimeWire 4.18.8-->"C:\Arquivos de programas\LimeWire\uninstall.exe"
Magic Bullet Editors Premiere-->C:\WINDOWS\unvise32.exe C:\Arquivos de programas\Adobe\Premiere Pro 1.5\Plug-ins\en_US\Magic Bullet Editors Premiere\mbeditorsppro.log
MainConcept MPEG Pro for Adobe Premiere Pro 1.06-->C:\ARQUIV~1\ARQUIV~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{40A2A921-5ADF-470A-BCE5-C911794DAB06}
Marvell Miniport Driver-->MsiExec.exe /X{C950420B-4182-49EA-850A-A6A2ABF06C6B}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft .NET Framework 3.0-->c:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe
Microsoft .NET Framework 3.0-->MsiExec.exe /X{15095BF3-A3D7-4DDF-B193-3A496881E003}
Microsoft Office Live Add-in 1.3-->MsiExec.exe /I{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}
Microsoft Office Professional Edição 2003-->MsiExec.exe /I{90110416-6000-11D3-8CFE-0150048383C9}
Microsoft Search Enhancement Pack-->MsiExec.exe /I{9C9CEB9D-53FD-49A7-85D2-FE674F72F24E}
Microsoft SQL Server 2005 Compact Edition [ENU]-->MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft Sync Framework Runtime Native v1.0 (x86)-->MsiExec.exe /I{8A74E887-8F0F-4017-AF53-CBA42211AAA5}
Microsoft Sync Framework Services Native v1.0 (x86)-->MsiExec.exe /I{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}
Microsoft User-Mode Driver Framework Feature Pack 1.0.0 (Pre-Release 5348)-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6 Service Pack 2 (KB954459)-->MsiExec.exe /I{1A528690-6A2D-4BC5-B143-8C4AE8D19D96}
Nero 7 Ultra Edition-->MsiExec.exe /X{CF097717-F174-4144-954A-FBC4BF301046}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
ObjectDock-->C:\ARQUIV~1\Stardock\OBJECT~1\UNWISE.EXE C:\ARQUIV~1\Stardock\OBJECT~1\INSTALL.LOG
PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
Photodex Presenter-->C:\Arquivos de programas\Photodex Presenter\uninst.exe
Pinnacle Hollywood FX 5
-->C:\WINDOWS\unvise32.exe C:\Arquivos de programas\Pinnacle\Hollywood FX 5\uninstal.log
PowerDVD-->RunDll32 C:\ARQUIV~1\ARQUIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Arquivos de programas\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
ProShow Gold-->C:\Arquivos de programas\Photodex\ProShowGold\uninst.exe
QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\system32\QuickTime\Uninstall.log
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Arquivos de programas\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\Setup.exe -runfromtemp -l0x0416 -removeonly
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m -nrg2709
Receitanet Java 2009.01a-->C:\ARQUIV~1\PROGRA~1\RECEIT~1\DesinstJ.exe
Safari-->MsiExec.exe /I{AF10D7E4-D29A-45DA-8050-B116097B69B5}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Sony Vegas Pro 8.0-->MsiExec.exe /X{7C9AD221-994C-45B2-B46D-26F5735158CF}
TitleDeko Pro for Premiere-->RunDll32 C:\ARQUIV~1\ARQUIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Arquivos de programas\InstallShield Installation Information\{60D53C80-E413-4512-8D48-09777CE832C7}\Setup.exe" UNINSTALL
Total Video Converter 3.12 080330-->"C:\Arquivos de programas\Total Video Converter\unins000.exe"
Ulead DVD Workshop 2-->RunDll32 C:\ARQUIV~1\ARQUIV~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Arquivos de programas\InstallShield Installation Information\{9869D4DD-D553-40D3-8859-F8911D406C69}\setup.exe" -l0x9
Update Manager-->MsiExec.exe /I{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}
VBA-->MsiExec.exe /I{C94E45B0-6AA6-4FB9-9AAE-22085F631880}
VideoFX Transitions Pack-->RunDll32 C:\ARQUIV~1\ARQUIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Arquivos de programas\InstallShield Installation Information\{B5A5DA79-F8AE-4EF7-9F8A-B0F684563834}\Setup.exe" -l0x9
WalkerFX 2.2 Professional Edition-->MsiExec.exe /I{EC6EDCB1-2379-482F-9A93-293DFF7B1226}
WhenU SaveNow-->"C:\Arquivos de programas\Save\SaveUninst.exe" /rWUSV /kSaveNow /d"WhenU SaveNow"
Windows Communication Foundation-->MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{32BC546A-8AA3-4239-AE92-9CF3291C35A6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Arquivos de programas\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{3B96F4EA-CD82-4C57-B86A-646A017CAF18}
Windows Live Galeria de Fotos-->MsiExec.exe /X{50D918C3-1FAD-4BE0-89D1-7B7AAA2AF710}
Windows Live Mail-->MsiExec.exe /I{852E74A9-74F1-4F71-BE3E-991A48EF232D}
Windows Live Messenger-->MsiExec.exe /X{C8DD4EAD-674B-461B-94D5-4C80CCFB8401}
Windows Live OneCare safety scanner-->RunDll32.exe "C:\Arquivos de programas\Windows Live Safety Center\wlscCore.dll",UninstallFunction WLSC_SCANNER_PRODUCT
Windows Live Proteção para a Família-->MsiExec.exe /X{BA9A33CA-8ADF-4263-B2F4-B611245A37FF}
Windows Live Sync-->MsiExec.exe /X{D7A88CAC-67C3-4435-898E-2B7245F3E4BB}
Windows Live Toolbar-->MsiExec.exe /X{624DEAA0-B27D-444B-8BFE-70622B318A4A}
Windows Live Writer-->MsiExec.exe /X{32EF3D9D-B626-497C-8E93-EC4B24E20EDA}
Windows Media Encoder 9 Series-->msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Windows Media Encoder 9 Series-->MsiExec.exe /I{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}
Windows Media Format 11 runtime-->"C:\Arquivos de programas\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Arquivos de programas\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Workflow Foundation-->MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
Windows XP Hotfix - KB873339-->C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP Hotfix - KB885835-->C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP Hotfix - KB885836-->C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP Hotfix - KB886185-->C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP Hotfix - KB887472-->C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP Hotfix - KB888302-->C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP Hotfix - KB890859-->"C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP Hotfix - KB891781-->C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe

=====HijackThis Backups=====

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present [2009-05-05]
O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\7225D3\FDF101.EXE [2009-05-05]

======Hosts File======

127.0.0.1 localhost

======Security center information======

AV: Avira AntiVir PersonalEdition (outdated)

======System event log======

Computer Name: CASA
Event Code: 7035
Message: O serviço Adobe LM Service recebeu com êxito um controle Iniciar.

Record Number: 19291
Source Name: Service Control Manager
Time Written: 20090413195153.000000-180
Event Type: Informações
User: CASA\Pedro

Computer Name: CASA
Event Code: 6004
Message: O pacote de driver recebido do subsistema de E/S não é válido. Os
dados são o próprio pacote.

Record Number: 19290
Source Name: EventLog
Time Written: 20090413192144.000000-180
Event Type: Erro
User:

Computer Name: CASA
Event Code: 6004
Message: O pacote de driver recebido do subsistema de E/S não é válido. Os
dados são o próprio pacote.

Record Number: 19289
Source Name: EventLog
Time Written: 20090413192147.000000-180
Event Type: Erro
User:

Computer Name: CASA
Event Code: 6004
Message: O pacote de driver recebido do subsistema de E/S não é válido. Os
dados são o próprio pacote.

Record Number: 19288
Source Name: EventLog
Time Written: 20090413192148.000000-180
Event Type: Erro
User:

Computer Name: CASA
Event Code: 6004
Message: O pacote de driver recebido do subsistema de E/S não é válido. Os
dados são o próprio pacote.

Record Number: 19287
Source Name: EventLog
Time Written: 20090413192149.000000-180
Event Type: Erro
User:

=====Application event log=====

Computer Name: CASA
Event Code: 1800
Message: O Serviço da Central de Segurança do Windows foi iniciado.

Record Number: 1866
Source Name: SecurityCenter
Time Written: 20090128060224.000000-120
Event Type: Informações
User:

Computer Name: CASA
Event Code: 0
Message:
Record Number: 1865
Source Name: SeaPort
Time Written: 20090128060223.000000-120
Event Type: Informações
User:

Computer Name: CASA
Event Code: 0
Message: Service started

Record Number: 1864
Source Name: fsssvc
Time Written: 20090128060223.000000-120
Event Type: Informações
User:

Computer Name: CASA
Event Code: 1
Message:
Record Number: 1863
Source Name: Bonjour Service
Time Written: 20090128060219.000000-120
Event Type: Informações
User:

Computer Name: CASA
Event Code: 1517
Message: O Windows salvou o Registro CASA\Pedro do usuário enquanto um aplicativo ou serviço ainda estava usando o Registro durante o logoff. A memória usada pelo Registro do usuário não foi liberada. O Registro será descarregado quando não estiver mais em uso.


Em geral, isso é causado por serviços que estão sendo executados como uma conta de usuário. Tente configurá-los para que sejam executados na conta LocalService ou NetworkService.

Record Number: 1862
Source Name: Userenv
Time Written: 20090127234605.000000-120
Event Type: aviso
User: AUTORIDADE NT\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Arquivos de programas\Arquivos comuns\Adobe\AGL;C:\Arquivos de programas\Arquivos comuns\Ulead Systems\MPEG
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 7, GenuineIntel
"PROCESSOR_REVISION"=0407
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

 

[Mr.Wolf]

Mr.Wolf existe anti virus brasilero????

Sim. Kant Antivirus, AV Ware, Anti-Spyware PT, Xô BoBus... São todos antivirus brasileiros. O AV Ware é conhecido até, e dentre os citados, é o melhor. Possuía até um scan online a algum tempo atrás.

Falando nisso, gostaria de dar um alerta geral a todos os amigos:

Surgiu um novo vírus brasileiro, responsável pelo seqüestro de nossas informações salvas no computador. Onde no auge da infecção será necessário a instalação de um software antivirus falso (também brasileiro). Mais informações:
http://www.linhadefensiva.org/2009/05/antivirus-fraudulento-brasileiro-sequestra-sistema/

Cuidado também com o FileFix, não é um vírus brasileiro, mas possui as mesmas caracteristicas - seqüestrar informações do computador e impedir acesso à pastas do sistema. Onde é pedido dinheiro para o resgate das mesmas. Mais informações:
http://idgnow.uol.com.br/seguranca/...ivos-dos-internautas-e-pede-resgate-de-us-50/

No entanto, já existem ferramentas para os dois vírus, tanto o brasileiro quanto para o americano FileFix. Para o vírus brasileiro basta utilizar o BankerFix pois já adicionamos os códigos ao banco de dados da ferramenta. E para o FileFix basta utilizar o Anti FileFix, informações sobre ele:
http://www.bleepingcomputer.com/virus-removal/remove-filefix-professional

e tipo esses virus do exterior tem diferença com os do brasil???

Depende do tipo de vírus Megadeeth. Bankers, até tempos atrás atacavam somente usuários brasileiros, hoje estão contaminando computadores de estrangeiros também. Teoricamente, a programação utilizadas nos vírus que são mais comuns aqui e no exterior, é diferente. Já na prática, ou seja, o modo de propagação e contaminação dos dois, são iguais.

Os vírus que afetam usuários do exterior, geralmente afetam usuários brasileiros também. Exemplo disso são os famosos vírus de pendrive, Rootkits, Bagles, File Infectors.

Por outro lado, a ação dos exploits daqui do Brasil são bem diferente dos do exterior. Porém, o modo de remoção é igual.

Resumindo: Não tem muita diferença assim não. O que nos afeta aqui, afeta no exterior também.