Remoção de vírus

[Mr.Wolf]

luisednardo, delete a pasta Backups que está dentro da pasta do HijackThis.

No mais, o log está limpo luisednardo. Algum problema ainda?

Mr WOlf, na conversa com o Megadeeth vc falou que dá pra ver o nível de payload através do hijackthis. Pode me explicar como fazê-lo?

É como eu disse ao Megadeeth, luisednardo:

Já para descobrir o nível de payload, no log do HijackThis dá para ver. Porém, ainda assim, depende de seu conhecimento sobre cada vírus.

Mesmo sendo mais fácil ver o payload pelo log, ainda assim é necessário conhecimento sobre aquela infecção. Porém, tem uma dica:

Geralmente Rootkits e Worms em entradas O4, possuem payload imediato. Mas veja bem, geralmente. Não é sempre não! Porém, todos os worms provenientes de pendrive em entradas O4, sem exceção, possuem payload imediato. O único que, antigamente, não possuía era o RavMon. No entanto, hoje ele possui payload imediato também.

Agora se a infecção for por outro tipo de malware, não citado acima, o negócio fica por conta do conhecimento, pois mesmo estando em entradas O4, podem ser de payload demorado.

Fica aí a dica!

 

[Megadeeth]

Sim. Kant Antivirus, AV Ware, Anti-Spyware PT, Xô BoBus... São todos antivirus brasileiros. O AV Ware é conhecido até, e dentre os citados, é o melhor. Possuía até um scan online a algum tempo atrás.

Falando nisso, gostaria de dar um alerta geral a todos os amigos:

Surgiu um novo vírus brasileiro, responsável pelo seqüestro de nossas informações salvas no computador. Onde no auge da infecção será necessário a instalação de um software antivirus falso (também brasileiro). Mais informações:
http://www.linhadefensiva.org/2009/05/antivirus-fraudulento-brasileiro-sequestra-sistema/

Cuidado também com o FileFix, não é um vírus brasileiro, mas possui as mesmas caracteristicas - seqüestrar informações do computador e impedir acesso à pastas do sistema. Onde é pedido dinheiro para o resgate das mesmas. Mais informações:
http://idgnow.uol.com.br/seguranca/...ivos-dos-internautas-e-pede-resgate-de-us-50/

No entanto, já existem ferramentas para os dois vírus, tanto o brasileiro quanto para o americano FileFix. Para o vírus brasileiro basta utilizar o BankerFix pois já adicionamos os códigos ao banco de dados da ferramenta. E para o FileFix basta utilizar o Anti FileFix, informações sobre ele:
http://www.bleepingcomputer.com/virus-removal/remove-filefix-professional

Depende do tipo de vírus Megadeeth. Bankers, até tempos atrás atacavam somente usuários brasileiros, hoje estão contaminando computadores de estrangeiros também. Teoricamente, a programação utilizadas nos vírus que são mais comuns aqui e no exterior, é diferente. Já na prática, ou seja, o modo de propagação e contaminação dos dois, são iguais.

Os vírus que afetam usuários do exterior, geralmente afetam usuários brasileiros também. Exemplo disso são os famosos vírus de pendrive, Rootkits, Bagles, File Infectors.

Por outro lado, a ação dos exploits daqui do Brasil são bem diferente dos do exterior. Porém, o modo de remoção é igual.

Resumindo: Não tem muita diferença assim não. O que nos afeta aqui, afeta no exterior também.

intendi Mestre :yes: vlw msm cara !!!!!!

nem sabia q tinha anti-virus brasileiro e mto menos sabia desse novo virus brasileiro e desse tal file fix q virus *** hein Mr.Wolf????? sequestrar nossas coisas q malditos!!!!! :ranting3:

kuais sao os sintomas desses virus brasileiro e file fix q sequestram Mestre????

obrigadao por tdo msm vou tentar me aprofundar nessas paradas tbm graças a suas ixplicaçoes :yes:

 

[luisednardo]

Muitíssimo Obrigado pela paciência e pela ajuda Mr Wolf,
ficar até altas horas removendo essas pragas ninguém merece!!!
Só vc mesmo!
Abração e até a próxima!

 

[kym3ra]

05052009_130316.log

Spoiler

========== PROCESSES ==========
Process explorer.exe killed successfully!
========== OTLISTIT ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9BE2DB0F-2DE2-4C2B-B502-8F3C5C7ABA39}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BE2DB0F-2DE2-4C2B-B502-8F3C5C7ABA39}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{3041d03e-fd4b-44e0-b742-2d9b88305f98} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}\ deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3861016936-1555234343-1621014405-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041D03E-FD4B-44E0-B742-2D9B88305F98} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041D03E-FD4B-44E0-B742-2D9B88305F98}\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\Authentication Packages:C:\Windows\system32\efCUoPJc deleted successfully.
========== FILES ==========
DllUnregisterServer procedure not found in C:\Windows\System32\qOIxuSih.dll
C:\Windows\System32\qOIxuSih.dll NOT unregistered.
C:\Windows\System32\qOIxuSih.dll moved successfully.
C:\Users\Kym3ra\AppData\Roaming\inst.exe moved successfully.
File\Folder C:\Program Files\AskBarDis not found.
========== REGISTRY ==========
========== COMMANDS ==========
User's Internet Explorer cache folder emptied.
User's Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully

OTListIt2 by OldTimer - Version 2.0.15.3 log created on 05052009_130316

HijackThis

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:10:23, on 05/05/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIÇO DE REDE')
O13 - Gopher Prefix:
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: RealtekUSB - Realtek - C:\Program Files\REALTEK\RTL8187 Wireless LAN Utility\RtlService.exe

--
End of file - 3664 bytes

 

[XQuest]

Grande Dr. Wolf
Segui tuas recomendações, aqui está o log gerado pelo ComboFix:


ComboFix 09-05-04.A3 - Administrador 05/05/2009 13:34.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2047.1663 [GMT -3:00]
Executando de: c:\inet\Down9\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated)
FW: COMODO Firewall Pro *disabled*
FW: Outpost Firewall Pro *disabled*
.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\documents and settings\Administrador\Dados de aplicativos\inst.exe
c:\windows\system32\CMMGR32.EXE
D:\Autorun.inf

.
(((((((((((((((( Arquivos/Ficheiros criados de 2009-04-05 to 2009-05-05 ))))))))))))))))))))))))))))
.

2009-05-05 16:39 . 2009-05-05 16:39 -------- d-----w c:\windows\system32\oobe
2009-05-05 16:39 . 2009-05-05 16:39 -------- d-----w c:\windows\system32\xircom
2009-05-05 16:39 . 2009-05-05 16:39 -------- d-----w c:\arquivos de programas\microsoft frontpage
2009-05-04 12:38 . 2009-05-04 12:38 -------- d-----w c:\arquivos de programas\BurnAware Free
2009-05-02 04:25 . 2009-05-02 04:36 101287 ----a-w c:\windows\system32\drivers\klin.dat
2009-05-02 04:25 . 2009-05-02 04:36 89601 ----a-w c:\windows\system32\drivers\klick.dat
2009-05-02 04:24 . 2009-05-05 16:38 225824 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-05-02 04:24 . 2009-05-05 16:38 32 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-05-02 04:24 . 2009-05-02 04:24 -------- d-----w c:\arquivos de programas\Kaspersky Lab
2009-05-02 04:21 . 2009-05-02 04:21 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Kaspersky Lab Setup Files
2009-05-01 20:49 . 2009-05-01 20:49 -------- d-----w c:\arquivos de programas\ISO Recorder
2009-05-01 13:01 . 2009-05-05 16:38 384 ----a-w c:\windows\system32\DVCState-{00000002-00000000-00000002-00001102-00000004-20021102}.dat
2009-05-01 13:01 . 2009-05-05 16:38 384 ----a-w c:\windows\system32\DVCStateBkp-{00000002-00000000-00000002-00001102-00000004-20021102}.dat
2009-05-01 13:00 . 2005-08-31 08:11 10624 ----a-w c:\windows\system32\drivers\gameenum.sys
2009-05-01 12:59 . 2009-05-01 12:59 -------- d-----w c:\documents and settings\Administrador\Dados de aplicativos\Creative
2009-05-01 12:58 . 2009-05-01 12:58 -------- d-----w c:\windows\system32\DATA
2009-05-01 12:58 . 2003-10-06 06:48 143360 ----a-w c:\windows\system32\ctdvinst.dll
2009-05-01 12:58 . 2003-10-06 06:48 69632 ----a-w c:\windows\system32\ctcoinst.dll
2009-04-30 23:49 . 2009-04-30 23:49 -------- d-----w c:\arquivos de programas\ASIO4ALL v2
2009-04-30 21:35 . 2009-04-30 21:35 -------- d-----w c:\arquivos de programas\Tropico
2009-04-30 17:00 . 2005-08-31 08:11 21504 ----a-w c:\windows\system32\hidserv.dll
2009-04-30 17:00 . 2005-08-31 08:11 6400 ----a-w c:\windows\system32\drivers\enum1394.sys
2009-04-30 17:00 . 2005-08-31 08:11 61184 ----a-w c:\windows\system32\drivers\ohci1394.sys
2009-04-30 17:00 . 2005-08-31 08:11 53248 ----a-w c:\windows\system32\drivers\1394bus.sys

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-05 16:38 . 2009-05-02 04:24 3892 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-05-05 16:38 . 2009-05-02 04:24 32 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-05-04 15:02 . 2001-10-28 14:07 64830 ----a-w c:\windows\system32\perfc016.dat
2009-05-04 15:02 . 2001-10-28 14:07 418932 ----a-w c:\windows\system32\perfh016.dat
2009-05-02 04:36 . 2008-01-29 20:29 33808 ----a-w c:\windows\system32\drivers\klbg.sys
2009-04-30 21:54 . 2008-08-24 22:43 1744 ----a-w c:\windows\system32\d3d9caps.dat
2008-01-23 20:36 . 2008-01-23 20:36 604 ---ha-w c:\arquivos de programas\STLL Notifier
2008-09-24 11:20 . 2008-06-06 21:13 67696 ----a-w c:\arquivos de programas\mozilla firefox\components\jar50.dll
2008-09-24 11:20 . 2008-06-06 21:13 54376 ----a-w c:\arquivos de programas\mozilla firefox\components\jsd3250.dll
2008-09-24 11:20 . 2008-06-06 21:13 34952 ----a-w c:\arquivos de programas\mozilla firefox\components\myspell.dll
2008-09-24 11:20 . 2008-06-06 21:13 46720 ----a-w c:\arquivos de programas\mozilla firefox\components\spellchk.dll
2008-09-24 11:20 . 2008-06-06 21:13 172144 ----a-w c:\arquivos de programas\mozilla firefox\components\xpinstal.dll
.

------- Sigcheck -------

[-] 2005-08-31 05:24 1548288 9DD429359FE067BA52D00C0DBB9537EE c:\windows\system32\sfcfiles.dll
[-] 2008-04-14 02:20 1571840 698F9583D1EB213B09F12DD5826A46E2 c:\windows\SoftwareDistribution\Download\ab328c51d3f122e9b4346fc25ad3082e\sfcfiles.dll
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"msnmsgr"="c:\arquivos de programas\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 36975]
"PRONoMgr.exe"="c:\arquivos de programas\Intel\NCS\PROSet\PRONoMgr.exe" [2003-03-11 86016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"AVP"="c:\arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-05-02 206088]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CTHELPER.EXE [2003-10-06 24576]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
"MsnMsgr"="c:\arquivos de programas\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-03 44544]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\
WinKey.lnk - c:\arquivos de programas\WinKey\WinKey.exe [2007-2-16 99840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{E37CB5F0-51F5-4395-A808-5FA49E399008}"= "c:\windows\Downloaded Program Files\gbiehuni.dll" [2007-03-06 222376]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\arquivos de programas\SUPERAntiSpyware\SASSEH.DLL" [2008-06-28 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-08-29 00:41 352256 ----a-w c:\arquivos de programas\SUPERAntiSpyware\SASWINLO.DLL

[HKLM\~\startupfolder\C:^Documents and Settings^Administrador^Menu Iniciar^Programas^Inicializar^Inicialização do Office.lnk]
path=c:\documents and settings\Administrador\Menu Iniciar\Programas\Inicializar\Inicialização do Office.lnk
backup=c:\windows\pss\Inicialização do Office.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Speed Launch.lnk]
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^HP Digital Imaging Monitor.lnk]
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Remote Controller.lnk]
backup=c:\windows\pss\Remote Controller.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^TVSCHL.lnk]
backup=c:\windows\pss\TVSCHL.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nod32kui
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCTools FW
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ProxyWay
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoftickPPP
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vidalia

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Arquivos de programas\\Soulseek\\slsk.exe"=
"c:\\Arquivos de programas\\Stealther\\stealth27.exe"=
"c:\\Arquivos de programas\\Corel\\Graphics10\\Register\\NAVBrowser.exe"=
"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14639:TCP"= 14639:TCP:BitComet 14639 TCP
"14639:UDP"= 14639:UDP:BitComet 14639 UDP

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29/1/2008 17:29 33808]
R1 SASDIFSV;SASDIFSV;c:\arquivos de programas\SUPERAntiSpyware\SASDIFSV.SYS [10/10/2006 12:53 8944]
R1 SASKUTIL;SASKUTIL;c:\arquivos de programas\SUPERAntiSpyware\SASKUTIL.SYS [9/1/2007 14:09 55024]
R2 BT848;BtCap, WDM Video Capture;c:\windows\system32\drivers\BT848.SYS [28/2/2007 21:56 291648]
R2 BTTUNER;BtTuner, WDM TV Tuner;c:\windows\system32\drivers\Bttuner.sys [28/2/2007 21:56 21824]
R2 BTXBAR;BtXBar, WDM Crossbar;c:\windows\system32\drivers\Btxbar.sys [28/2/2007 21:56 12796]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30/4/2008 17:06 24592]
S2 GbpSv;Gbp Service;c:\arquivos de programas\GbPlugin\GbpSv.exe [15/4/2007 20:59 39936]
S3 AVPsys;AVPsys;\??\c:\windows\system32\drivers\cdaudio.sys --> c:\windows\system32\drivers\cdaudio.sys [?]
S3 SASENUM;SASENUM;c:\arquivos de programas\SUPERAntiSpyware\SASENUM.SYS [16/2/2006 16:51 4096]
S3 scrcap;scrcap;c:\windows\system32\DRIVERS\scrcap.sys --> c:\windows\system32\DRIVERS\scrcap.sys [?]
S3 VELASCO;VELASCO;c:\windows\system32\VELASCO.SYS [23/6/2003 07:51 24064]
S3 x400mp;Xpeed 400 ADSL PCI Adapter Driver;c:\windows\system32\DRIVERS\x400mp.sys --> c:\windows\system32\DRIVERS\x400mp.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - iqe68o.bat
\Shell\explore\Command - iqe68o.bat
\Shell\open\Command - iqe68o.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - iqe68o.bat
\Shell\explore\Command - iqe68o.bat
\Shell\open\Command - iqe68o.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{06545732-35ac-11de-ab49-000feadae0cb}]
\Shell\AutoRun\command - fbak.exe
\Shell\open\Command - fbak.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{70c46f5a-b6df-11dc-a8e8-806d6172696f}]
\Shell\AutoRun\command - E:\MLLaunch.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{771bf788-df17-11db-9fbb-000feadae0cb}]
\Shell\AutoRun\command - p1y2.cmd
\Shell\explore\Command - p1y2.cmd
\Shell\open\Command - p1y2.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bb7ddda1-bccc-11db-aea0-806d6172696f}]
\Shell\AutoRun\command - E:\MLLaunch.exe
.
.
------- Scan Suplementar -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.google.com.br/
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} - hxxps://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab
FF - ProfilePath - c:\documents and settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\uga3gyni.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.uol.com.br/
FF - component: c:\arquivos de programas\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\documents and settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\uga3gyni.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E8873}\components\GbMzhUni.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-05 13:39
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTHelper = CTHELPER.EXE?

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(808)
c:\arquivos de programas\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\Downloaded Program Files\gbiehuni.dll

- - - - - - - > 'explorer.exe'(2164)
c:\windows\system32\msi.dll
c:\arquivos de programas\Scpad\scpLIB.dll
c:\arquivos de programas\Scpad\scpMIB.dll
c:\arquivos de programas\Scpad\sshib.dll
.
------------------------ Outros Processos em Execução ------------------------
.
c:\arquivos de programas\LAVASOFT\AD-AWARE\AAWSERVICE.EXE
c:\windows\SYSTEM32\HPZIPM12.EXE
.
**************************************************************************
.
Tempo para conclusão: 2009-05-05 13:41 - Máquina reiniciou
ComboFix-quarantined-files.txt 2009-05-05 16:41

Pré-execução: 5.311.856.640 bytes disponíveis
Pós execução: 5.333.909.504 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

221 --- E O F --- 2008-09-11 18:02

 

[Mr.Wolf]

Olá pessoal, boa tarde!


kym3ra, delete a pasta C:\_OTListIt. Siga as instruções no spoiler abaixo:

Spoiler

Baixe o ATF-Cleaner e salve-o no desktop.
Dê um duplo clique no programa e marque a opção "Select All". Clique no botão Empty Selected > OK.
Clique em Exit para fechar.


- Faça o download do ComboFix e salve-o na área de trabalho;

● Desative temporariamente o seu antivirus para não detectar a ferramenta como vírus;
● Duplo clique no ícone combofix.exe para iniciar o scan;
● Leia o contrato que aparecerá e clique em Sim para continuar;
● Abrirá uma janela do Console de Recuperação, clique em Sim para instalar. Se aparecer outra janela do Console, clique em OK > Sim;
● Aguarde enquanto o ComboFix faz o scan;
● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;
● Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a varredura da ferramenta;
● Se quiser sair ou parar o ComboFix, tecle N;
● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;
● Será gerado um log em C:\ComboFix.txt.

Cole este log em sua próxima resposta.

_________________________________________


Amigo XQuest, antes de continuarmos, vi em seu log que você possui dois firewalls instalados, procede? Comodo Firewall Pro e Outpost Firewall Pro. Não é recomendado ter dois firewalls instalados no PC, vale também para antivirus. Isso apenas causa lentidão e conflitos no sistema, além de não proteger corretamente. Ter dois firewalls ou dois antivirus instalados no PC, não é sinônimo de mais segurança, pelo contrário.
Sugiro que opte por um dos dois firewalls e desinstale o outro amigo XQuest.

Siga as instruções abaixo no spoiler:

Spoiler

NOTA: Conecte todos os seus dispositivos removíveis na máquina, pendrive, MP3, MP4, para seguir os procedimentos abaixo!

Selecione e copie este texto abaixo. Cole-o dentro do Bloco de Notas do PC e salve-o no desktop como CFScript.txt

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{06545732-35ac-11de-ab49-000feadae0cb}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{70c46f5a-b6df-11dc-a8e8-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{771bf788-df17-11db-9fbb-000feadae0cb}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bb7ddda1-bccc-11db-aea0-806d6172696f}]

Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:

● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;
● Não use o mouse nem o teclado quando o ComboFix estiver rodando;
● Quando terminar, será gerado um novo log que estará em C:\ComboFix.txt;
● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.

Na sua próxima resposta, cole o ComboFix.txt e um novo log do HijackThis.

OBS: Verifique se já está conseguindo ver pastas e arquivos ocultos amigo XQuest. Me diga aqui.

 

[luisednardo]

luisednardo, delete a pasta Backups que está dentro da pasta do HijackThis.

No mais, o log está limpo luisednardo. Algum problema ainda?

Mr Wolf, o que acontece com a máquina é que toda vez que inicia o windows, ele abre uma janela do Windows Explorer. Provavelmente porque aquele item que estava no Inicializar voltou. vou te mandar um novo log do hijackthis. Tentei desativar o processo FD101.exe mas não consegui. Ele criou uma pasta dentro de system32 chamada 7225D3 e dentro dela está esse arquivo exe.

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:56:04, on 5/5/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Bonjour\mDNSResponder.exe
C:\Arquivos de programas\Windows Live\Family Safety\fsssvc.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Photodex\ProShowGold\ScsiAccess.exe
C:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Arquivos de programas\QuickTime\qttask.exe
C:\Arquivos de programas\Windows Live\Family Safety\fsui.exe
C:\Arquivos de programas\DAEMON Tools\daemon.exe
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\Arquivos de programas\Save\Save.exe
C:\Documents and Settings\Pedro\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\7225D3\FDF101.EXE
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Pedro\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Pedro\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Arquivos de programas\Windows Live\Family Safety\fssbho.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Arquivos de programas\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Loader Class - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - C:\WINDOWS\BricoPacks\LeopardXP\FindeXer.dll (file missing)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [fssui] "C:\Arquivos de programas\Windows Live\Family Safety\fsui.exe" -autorun
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Arquivos de programas\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [FDF101] C:\WINDOWS\system32\7225D3\FDF101.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Arquivos de programas\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WhenUSave] "C:\Arquivos de programas\Save\Save.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Pedro\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\7225D3\FDF101.EXE
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugin/Cab/GbPluginABN.cab
O20 - Winlogon Notify: GbPluginAbn - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\ARQUIV~1\GbPlugin\GbpSv.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)
O23 - Service: ScsiAccess - Unknown owner - C:\Arquivos de programas\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Arquivos de programas\Arquivos comuns\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9174 bytes

 

[kym3ra]

Combofix

Spoiler

ComboFix 09-05-05.03 - Kym3ra 05/05/2009 20:12.1 - NTFSx86
Microsoft® Windows Vista™ Ultimate 6.0.6001.1.1252.55.1046.18.3198.2371 [GMT -3:00]
Executando de: c:\users\Kym3ra\Desktop\ComboFix.exe
.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-04-05 to 2009-05-05 ))))))))))))))))))))))))))))
.

2009-05-05 18:18 . 2008-07-31 13:41 68616 ----a-w c:\windows\system32\XAPOFX1_1.dll
2009-05-05 18:18 . 2008-07-31 13:40 509448 ----a-w c:\windows\system32\XAudio2_2.dll
2009-05-05 18:18 . 2008-07-31 13:41 238088 ----a-w c:\windows\system32\xactengine3_2.dll
2009-05-05 18:18 . 2008-07-12 11:18 1493528 ----a-w c:\windows\system32\D3DCompiler_39.dll
2009-05-05 18:18 . 2008-07-12 11:18 467984 ----a-w c:\windows\system32\d3dx10_39.dll
2009-05-05 18:18 . 2008-07-12 11:18 3851784 ----a-w c:\windows\system32\D3DX9_39.dll
2009-05-05 18:18 . 2009-05-05 18:18 -------- d-----w c:\windows\64F6748976BB4CDDA236F954BE774B35.TMP
2009-05-05 17:57 . 2009-05-05 18:19 -------- d-----w c:\program files\Activision
2009-05-05 17:54 . 2009-05-05 17:54 -------- d-sh--w c:\windows\ftpcache
2009-05-05 00:55 . 2009-05-05 02:23 -------- d-----w c:\program files\VS Revo Group
2009-05-05 00:19 . 2009-05-05 00:19 -------- d--h--w c:\users\Kym3ra\AppData\Roaming\Malwarebytes
2009-05-05 00:19 . 2009-04-06 18:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-05 00:19 . 2009-04-06 18:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-05 00:19 . 2009-05-05 00:19 -------- d-----w c:\programdata\Malwarebytes
2009-05-05 00:19 . 2009-05-05 00:19 -------- d-----w c:\users\All Users\Malwarebytes
2009-05-05 00:19 . 2009-05-05 00:19 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-05-05 00:14 . 2009-05-05 00:14 -------- d-----w c:\program files\e-Softer
2009-05-03 23:38 . 2009-05-03 23:38 -------- d--h--r c:\users\Kym3ra\AppData\Roaming\SecuROM
2009-05-03 23:33 . 2009-05-03 23:33 22328 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-05-03 23:33 . 2009-05-03 23:33 22328 ---ha-w c:\users\Kym3ra\AppData\Roaming\PnkBstrK.sys
2009-05-03 23:32 . 2009-05-03 23:32 107832 ----a-w c:\windows\system32\PnkBstrB.exe
2009-05-03 23:32 . 2009-05-03 23:32 66872 ----a-w c:\windows\system32\PnkBstrA.exe
2009-05-03 23:32 . 2009-05-03 23:32 2250024 ----a-w c:\windows\system32\pbsvc.exe
2009-05-03 23:28 . 2009-05-03 23:28 -------- d-----w c:\program files\Ubisoft
2009-05-03 22:53 . 2009-05-04 00:45 -------- d-----w c:\program files\Spybot - Search & Destroy
2009-05-03 22:41 . 2009-05-03 22:41 -------- d-----w c:\program files\Trend Micro
2009-05-02 00:11 . 2009-05-02 00:11 -------- d-----w c:\programdata\wanted
2009-05-02 00:11 . 2009-05-02 00:11 -------- d-----w c:\users\All Users\wanted
2009-05-02 00:11 . 2009-05-02 00:11 -------- d--h--w c:\users\Kym3ra\AppData\Local\wanted
2009-05-01 23:08 . 2009-05-01 23:08 -------- d-----w c:\program files\WarnerBros
2009-04-30 21:17 . 2009-04-30 21:17 -------- d-----w c:\programdata\ATI
2009-04-30 21:17 . 2009-04-30 21:17 -------- d-----w c:\users\All Users\ATI
2009-04-30 21:09 . 2009-04-30 21:11 -------- d-----w c:\program files\ATI Technologies
2009-04-30 21:09 . 2009-05-01 16:49 -------- d-----w c:\program files\ATI
2009-04-30 17:38 . 2009-04-30 18:36 -------- d--h--w c:\users\Kym3ra\AppData\Roaming\LimeWire
2009-04-30 17:38 . 2009-05-03 23:18 -------- d-----w c:\program files\LimeWire
2009-04-28 22:04 . 2009-04-28 22:04 -------- d-----w c:\program files\Common Files\SWF Studio
2009-04-28 00:25 . 2009-05-03 23:18 -------- d-----w c:\program files\uTorrent
2009-04-26 23:00 . 2009-04-26 23:04 -------- d--h--w c:\users\Kym3ra\AppData\Roaming\Ahead
2009-04-26 22:59 . 2009-04-26 22:59 -------- d-----w c:\programdata\Ahead
2009-04-26 22:59 . 2009-04-26 22:59 -------- d-----w c:\users\All Users\Ahead
2009-04-26 22:57 . 2009-04-26 22:57 -------- d-----w c:\program files\Nero
2009-04-26 22:57 . 2009-04-26 22:57 -------- d-----w c:\programdata\Nero
2009-04-26 22:57 . 2009-04-26 22:57 -------- d-----w c:\users\All Users\Nero
2009-04-26 22:57 . 2009-04-26 22:59 -------- d-----w c:\program files\Common Files\Ahead
2009-04-26 22:53 . 2009-05-02 14:51 -------- d-----w c:\program files\GameVicio
2009-04-25 18:21 . 2009-04-26 02:20 -------- d-----w c:\program files\AlphaBrowser
2009-04-24 22:38 . 2009-05-03 23:18 -------- d-----w c:\program files\ZenoClash
2009-04-23 02:19 . 2009-04-23 02:29 -------- d-----w c:\program files\Unreal Tournament 3
2009-04-18 03:52 . 2009-04-18 03:53 -------- d--h--w c:\users\Kym3ra\AppData\Local\Rockstar Games
2009-04-18 03:22 . 2009-04-20 21:02 -------- d-----w c:\program files\Rockstar Games
2009-04-16 16:36 . 2009-05-03 23:18 -------- d-----w c:\program files\CryptLoad_1.1.6
2009-04-16 01:06 . 2009-04-16 01:06 -------- d--h--w c:\users\Kym3ra\AppData\Local\NFS Underground 2
2009-04-14 18:32 . 2009-03-03 04:39 551424 ----a-w c:\windows\system32\rpcss.dll
2009-04-14 18:32 . 2009-03-03 04:46 3599328 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-04-14 18:32 . 2009-03-03 04:46 3547632 ----a-w c:\windows\system32\ntoskrnl.exe
2009-04-14 18:32 . 2009-03-03 03:04 666624 ----a-w c:\windows\system32\printfilterpipelinesvc.exe
2009-04-14 18:32 . 2009-03-03 04:39 26112 ----a-w c:\windows\system32\printfilterpipelineprxy.dll
2009-04-14 18:32 . 2009-03-03 04:39 183296 ----a-w c:\windows\system32\sdohlp.dll
2009-04-14 18:32 . 2009-03-03 04:37 98304 ----a-w c:\windows\system32\iasrecst.dll
2009-04-14 18:32 . 2009-03-03 04:37 44032 ----a-w c:\windows\system32\iasdatastore.dll
2009-04-14 18:32 . 2009-03-03 04:37 54784 ----a-w c:\windows\system32\iasads.dll
2009-04-14 18:32 . 2009-03-03 02:38 17408 ----a-w c:\windows\system32\iashost.exe
2009-04-14 18:32 . 2008-12-06 04:42 376832 ----a-w c:\windows\system32\winhttp.dll
2009-04-14 18:31 . 2009-02-13 08:49 1255936 ----a-w c:\windows\system32\lsasrv.dll
2009-04-14 18:31 . 2009-02-13 08:49 72704 ----a-w c:\windows\system32\secur32.dll
2009-04-14 18:31 . 2009-03-17 03:38 13824 ----a-w c:\windows\system32\apilogen.dll
2009-04-14 18:31 . 2009-03-17 03:38 24064 ----a-w c:\windows\system32\amxread.dll
2009-04-14 18:31 . 2008-06-06 03:27 562176 ----a-w c:\windows\system32\msdtcprx.dll
2009-04-14 18:31 . 2008-06-06 03:27 38912 ----a-w c:\windows\system32\xolehlp.dll
2009-04-14 02:01 . 2009-04-26 23:25 -------- d-----w c:\program files\Project64 1.6
2009-04-13 19:11 . 2009-04-30 20:18 -------- d-----w c:\users\Kym3ra\.receitanet
2009-04-13 19:10 . 2008-12-23 20:01 69632 ----a-w c:\windows\system32\MSJCE.dll
2009-04-13 19:10 . 2009-04-13 19:10 -------- d-----w c:\program files\Programas RFB
2009-04-13 16:17 . 2009-04-13 16:17 410984 ----a-w c:\windows\system32\deploytk.dll
2009-04-13 16:17 . 2009-04-13 16:17 -------- d-----w c:\program files\Java
2009-04-13 16:01 . 2009-04-13 16:01 -------- d-----w C:\Arquivos de Programas RFB
2009-04-12 23:28 . 2009-05-04 00:45 -------- d-----w c:\programdata\Spybot - Search & Destroy
2009-04-12 23:28 . 2009-05-04 00:45 -------- d-----w c:\users\All Users\Spybot - Search & Destroy
2009-04-12 21:51 . 2009-04-12 23:34 -------- d-----w c:\programdata\Kaspersky Lab
2009-04-12 21:51 . 2009-04-12 23:34 -------- d-----w c:\users\All Users\Kaspersky Lab
2009-04-12 21:50 . 2009-04-12 21:50 -------- d-----w c:\programdata\Kaspersky Lab Setup Files
2009-04-12 21:50 . 2009-04-12 21:50 -------- d-----w c:\users\All Users\Kaspersky Lab Setup Files
2009-04-11 01:46 . 2009-04-11 01:46 -------- d-----w c:\programdata\vsosdk
2009-04-11 01:46 . 2009-04-11 01:46 -------- d-----w c:\users\All Users\vsosdk
2009-04-11 01:22 . 2006-05-11 22:21 626688 ----a-w c:\windows\system32\vp7vfw.dll
2009-04-11 01:22 . 2006-05-20 19:16 1184984 ----a-w c:\windows\system32\wvc1dmod.dll
2009-04-10 21:59 . 2009-04-10 21:59 -------- d--h--w c:\users\Kym3ra\AppData\Roaming\Foxit
2009-04-10 21:59 . 2009-04-10 21:59 -------- d-----w c:\program files\Foxit Software
2009-04-09 15:09 . 2009-04-09 15:09 -------- d-----w c:\program files\MSXML 4.0
2009-04-09 14:57 . 2009-05-03 23:18 -------- d-----w c:\program files\Dolphin
2009-04-08 14:22 . 2009-04-08 14:22 -------- d--h--w c:\users\Kym3ra\AppData\Local\EA Games
2009-04-08 14:10 . 2009-04-20 23:22 -------- d-----w c:\program files\EA Games
2009-04-07 20:19 . 2009-04-07 20:19 -------- d-----w c:\program files\Common Files\Hewlett-Packard
2009-04-07 20:18 . 2009-04-07 20:18 -------- d-----w c:\program files\Common Files\HP
2009-04-07 20:11 . 2009-04-07 20:25 148809 ----a-w c:\windows\hpoins19.dat
2009-04-07 20:11 . 2009-04-07 20:25 -------- d-----w c:\programdata\HP
2009-04-07 20:11 . 2009-04-07 20:25 -------- d-----w c:\users\All Users\HP
2009-04-07 20:11 . 2006-11-20 21:36 258048 ----a-w c:\windows\system32\hpzids01.dll
2009-04-07 20:11 . 2006-12-16 06:19 303104 ----a-w c:\windows\system32\hpovst01.dll
2009-04-07 20:11 . 2006-12-16 06:19 573440 ----a-w c:\windows\system32\hpotscl1.dll
2009-04-07 20:11 . 2007-03-13 19:52 26952 ----a-w c:\windows\hpomdl19.dat
2009-04-07 19:38 . 2009-04-07 20:16 -------- d-----w c:\program files\HP
2009-04-07 15:53 . 2009-04-07 19:46 -------- d--h--w c:\users\Kym3ra\AppData\Roaming\VMware
2009-04-07 15:45 . 2008-10-28 20:03 50736 ----a-w c:\windows\system32\vmnetbridge.dll
2009-04-07 15:44 . 2009-04-07 19:50 -------- d-----w c:\programdata\VMware
2009-04-07 15:44 . 2009-04-07 19:50 -------- d-----w c:\users\All Users\VMware

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-05 23:11 . 2006-11-06 01:25 634020 ----a-w c:\windows\system32\prfh0416.dat
2009-05-05 23:11 . 2006-11-06 01:25 121690 ----a-w c:\windows\system32\prfc0416.dat
2009-05-05 18:18 . 2009-04-01 01:38 -------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-05-05 18:18 . 2009-03-27 02:31 -------- d--h--w c:\program files\InstallShield Installation Information
2009-05-03 23:38 . 2009-03-27 18:25 107888 ----a-w c:\windows\system32\CmdLineExt.dll
2009-05-03 23:18 . 2006-11-02 11:18 -------- d-----w c:\program files\Windows Mail
2009-05-03 23:18 . 2009-03-28 23:15 -------- d---a-w c:\program files\Quantum of Solace
2009-05-03 23:18 . 2009-03-27 18:18 -------- d-----w c:\program files\OpenAL
2009-05-03 23:18 . 2009-03-27 17:44 -------- d-----w c:\program files\RocketDock
2009-05-03 23:18 . 2009-03-27 17:44 -------- d-----w c:\program files\Messenger Plus! Live
2009-05-03 23:18 . 2009-03-27 17:15 -------- d-----w c:\program files\K-Lite Codec Pack
2009-05-03 23:18 . 2009-03-27 17:24 -------- d-----w c:\program files\DAEMON Tools Lite
2009-05-03 23:18 . 2009-03-27 17:21 -------- d-----w c:\program files\Fraps
2009-05-03 23:18 . 2009-03-27 17:19 -------- d-----w c:\program files\BMPtoJPG
2009-04-30 21:10 . 2006-11-02 10:25 51200 ----a-w c:\windows\inf\infpub.dat
2009-04-30 21:10 . 2006-11-02 10:25 86016 ----a-w c:\windows\inf\infstrng.dat
2009-04-30 21:10 . 2006-11-02 10:25 86016 ----a-w c:\windows\inf\infstor.dat
2009-04-30 21:07 . 2009-03-27 01:52 680 ---ha-w c:\users\Kym3ra\AppData\Local\d3d9caps.dat
2009-04-26 22:45 . 2009-03-28 21:22 -------- d-----w c:\program files\Electronic Arts
2009-04-18 03:11 . 2009-04-01 01:14 -------- d--h--w c:\program files\Temp
2009-03-28 21:48 . 2009-03-28 21:48 -------- d-----w c:\program files\Atari
2009-03-28 20:07 . 2009-03-28 20:07 1125376 ----a-w c:\windows\system32\osu!.exe
2009-03-28 20:07 . 2009-03-28 20:07 105773568 ----a-w c:\windows\system32\osu.dll
2009-03-28 20:02 . 2009-03-28 20:02 96320 ----a-w c:\windows\system32\bass.dll
2009-03-28 20:02 . 2009-03-28 20:02 749568 ----a-w c:\windows\system32\Microsoft.Xna.Framework.dll
2009-03-28 20:02 . 2009-03-28 20:02 516096 ----a-w c:\windows\system32\Microsoft.Ink.dll
2009-03-28 20:02 . 2009-03-28 20:02 26712 ----a-w c:\windows\system32\bass_fx.dll
2009-03-28 20:02 . 2009-03-27 02:43 4379984 ----a-w c:\windows\system32\d3dx9_31.dll
2009-03-28 20:02 . 2009-03-27 02:43 15128 ----a-w c:\windows\system32\x3daudio1_1.dll
2009-03-28 20:02 . 2009-03-28 20:02 175104 ----a-w c:\windows\system32\osume.exe
2009-03-27 19:42 . 2006-11-02 10:25 665600 ----a-w c:\windows\inf\drvindex.dat
2009-03-27 18:18 . 2009-03-27 18:18 444952 ----a-w c:\windows\system32\wrap_oal.dll
2009-03-27 18:18 . 2009-03-27 18:18 109080 ----a-w c:\windows\system32\OpenAL32.dll
2009-03-27 17:43 . 2009-03-27 17:43 -------- d-----w c:\program files\Microsoft
2009-03-27 17:43 . 2009-03-27 17:43 -------- d-----w c:\program files\Windows Live SkyDrive
2009-03-27 17:32 . 2009-03-27 17:32 -------- d-----w c:\program files\Windows Live
2009-03-27 17:27 . 2009-03-27 17:27 -------- d-----w c:\program files\Common Files\Windows Live
2009-03-27 17:21 . 2009-03-27 17:21 -------- d-----w c:\program files\Golden Bow
2009-03-27 17:19 . 2009-03-27 17:19 47360 ----a-w c:\windows\system32\drivers\pcouffin.sys
2009-03-27 17:19 . 2009-03-27 17:18 -------- d-----w c:\program files\Microsoft Games for Windows - LIVE
2009-03-27 17:16 . 2009-03-27 17:16 717296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-03-27 17:15 . 2009-03-27 17:15 -------- d-----w c:\program files\GRETECH
2009-03-27 02:45 . 2009-03-27 02:45 0 ----a-w c:\windows\ativpsrm.bin
2009-03-27 02:23 . 2006-11-02 12:49 174 --sha-w c:\program files\desktop.ini
2009-03-27 02:19 . 2006-11-02 12:35 -------- d-----w c:\program files\Windows Calendar
2009-03-27 02:19 . 2006-11-02 12:35 -------- d-----w c:\program files\Windows Sidebar
2009-03-27 02:19 . 2006-11-02 12:35 -------- d-----w c:\program files\Windows Photo Gallery
2009-03-27 02:19 . 2006-11-02 12:35 -------- d-----w c:\program files\Windows Journal
2009-03-27 02:19 . 2006-11-02 12:35 -------- d-----w c:\program files\Windows Collaboration
2009-03-27 02:19 . 2006-11-02 12:35 -------- d-----w c:\program files\Windows Defender
2009-03-27 02:14 . 2006-11-02 10:32 101888 ----a-w c:\windows\system32\ifxcardm.dll
2009-03-27 02:14 . 2006-11-02 10:32 82432 ----a-w c:\windows\system32\axaltocm.dll
2009-03-27 01:54 . 2009-03-27 02:09 47560 ----a-w c:\windows\system32\SPReview.exe
2009-03-27 01:54 . 2009-03-27 02:09 152576 ----a-w c:\windows\system32\SPWizUI.dll
2009-03-27 01:51 . 2009-03-27 01:51 -------- d-sh--w c:\program files\Common Files\Sistema
2009-03-27 01:51 . 2009-03-27 01:51 -------- d-sh--w c:\program files\Arquivos Comuns
2009-03-25 13:06 . 2009-04-18 03:10 142848 ----a-w c:\windows\system32\AERTACap.dll
2009-03-17 11:58 . 2009-04-18 03:10 540672 ----a-w c:\windows\RtlExUpd.dll
2009-03-16 21:33 . 2009-03-16 21:33 4361216 ----a-w c:\windows\system32\drivers\atikmdag.sys
2009-03-16 20:28 . 2009-03-16 20:28 442368 ----a-w c:\windows\system32\ATIDEMGX.dll
2009-03-16 20:27 . 2009-03-16 20:27 290816 ----a-w c:\windows\system32\atieclxx.exe
2009-03-16 20:27 . 2009-03-16 20:27 180224 ----a-w c:\windows\system32\atiesrxx.exe
2009-03-16 20:26 . 2009-03-16 20:26 159744 ----a-w c:\windows\system32\atitmmxx.dll
2009-03-16 20:25 . 2009-03-16 20:25 348160 ----a-w c:\windows\system32\atipdlxx.dll
2009-03-16 20:25 . 2009-03-16 20:25 274432 ----a-w c:\windows\system32\Oemdspif.dll
2009-03-16 20:25 . 2009-03-16 20:25 11776 ----a-w c:\windows\system32\atimuixx.dll
2009-03-16 20:25 . 2009-03-16 20:25 43520 ----a-w c:\windows\system32\ati2edxx.dll
2009-03-16 20:21 . 2009-03-16 20:21 2381312 ----a-w c:\windows\system32\atidxx32.dll
2009-03-16 20:11 . 2009-03-16 20:11 3837440 ----a-w c:\windows\system32\atiumdag.dll
2009-03-16 19:57 . 2009-03-16 19:57 11520000 ----a-w c:\windows\system32\atioglxx.dll
2009-03-16 19:53 . 2009-03-16 19:53 4950528 ----a-w c:\windows\system32\atiumdva.dll
2009-03-16 19:41 . 2009-03-16 19:41 51712 ----a-w c:\windows\system32\amdpcom32.dll
2009-03-16 19:41 . 2009-03-16 19:41 51712 ----a-w c:\windows\system32\atimpc32.dll
2009-03-16 19:41 . 2009-03-16 19:41 151552 ----a-w c:\windows\system32\atiadlxx.dll
2009-03-16 19:36 . 2009-03-16 19:36 53248 ----a-w c:\windows\system32\aticalrt.dll
2009-03-16 19:36 . 2009-03-16 19:36 53248 ----a-w c:\windows\system32\aticalcl.dll
2009-03-16 19:35 . 2009-03-16 19:35 3272704 ----a-w c:\windows\system32\aticaldd.dll
2009-03-16 19:27 . 2009-03-16 19:27 53248 ----a-w c:\windows\system32\drivers\ati2erec.dll
2009-03-16 17:18 . 2009-03-27 02:43 69448 ----a-w c:\windows\system32\XAPOFX1_3.dll
2009-03-16 17:18 . 2009-03-27 02:43 517448 ----a-w c:\windows\system32\XAudio2_4.dll
2009-03-16 17:18 . 2009-03-27 02:43 235352 ----a-w c:\windows\system32\xactengine3_4.dll
2009-03-16 17:18 . 2009-03-27 02:43 22360 ----a-w c:\windows\system32\X3DAudio1_6.dll
2009-03-09 18:27 . 2009-03-27 02:43 453456 ----a-w c:\windows\system32\d3dx10_41.dll
2009-03-09 18:27 . 2009-03-27 02:43 4178264 ----a-w c:\windows\system32\D3DX9_41.dll
2009-03-09 18:27 . 2009-03-27 02:43 1846632 ----a-w c:\windows\system32\D3DCompiler_41.dll
2009-03-08 11:34 . 2009-04-07 21:28 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 11:34 . 2009-04-07 21:28 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 11:33 . 2009-04-07 21:28 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 11:33 . 2009-04-07 21:28 109056 ----a-w c:\windows\system32\iesysprep.dll
2009-03-08 11:33 . 2009-04-07 21:28 109568 ----a-w c:\windows\system32\PDMSetup.exe
2009-03-08 11:33 . 2009-04-07 21:28 132608 ----a-w c:\windows\system32\ieUnatt.exe
2009-03-08 11:33 . 2009-04-07 21:28 107520 ----a-w c:\windows\system32\RegisterIEPKEYs.exe
2009-03-08 11:33 . 2009-04-07 21:28 107008 ----a-w c:\windows\system32\SetIEInstalledDate.exe
2009-03-08 11:33 . 2009-04-07 21:28 103936 ----a-w c:\windows\system32\SetDepNx.exe
2009-03-08 11:33 . 2009-04-07 21:28 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 11:32 . 2009-04-07 21:28 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 11:32 . 2009-04-07 21:28 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 11:32 . 2009-04-07 21:28 66560 ----a-w c:\windows\system32\wextract.exe
2009-03-08 11:32 . 2009-04-07 21:28 169472 ----a-w c:\windows\system32\iexpress.exe
2009-03-08 11:31 . 2009-04-07 21:28 34816 ----a-w c:\windows\system32\imgutil.dll
2007-06-22 17:50 . 2007-03-01 19:52 8192 --sha-w c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-03-18 61440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3861016936-1555234343-1621014405-1000]
"EnableNotificationsRef"=dword:00000002

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{4C344265-8E0D-49B6-ADCB-9DE7A0BDF87B}"= UDP:c:\users\Kym3ra\Desktop\utorrent.exe:µTorrent (TCP-In)
"{7EDCD9E9-678B-44FE-841A-FF1EDD0A0283}"= TCP:c:\users\Kym3ra\Desktop\utorrent.exe:µTorrent (UDP-In)
"{CBB11DBF-28B7-4345-942B-DAE62760EDDC}"= UDP:c:\users\Kym3ra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\utorrent.exe:µTorrent (TCP-In)
"{521F3D92-49FE-43A9-BA5E-15291846E5DB}"= TCP:c:\users\Kym3ra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\utorrent.exe:µTorrent (UDP-In)
"TCP Query User{44AD5208-3819-4474-9DAE-D9C7E1029327}c:\\program files\\electronic arts\\dead space\\dead space.exe"= UDP:c:\program files\electronic arts\dead space\dead space.exeead Space ™
"UDP Query User{5D36FD5D-E69A-4C81-B4FF-972629511341}c:\\program files\\electronic arts\\dead space\\dead space.exe"= TCP:c:\program files\electronic arts\dead space\dead space.exeead Space ™
"TCP Query User{9624F9BC-4420-499A-A5D7-93A26D2DC316}c:\\program files\\atari\\test drive unlimited\\testdriveunlimited.exe"= UDP:c:\program files\atari\test drive unlimited\testdriveunlimited.exe:Test Drive Unlimited
"UDP Query User{5FC07DF9-2A2D-4FAF-9E08-4023BB5D307A}c:\\program files\\atari\\test drive unlimited\\testdriveunlimited.exe"= TCP:c:\program files\atari\test drive unlimited\testdriveunlimited.exe:Test Drive Unlimited
"TCP Query User{26CE175F-4D17-4517-97C3-66BCBE96798B}c:\\program files\\quantum of solace\\jb_liveengine_s.exe"= UDP:c:\program files\quantum of solace\jb_liveengine_s.exe:Quantum of Solace(TM)
"UDP Query User{2748E936-98BE-46E6-A4DD-6834A41AC6BD}c:\\program files\\quantum of solace\\jb_liveengine_s.exe"= TCP:c:\program files\quantum of solace\jb_liveengine_s.exe:Quantum of Solace(TM)
"TCP Query User{262FB271-A3A6-4AFA-974E-84F008858C22}c:\\program files\\aspyr\\dark sector\\ds.exe"= UDP:c:\program files\aspyr\dark sector\ds.exeark Sector
"UDP Query User{726B5534-C860-4BA2-BB06-F86A04B8C271}c:\\program files\\aspyr\\dark sector\\ds.exe"= TCP:c:\program files\aspyr\dark sector\ds.exeark Sector
"TCP Query User{E785E27E-A9FF-47AC-9AA6-487B73A34EFC}c:\\program files\\mozilla firefox\\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{84292C7A-E55D-49FF-870A-D3C53E0EAA2F}c:\\program files\\mozilla firefox\\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox
"TCP Query User{56DE282D-0437-45CD-A830-8E48B1058DF7}c:\\program files\\valve\\counter-strike source\\hl2.exe"= UDP:c:\program files\valve\counter-strike source\hl2.exe:hl2
"UDP Query User{04A59A7A-67F2-4B02-B519-276F67C48880}c:\\program files\\valve\\counter-strike source\\hl2.exe"= TCP:c:\program files\valve\counter-strike source\hl2.exe:hl2
"TCP Query User{4E32429B-6431-431F-9010-A0FD21334FFE}c:\\ut2003demo\\system\\ut2003.exe"= UDP:c:\ut2003demo\system\ut2003.exe:UT2003
"UDP Query User{318C8296-E6FF-4EB3-8DBC-073C45D22AB9}c:\\ut2003demo\\system\\ut2003.exe"= TCP:c:\ut2003demo\system\ut2003.exe:UT2003
"{0AF70501-EA19-4482-86D1-279E3B46B9B8}"= UDP:c:\program files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe:Rockstar Games Social Club
"{B6960B15-8FDD-417F-85A6-26F5F753C8A1}"= TCP:c:\program files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe:Rockstar Games Social Club
"{A157F86C-9729-4360-A02C-79C4DFE382E9}"= UDP:c:\program files\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe:Grand Theft Auto IV
"{6D405464-8869-4756-B537-FB7A93B9E968}"= TCP:c:\program files\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe:Grand Theft Auto IV
"TCP Query User{74805E57-8FEF-41BF-8932-E4CFA7571788}c:\\program files\\rockstar games\\grand theft auto iv\\gtaiv.exe"= UDP:c:\program files\rockstar games\grand theft auto iv\gtaiv.exe:Grand Theft Auto IV
"UDP Query User{C82FC01C-70B2-4979-AE32-ADF4F4843879}c:\\program files\\rockstar games\\grand theft auto iv\\gtaiv.exe"= TCP:c:\program files\rockstar games\grand theft auto iv\gtaiv.exe:Grand Theft Auto IV
"{AA8C2C3D-E93F-45DC-A49D-03ABB0095374}"= UDP:c:\users\Kym3ra\Games\Unreal Tournament 3\Binaries\UT3.exe:Unreal_Tournament_1
"{5E2A12F5-3B1E-44B7-AFF1-5F219812A783}"= TCP:c:\users\Kym3ra\Games\Unreal Tournament 3\Binaries\UT3.exe:Unreal_Tournament_1
"{DDA70E5A-7CEC-4DA1-9125-7C34C2C7AD71}"= UDP:c:\users\Kym3ra\Games\Unreal Tournament 3\Binaries\UnrealFrontend.exe:Unreal_Tournament_2
"{D611552F-AB88-4F98-AA21-21DE97F8A5DF}"= TCP:c:\users\Kym3ra\Games\Unreal Tournament 3\Binaries\UnrealFrontend.exe:Unreal_Tournament_2
"{5A7F0DB5-F556-484C-8B78-CE24FFDC6885}"= UDP:c:\users\Kym3ra\Games\Unreal Tournament 3\Binaries\UnrealConsole.exe:Unreal_Tournament_3
"{F258122B-BD01-4B26-85F3-3E5C67808FD5}"= TCP:c:\users\Kym3ra\Games\Unreal Tournament 3\Binaries\UnrealConsole.exe:Unreal_Tournament_3
"TCP Query User{09DB18DB-E6FA-465F-872E-9E32CD26A8BC}c:\\program files\\unreal tournament 3\\binaries\\ut3.exe"= UDP:c:\program files\unreal tournament 3\binaries\ut3.exe:UT3
"UDP Query User{B4AA9D3E-C802-492C-805C-E466F0ED12A6}c:\\program files\\unreal tournament 3\\binaries\\ut3.exe"= TCP:c:\program files\unreal tournament 3\binaries\ut3.exe:UT3
"{6AC90A82-EA52-49DC-8109-1DFFEB6D1E7B}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{1D33BA05-F1C7-4358-A48F-A04E9F7004C2}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"TCP Query User{6F3ADF71-8400-4283-B5D7-3081C415D075}c:\\program files\\id software\\quake 4 demo\\quake4.exe"= UDP:c:\program files\id software\quake 4 demo\quake4.exe:Quake 4
"UDP Query User{9ABC85E9-9017-44FF-9588-8DBF04056E62}c:\\program files\\id software\\quake 4 demo\\quake4.exe"= TCP:c:\program files\id software\quake 4 demo\quake4.exe:Quake 4
"TCP Query User{B66416F1-0765-456A-B968-7086A9C1ED7D}c:\\program files\\codemasters\\race driver online demo\\racedriverd.exe"= UDP:c:\program files\codemasters\race driver online demo\racedriverd.exe:RaceDriverd
"UDP Query User{4EBEB26F-AAC4-417B-B2B4-E0C5B1797925}c:\\program files\\codemasters\\race driver online demo\\racedriverd.exe"= TCP:c:\program files\codemasters\race driver online demo\racedriverd.exe:RaceDriverd
"TCP Query User{2FD5792C-4982-4D56-B42C-6CF847ED8209}c:\\program files\\ares\\ares.exe"= UDP:c:\program files\ares\ares.exe:Ares p2p for windows
"UDP Query User{B8FB59C3-9EE5-49FB-BB84-FE4E93AE5404}c:\\program files\\ares\\ares.exe"= TCP:c:\program files\ares\ares.exe:Ares p2p for windows
"{0BD1F179-B0A8-477B-82A8-2D6353B26898}"= UDP:c:\program files\Ubisoft\Far Cry 2\bin\FarCry2.exe:Far Cry 2
"{2DEB92FE-B686-41D4-982E-ECA59F72F93E}"= TCP:c:\program files\Ubisoft\Far Cry 2\bin\FarCry2.exe:Far Cry 2
"{31678D7D-F5C0-491E-8AD9-C767DA904C42}"= UDP:c:\program files\Ubisoft\Far Cry 2\bin\FC2Launcher.exe:Far Cry 2 Updater
"{D523DD0B-CBF8-4F92-BEE9-FFD0A911F89E}"= TCP:c:\program files\Ubisoft\Far Cry 2\bin\FC2Launcher.exe:Far Cry 2 Updater
"{04AAFBBF-CA6F-4B5D-8289-308CC093F1D5}"= UDP:c:\program files\Ubisoft\Far Cry 2\bin\FC2Editor.exe:Editor
"{21FB946F-79ED-4CC5-8DB5-BAE48EDADF60}"= TCP:c:\program files\Ubisoft\Far Cry 2\bin\FC2Editor.exe:Editor
"{3C6C8887-80FE-4C10-AB8F-9937963B1EDD}"= UDP:c:\windows\System32\PnkBstrA.exenkBstrA
"{1A7EB8D4-1D42-4962-B9D4-E8AAEF072DE8}"= TCP:c:\windows\System32\PnkBstrA.exenkBstrA
"{7DE0E001-C3E4-4E1C-B9BC-78D85B239B80}"= UDP:c:\windows\System32\PnkBstrB.exenkBstrB
"{E28EACAD-0BC3-49B3-A145-7B76E7F28675}"= TCP:c:\windows\System32\PnkBstrB.exenkBstrB
"{25D1E509-CF82-413F-8F3D-5C3813B52ADF}"= UDP:c:\program files\Activision\X-Men Origins - Wolverine(TM)\Binaries\Wolverine.exe:X-Men Origins - Wolverine
"{2979EFCD-4CFF-4A0E-800D-68171DE9B87F}"= TCP:c:\program files\Activision\X-Men Origins - Wolverine(TM)\Binaries\Wolverine.exe:X-Men Origins - Wolverine

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\\Windows\\system32\\hpdrv.exe"= c:\windows\system32\hpdrv.exe:*:Enabled:svhost

R1 RtlProt;Realtke RtlProt WLAN Utility Protocol Driver;c:\windows\System32\drivers\RtlProt.sys [26/03/2009 23:31 25896]
R2 AMD External Events Utility;AMD External Events Utility;c:\windows\System32\atiesrxx.exe [16/03/2009 17:27 180224]
R2 RealtekUSB;RealtekUSB;c:\program files\REALTEK\RTL8187 Wireless LAN Utility\RtlService.exe [26/03/2009 23:31 36864]
R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\System32\drivers\AtiHdmi.sys [20/02/2009 02:17 95760]
R3 RTL8187;Realtek RTL8187 Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter;c:\windows\System32\drivers\rtl8187.sys [26/03/2009 23:31 335872]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\System32\rundll32.exe" "c:\windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
- - - - ORFÃOS REMOVIDOS - - - -

HKCU-Run-ares - c:\program files\Ares\Ares.exe


.
------- Scan Suplementar -------
.
uStart Page = hxxp://www.google.com.br/
FF - ProfilePath - c:\users\Kym3ra\AppData\Roaming\Mozilla\Firefox\Profiles\3qhoa161.default\
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-05 20:14
Windows 6.0.6001 Service Pack 1 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-3861016936-1555234343-1621014405-1000\Software\SecuROM\License information*]
"datasecu"=hex:b1,40,a9,4c,0a,49,a5,3d,d0,b0,19,5f,ab,d2,5f,51,6a,57,62,05,3e,
1e,f3,8c,62,b4,01,f3,1e,c4,13,89,da,d7,04,13,bb,c0,5e,61,60,67,6d,09,df,fe,\
"rkeysecu"=hex:fb,fe,a5,4d,69,0c,b4,b5,b7,d6,79,3f,cd,b3,bc,23
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'Explorer.exe'(208)
c:\program files\RocketDock\RocketDock.dll
.
Tempo para conclusão: 2009-05-05 20:15
ComboFix-quarantined-files.txt 2009-05-05 23:15

Pré-execução: 150.280.933.376 bytes disponíveis
Pós execução: 150.294.429.696 bytes disponíveis

340 --- E O F --- 2009-04-30 21:09

Se precisar:

HijackThis

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:19:52, on 05/05/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\Explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O13 - Gopher Prefix:
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: RealtekUSB - Realtek - C:\Program Files\REALTEK\RTL8187 Wireless LAN Utility\RtlService.exe

--
End of file - 2762 bytes

 

[luisednardo]

Mr Wolf, sem querer abusar muito de vc pois ainda estamos vendo o finalzinho daquele caso, mas se puder analisar esse log seria de muita ajuda.

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:39:56, on 05/05/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16809)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\FixCamera.exe
C:\Windows\tsnp325.exe
C:\Windows\vsnp325.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\DllHost.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [FixCamera] C:\Windows\FixCamera.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [tsnp325] C:\Windows\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\Windows\vsnp325.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [explorer] C:\Windows\System32\code\pplgn.exe
O4 - HKCU\..\Run: [firewals] C:\Windows\System32\code\pRee3.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\System32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100458 -Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB5; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; Embedded Web Browser from: http://bsalsa.com/; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2)
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIÇO DE REDE')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F3928E2-3EF3-4599-BBF4-A87CE621234D}: NameServer = 189.40.224.5 10.223.246.102
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

--
End of file - 7424 bytes

 

[Alessandro Monteiro]

Amigo Alessandro Monteiro, seus logs estão limpos

Vá em Iniciar > Executar, digite combofix /u e dê um OK para remover a ferramenta. Delete o Lop SD caso ainda esteja aí.
Desative e ative novamente a Restauração do Sistema.

Algum problema ainda amigo Alessandro?

Mr. Wolf vc é o cara! obrigado mesmo!!!!!! tudo certo e redondinho denovo! :yes:

 

[XQuest]

Amigo XQuest, antes de continuarmos, vi em seu log que você possui dois firewalls instalados, procede? Comodo Firewall Pro e Outpost Firewall Pro. Não é recomendado ter dois firewalls instalados no PC, vale também para antivirus. Isso apenas causa lentidão e conflitos no sistema, além de não proteger corretamente. Ter dois firewalls ou dois antivirus instalados no PC, não é sinônimo de mais segurança, pelo contrário.
Sugiro que opte por um dos dois firewalls e desinstale o outro amigo XQuest.

Siga as instruções abaixo no spoiler:

Spoiler

NOTA: Conecte todos os seus dispositivos removíveis na máquina, pendrive, MP3, MP4, para seguir os procedimentos abaixo!

Selecione e copie este texto abaixo. Cole-o dentro do Bloco de Notas do PC e salve-o no desktop como CFScript.txt

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{06545732-35ac-11de-ab49-000feadae0cb}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{70c46f5a-b6df-11dc-a8e8-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{771bf788-df17-11db-9fbb-000feadae0cb}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bb7ddda1-bccc-11db-aea0-806d6172696f}]

Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:

● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;
● Não use o mouse nem o teclado quando o ComboFix estiver rodando;
● Quando terminar, será gerado um novo log que estará em C:\ComboFix.txt;
● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.

Na sua próxima resposta, cole o ComboFix.txt e um novo log do HijackThis.

OBS: Verifique se já está conseguindo ver pastas e arquivos ocultos amigo XQuest. Me diga aqui.

Prezado Wolf, antes de adotar os procedimentos recomendados e salvá-los no CFScript.txt tenho que te dizer, pois esqueci de mencionar na resposta anterior, que os arquivos ocultos voltaram e ser exibidos, o teu procedimento funcionou bem, muito obrigado, vejo que você conhece bem o assunto, parabéns!
Gostaria até de te perguntar o que foi mais eficiente para isso, se o scaneamento com o HijackThis ou com o ComboFix.

Quanto aos Firewalls na verdade eu não tenho mais nenhum deles instalado pois ambos eu já desinstalei, provavelmente eles deixaram algum rastro que não saíram totalmente na desinstalação e figuraram no log, gostaria até de poder remover esses traços que eles deixaram aqui, mas nem mais aparece o desinstalador deles e nem no CCleaner tem mais qualquer referência nem ao Comodo e nem ao Outpost.

Será que ainda preciso fazer o procedimento do CFScript.txt?
Caso sim porque eu precisaria deixar os pendrives conectados?

Muito obrigado por toda a ajuda até aqui.

 

[Mr.Wolf]

kym3ra, seus logs estão limpos. Vá em Iniciar > Executar, digite combofix /u e dê um OK. Delete a ferramenta OTListIt2.

Algum problema ainda kym3ra?


________________________________________


Amigo XQuest, recomendo fazer o procedimento com o CFScript.txt sim. Ainda há infecção em seu computador, o CFScript irá terminar a remoção dos mesmos. Se não o fizer, a infecção poderá voltar e o problema com a visualização de arquivos e pastas ocultos também.
A infecção que você teve foi proveniente de seus pendrives, ou seja, o responsável pela infecção em seu computador foi seu pendrive. Por isso pedi que o conectasse a máquina. Se não quiser conectar seus pendrives não há problemas, mas, eles poderão voltar a infectar sua máquina quando conectá-los ao PC novamente.

Apesar de que seu problema principal já foi sanado, é importante terminar os procedimentos que lhe passei amigo XQuest. Mas é você quem decide.

Gostaria até de te perguntar o que foi mais eficiente para isso, se o scaneamento com o HijackThis ou com o ComboFix.

Foi o ComboFix. O HijackThis é importante para sabermos se há infecção no computador, se houver, qual é a infecção e o que fazer para removê-la. Porém, o ComboFix não é um antivirus e não recomendo a utilização dele sem orientação, pois apesar de ser uma excelente ferramenta, se não utilizad-o de forma correta danifica todo o sistema. :thumbs_up


________________________________________


luisednardo, dele a pasta 7225D3.
Quanto ao segundo log, rode o BankerFix e poste o log.

 

[luisednardo]

luisednardo, dele a pasta 7225D3.
Quanto ao segundo log, rode o BankerFix e poste o log.

Mr Wolf, eu deletei a pasta em modo de segurança. OK. Só queria saber porque que toda vez que o windows inicia ele abre a janela do Meus Documentos? Será que tem como resolver isso? VOu postar o log da outra máquina

 

[luisednardo]

Aí está Mr WOlf, os logs do bankerfix e um novo do hijackthis

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:55:10, on 06/05/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16830)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\FixCamera.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Windows\tsnp325.exe
C:\Windows\vsnp325.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [FixCamera] C:\Windows\FixCamera.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [tsnp325] C:\Windows\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\Windows\vsnp325.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\System32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100458 -Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB5; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; Embedded Web Browser from: http://bsalsa.com/; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2)
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIÇO DE REDE')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F3928E2-3EF3-4599-BBF4-A87CE621234D}: NameServer = 189.40.224.5 10.223.246.102
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

--
End of file - 7555 bytes

Spoiler

BankerFix 3.0 VALKYRIE - Removedor de Bankers
Linha Defensiva | http://www.linhadefensiva.org
http://www.linhadefensiva.org/bankerfix/
-------------------------------------------------------
Data: 2009-05-06 - 02:43
-------------------------------------------------------
Lista de Definição: 2009-05-04-2 | CORE: 2009-01-21-1
=======================================================

Arquivo infectado detectado: C:\Windows\System32\autentic.dll
Arquivo infectado removido com sucesso!

Arquivo infectado detectado: C:\Windows\System32\configex.dll
Arquivo infectado removido com sucesso!

Arquivo infectado detectado: C:\Windows\System32\idmaq32.exe
Arquivo infectado removido com sucesso!

Arquivo infectado detectado: C:\Windows\System32\msghot.dll
Arquivo infectado removido com sucesso!

Arquivo infectado detectado: C:\Windows\System32\wscntfx.exe
Arquivo infectado removido com sucesso!

Arquivo infectado detectado: C:\Windows\System32\code
Arquivo infectado removido com sucesso!



----- Fim -------------------------

 

[sonny]

Alguém sabe, se o Kaspersky 2009 Beta, esta funcionando normalmente no "Windows 7 RC 7100" ?

Instalei o Windows 7 aqui, e só falta o Kav para funcionar. Tenho que ver também se a minha cdley original do Kav 7 irá funcionar nesta.

 

[_Ado_]

Olá pessoal, boa tarde! Responderei à todos neste mesmo post aqui ok, indo por ordem de postagens aqui.





Opa _Ado_, seu log possui quatro entradas ocultas. Vamos verificar isso amigo, siga a instrução abaixo:

Spoiler

- Faça o download do RSIT e salve no seu desktop;

● Dê dois cliques em RSIT.exe para executar o programa;
● Na janela que abrir clique no botão Continue para que a ferramenta comece a rodar;
● Quando a ferramenta terminar de rodar, abrirá um log automaticamente no bloco de notas contendo o resultado do scan. Cole o resultado desse log (log.txt) na sua próxima resposta;
● Cole também o conteúdo do arquivo info.txt que estará em C:\rsit\info.txt.

_____________________________________

Ae grande! log.txt:

Spoiler

Logfile of random's system information tool 1.06 (written by random/random)
Run by adm at 2009-05-06 18:38:25
Microsoft Windows XP Professional Service Pack 3
System drive C: has 463 MB (0%) free of 382 GB
Total RAM: 2047 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:38:29, on 6/5/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
C:\Arquivos de programas\iTunes\iTunesHelper.exe
C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Dados Antigos\ado\Arquivo de programas\Steam\Steam.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Arquivos de programas\Bonjour\mDNSResponder.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Arquivos de programas\MSN Messenger\usnsvc.exe
C:\Documents and Settings\adm\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\MSN Messenger\msnmsgr.exe
C:\Arquivos de programas\Windows Media Player\wmplayer.exe
C:\Documents and Settings\adm\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\adm\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\adm\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\adm\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\adm\Desktop\RSIT.exe
C:\Arquivos de programas\Trend Micro\HijackThis\adm.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Arquivos de programas\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Arquivos de programas\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\adm\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Steam] "C:\Dados Antigos\ado\Arquivo de programas\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RGSC] C:\Arquivos de programas\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Arquivos de programas\Xfire\Xfire.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Arquivos de programas\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Arquivos de programas\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1221616179359
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://200.220.140.155:2584/activex/AMC.cab
O23 - Service: Dispositivo Celular da Apple (Apple Mobile Device) - Apple Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 9704 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-507921405-963894560-725345543-1003.job
C:\WINDOWS\tasks\Norton Security Scan for adm.job
C:\WINDOWS\tasks\SmartDefrag.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
Yahoo! Toolbar Helper - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 440384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Facilitador de Leitor de Link Adobe PDF - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Arquivos de programas\Real\RealPlayer\rpbrowserrecordplugin.dll [2008-11-21 308832]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll [2009-03-02 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-09 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - Barra de Ferramentas do Yahoo! com bloqueador de pop-up - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll [2006-10-26 440384]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"RemoteControl"=C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe [2003-12-08 32768]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-05-16 16862720]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-02-18 13680640]
"nwiz"=nwiz.exe /install []
"Adobe Reader Speed Launcher"=C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"HP Software Update"=C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe [2005-05-11 49152]
"QuickTime Task"=C:\Arquivos de programas\QuickTime\qttask.exe [2008-09-06 413696]
"iTunesHelper"=C:\Arquivos de programas\iTunes\iTunesHelper.exe [2008-09-10 289576]
"TkBellExe"=C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe [2008-11-21 185872]
"avast!"=C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe [2008-11-26 81000]
"SunJavaUpdateSched"=C:\Arquivos de programas\Java\jre6\bin\jusched.exe [2009-03-09 148888]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2009-02-18 86016]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"=C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe [2007-01-19 5674352]
"DAEMON Tools Lite"=C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe [2008-07-24 490952]
"Google Update"=C:\Documents and Settings\adm\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe [2008-10-13 133104]
"Steam"=C:\Dados Antigos\ado\Arquivo de programas\Steam\Steam.exe [2008-11-09 1410296]
"MSMSGS"=C:\Arquivos de programas\Messenger\msmsgs.exe [2008-04-13 1695232]
"RGSC"=C:\Arquivos de programas\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe [2009-03-06 306088]

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar
Adobe Gamma Loader.lnk - C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
HP Digital Imaging Monitor.lnk - C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\Documents and Settings\adm\Menu Iniciar\Programas\Inicializar
Xfire.lnk - C:\Arquivos de programas\Xfire\Xfire.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-05 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDrives"=0
"NoDriveAutoRun"=67108863

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDrives"=
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"C:\Arquivos de programas\LimeWire\LimeWire.exe"="C:\Arquivos de programas\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Arquivos de programas\Bonjour\mDNSResponder.exe"="C:\Arquivos de programas\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Arquivos de programas\iTunes\iTunes.exe"="C:\Arquivos de programas\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Arquivos de programas\Xfire\xfire.exe"="C:\Arquivos de programas\Xfire\xfire.exe:*:Enabled:Xfire"
"C:\Arquivos de programas\DreaMule\emule.exe"="C:\Arquivos de programas\DreaMule\emule.exe:*:Enabledreamule"
"C:\Documents and Settings\adm\Desktop\emule\eMule.exe"="C:\Documents and Settings\adm\Desktop\emule\eMule.exe:*:Enabled:eMule"
"C:\Arquivos de programas\MorphTX\eMule.exe"="C:\Arquivos de programas\MorphTX\eMule.exe:*:Enabled:eMule"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:EnablednkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:EnablednkBstrB"
"C:\Arquivos de programas\Electronic Arts\EADM\Core.exe"="C:\Arquivos de programas\Electronic Arts\EADM\Core.exe:*:Enabled:EA Download Manager"
"C:\Arquivos de programas\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"="C:\Arquivos de programas\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) "
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"
"C:\Arquivos de programas\MSN Messenger\msnmsgr.exe"="C:\Arquivos de programas\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Arquivos de programas\MSN Messenger\livecall.exe"="C:\Arquivos de programas\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\Arquivos de programas\eMule\emule.exe"="C:\Arquivos de programas\eMule\emule.exe:*:Enabled:eMule"
"C:\Documents and Settings\adm\Meus documentos\Downloads\emule0.49b-Xtreme7.1\emule.exe"="C:\Documents and Settings\adm\Meus documentos\Downloads\emule0.49b-Xtreme7.1\emule.exe:*:Enabled:eMule"
"C:\Documents and Settings\adm\Meus documentos\Downloads\emule\eMule.exe"="C:\Documents and Settings\adm\Meus documentos\Downloads\emule\eMule.exe:*:Enabled:eMule"
"C:\Arquivos de programas\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe"="C:\Arquivos de programas\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe:*:Enabled:Rockstar Games Social Club"
"C:\Arquivos de programas\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe"="C:\Arquivos de programas\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe:*:Enabled:Grand Theft Auto IV"
"C:\Arquivos de programas\Rockstar Games\Grand Theft Auto IV\GTAIV.exe"="C:\Arquivos de programas\Rockstar Games\Grand Theft Auto IV\GTAIV.exe:*:Enabled:Grand Theft Auto IV"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"
"C:\Arquivos de programas\MSN Messenger\msnmsgr.exe"="C:\Arquivos de programas\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Arquivos de programas\MSN Messenger\livecall.exe"="C:\Arquivos de programas\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

======List of files/folders created in the last 1 months======

2009-05-03 00:12:16 ----D---- C:\Arquivos de programas\AdVantage
2009-04-29 18:19:22 ----A---- C:\WINDOWS\system32\xfcodec.dll
2009-04-10 09:15:32 ----A---- C:\WINDOWS\system32\XAudio2_3.dll
2009-04-10 09:15:32 ----A---- C:\WINDOWS\system32\XAPOFX1_2.dll
2009-04-10 09:15:32 ----A---- C:\WINDOWS\system32\D3DX9_40.dll
2009-04-10 09:15:31 ----A---- C:\WINDOWS\system32\X3DAudio1_5.dll
2009-04-10 09:15:29 ----A---- C:\WINDOWS\system32\XAudio2_2.dll
2009-04-10 09:15:29 ----A---- C:\WINDOWS\system32\XAPOFX1_1.dll
2009-04-10 09:15:28 ----A---- C:\WINDOWS\system32\D3DX9_39.dll
2009-04-09 17:03:36 ----D---- C:\Documents and Settings\adm\Dados de aplicativos\Tenderfoot Games

======List of files/folders modified in the last 1 months======

2009-05-06 18:38:29 ----D---- C:\WINDOWS\Prefetch
2009-05-06 18:01:31 ----D---- C:\Arquivos de programas\Arquivos comuns\Symantec Shared
2009-05-06 18:00:00 ----D---- C:\Arquivos de programas\Norton Security Scan
2009-05-06 16:59:07 ----A---- C:\WINDOWS\NeroDigital.ini
2009-05-06 16:45:28 ----D---- C:\WINDOWS\Temp
2009-05-06 13:33:49 ----SD---- C:\WINDOWS\Tasks
2009-05-06 12:52:21 ----D---- C:\Arquivos de programas\DreaMule
2009-05-06 12:44:51 ----D---- C:\Documents and Settings\adm\Dados de aplicativos\Xfire
2009-05-05 23:05:34 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-05-05 12:42:59 ----A---- C:\WINDOWS\system32\PnkBstrB.exe
2009-05-05 11:59:45 ----D---- C:\Arquivos de programas\Xfire
2009-05-04 19:19:13 ----D---- C:\Arquivos de programas\Mozilla Firefox
2009-05-03 22:18:06 ----D---- C:\WINDOWS\system32\CatRoot2
2009-05-03 19:58:55 ----D---- C:\WINDOWS\system32\Macromed
2009-05-03 11:15:20 ----D---- C:\WINDOWS
2009-05-03 04:00:17 ----D---- C:\WINDOWS\system32
2009-05-03 00:12:31 ----HD---- C:\WINDOWS\inf
2009-05-03 00:12:16 ----D---- C:\Arquivos de programas
2009-05-02 21:14:27 ----D---- C:\Arquivos de programas\PokerStars.NET
2009-04-18 14:49:44 ----D---- C:\WINDOWS\system32\Restore
2009-04-15 12:32:45 ----A---- C:\WINDOWS\system32\PnkBstrA.exe
2009-04-14 00:23:27 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Adobe
2009-04-14 00:23:27 ----D---- C:\Documents and Settings\adm\Dados de aplicativos\Adobe
2009-04-10 09:15:58 ----SHD---- C:\WINDOWS\Installer
2009-04-10 09:15:33 ----D---- C:\WINDOWS\system32\DirectX

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2008-11-26 26944]
R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2008-11-26 111184]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2008-11-26 50864]
R1 intelppm;Driver de Processador Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-13 40448]
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-11-26 20560]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2008-11-26 94032]
R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2008-11-26 23152]
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller; C:\WINDOWS\system32\DRIVERS\l151x86.sys [2007-11-01 36864]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2008-04-17 15464]
R3 HDAudBus;Driver de Barramento Microsoft UAA para High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Driver de classe HID da Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-05-20 4800000]
R3 mouhid;Mouse HID Driver; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-10-28 12288]
R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-14 5810]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-02-18 6308224]
R3 pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [2008-12-03 47360]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2 Enabled Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 angplbq7;angplbq7; C:\WINDOWS\system32\drivers\angplbq7.sys []
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 CCDECODE;Closed Caption Decoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 MSTEE;Conversor em T entre locais de fluxo contínuo Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Conexão de TV e vídeo da Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 PnkBstrK;PnkBstrK; \??\C:\WINDOWS\system32\drivers\PnkBstrK.sys []
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 SONYPVU1;Sony USB Filter Driver (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usbccgp;Microsoft USB Generic Parent Driver; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Microsoft USB PRINTER Class; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 USBSTOR;USB Mass Storage Driver; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 usbvideo;Dispositivo de vídeo USB (WDM); C:\WINDOWS\System32\Drivers\usbvideo.sys [2008-04-13 121984]
S3 WSTCODEC;World Standard Teletext Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Apple Mobile Device;Dispositivo Celular da Apple; C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-09-10 116040]
R2 aswUpdSv;avast! iAVS4 Control Service; C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe [2008-11-26 18752]
R2 avast! Antivirus;avast! Antivirus; C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe [2008-11-26 155160]
R2 Bonjour Service;Bonjour Service; C:\Arquivos de programas\Bonjour\mDNSResponder.exe [2008-08-29 238888]
R2 JavaQuickStarterService;Java Quick Starter; C:\Arquivos de programas\Java\jre6\bin\jqs.exe [2009-03-09 152984]
R2 MDM;Machine Debug Manager; C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe [2006-10-26 335872]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-02-18 163908]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2009-04-15 75064]
R2 PnkBstrB;PnkBstrB; C:\WINDOWS\system32\PnkBstrB.exe [2009-05-05 189072]
R3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
R3 iPod Service;iPod Service; C:\Arquivos de programas\iPod\bin\iPodService.exe [2008-09-10 536872]
R3 usnjsvc;Serviço de Compartilhamento de Pastas Messenger do USN Journal Reader; C:\Arquivos de programas\MSN Messenger\usnsvc.exe [2007-01-19 97136]
S3 aspnet_state;Serviço de estado do ASP.NET; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 avast! Mail Scanner;avast! Mail Scanner; C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe [2008-11-26 254040]
S3 avast! Web Scanner;avast! Web Scanner; C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe [2008-11-26 352920]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2008-08-31 654848]
S3 gusvc;Google Updater Service; C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-08-13 138168]
S3 IDriverT;InstallDriver Table Manager; C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-03 69632]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 odserv;Microsoft Office Diagnostics Service; C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 WMPNetworkSvc;Serviço de Compartilhamento de Rede do Windows Media Player; C:\Arquivos de programas\Windows Media Player\WMPNetwk.exe [2006-11-02 914944]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-13 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

O segundo, info.txt:

Spoiler

info.txt logfile of random's system information tool 1.05 2008-12-24 15:56:25

======Uninstall list======

-->C:\Arquivos de programas\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe After Effects CS3 Presets-->MsiExec.exe /I{4B215C29-1A3E-4736-92AA-10C83FA56EB9}
Adobe After Effects CS3-->C:\Arquivos de programas\Arquivos comuns\Adobe\Installers\b7dd24a87e82dcf8af8876fd727b7cf\Setup.exe
Adobe After Effects CS3-->MsiExec.exe /I{8AF3FB06-BDA3-42A3-995C-308812D2F094}
Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
Adobe Color - Photoshop Specific-->MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}
Adobe Color Common Settings-->C:\Arquivos de programas\Arquivos comuns\Adobe\Installers\6c8e2cb4fd241c55406016127a6ab2e\Setup.exe
Adobe Color Common Settings-->MsiExec.exe /I{6D4AC5A4-4CF9-4F90-8111-B9B53CE257BF}
Adobe Default Language CS3-->MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
Adobe ExtendScript Toolkit 2-->C:\Arquivos de programas\Arquivos comuns\Adobe\Installers\3e054d2218e7aa282c2369d939e58ff\Setup.exe
Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{24D7346D-D4B4-45E8-98EA-75EC14B42DD8}
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Fonts All-->MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}
Adobe Help Viewer CS3-->MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245}
Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
Adobe MotionPicture Color Files-->MsiExec.exe /I{6B708481-748A-4EB4-97C1-CD386244FF77}
Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop CS-->RunDll32 C:\ARQUIV~1\ARQUIV~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Arquivos de programas\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\setup.exe" -l0x416
Adobe Premiere Pro CS3 Functional Content-->MsiExec.exe /I{50F102CA-4BE2-41A9-9810-5BB05EB91B9A}
Adobe Premiere Pro CS3 Functional Content-->MsiExec.exe /I{68BD8C67-447D-44FC-8DA9-68D40D002E46}
Adobe Premiere Pro CS3 Preview-->C:\Arquivos de programas\Arquivos comuns\Adobe\Installers\5fc5c4705cf4304a3307aa35297d204\Setup.exe
Adobe Premiere Pro CS3 Preview-->MsiExec.exe /I{BEDCD94D-EB03-4587-9FFB-6AFB669445DF}
Adobe Premiere Pro CS3-->C:\Arquivos de programas\Arquivos comuns\Adobe\Installers\32fdd767b4383606e8168e834af5d90\Setup.exe
Adobe Premiere Pro CS3-->MsiExec.exe /I{58DCEEE5-532E-44F4-B1D7-A146EF9E9FDA}
Adobe Reader 8.1.2 - Português-->MsiExec.exe /I{AC76BA86-7AD7-1046-7B44-A81200000003}
Adobe Setup-->MsiExec.exe /I{2C294A0B-DF22-4023-B168-8C7645B10019}
Adobe Setup-->MsiExec.exe /I{64C1FA9A-FA94-4B6E-B3E4-8573738E4AD1}
Adobe Setup-->MsiExec.exe /I{B3C02EC1-A7B0-4987-9A43-8789426AAA7D}
Adobe Setup-->MsiExec.exe /I{BB81360F-041C-4CF7-B15E-71380D154244}
Adobe Setup-->MsiExec.exe /I{F770C5F1-812A-4147-AB8C-700113387F1F}
Adobe Shockwave Player 11-->C:\WINDOWS\system32\adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe Video Profiles-->MsiExec.exe /I{845A8DB9-8802-4FD3-9FE3-938A6C46A2EC}
Adobe XMP DVA Panels CS3-->MsiExec.exe /I{0224CACC-994D-45F8-B973-D65056EA9C2F}
Adobe XMP Panels CS3-->MsiExec.exe /I{D5A31AB1-345D-47C7-A87B-036A669F6DF1}
Advanced GIF Animator 3.0-->"C:\Arquivos de programas\Advanced GIF Animator\unins000.exe"
Animator version 1.0-->"C:\Arquivos de programas\Animator\unins000.exe"
Apple Mobile Device Support-->MsiExec.exe /I{AA9768AA-FF0B-4C66-A085-31E934F77841}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Arquivo do WinRAR-->C:\Arquivos de programas\WinRAR\uninstall.exe
ASIO4ALL-->C:\Arquivos de programas\ASIO4ALL v2\uninstall.exe
Atheros Communications Inc.(R) L1 Gigabit Ethernet Driver-->RunDll32 C:\ARQUIV~1\ARQUIV~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Arquivos de programas\InstallShield Installation Information\{6E19F210-3813-4002-B561-94D66AA182B6}\Setup.exe" -l0x9 -removeonly
Atualização de Segurança para o Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Atualização de Segurança para o Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Atualização de Segurança para o Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB944338-v2)-->"C:\WINDOWS\$NtUninstallKB944338-v2$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Atualização para Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Atualização para Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Atualização para Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
aTube Catcher 1.0-->"C:\Arquivos de programas\DsNET Corp\aTube Catcher 1.0\unins000.exe"
avast! Antivirus-->C:\Arquivos de programas\Alwil Software\Avast4\aswRunDll.exe "C:\Arquivos de programas\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
AXIS Media Control Embedded-->rundll32 "C:\Arquivos de programas\Axis Communications\AXIS Media Control Embedded\AxisMediaControlEmb.dll",UninstallMe
Barra de Ferramentas do Yahoo! com bloqueador de pop-up-->C:\ARQUIV~1\Yahoo!\Common\unyt.exe
Bonjour-->MsiExec.exe /I{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}
BS.Player ControlBar-->C:\Arquivos de programas\BS.Player ControlBar\uninst.exe
BS.Player FREE-->"C:\Arquivos de programas\Webteh\BSplayer\uninstall.exe"
Call of Duty(R) - World at War(TM)-->C:\Arquivos de programas\InstallShield Installation Information\{D80A6A73-E58A-4673-AFF5-F12D7110661F}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch-->C:\Arquivos de programas\InstallShield Installation Information\{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch-->C:\Arquivos de programas\InstallShield Installation Information\{931C37FC-594D-43A9-B10F-A2F2B1F03498}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Arquivos de programas\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x0409
CCleaner (remove only)-->"C:\Arquivos de programas\CCleaner\uninst.exe"
ClocX (1.5b1)-->"C:\Arquivos de programas\ClocX\Uninstall.exe"
ConvertXtoDVD 3.3.0.96-->"C:\Arquivos de programas\VSO\ConvertX\3\unins000.exe"
DAEMON Tools Toolbar-->C:\Arquivos de programas\DAEMON Tools Toolbar\uninst.exe
Despertador-->C:\WINDOWS\st6unst.exe -n "C:\Arquivos de programas\Despertador\ST6UNST.LOG"
DreaMule 3.2-->"C:\Arquivos de programas\DreaMule\unins000.exe"
DX-Ball 1.09-->C:\ARQUIV~1\DX-Ball\UNWISE.EXE C:\ARQUIV~1\DX-Ball\INSTALL.LOG
DX-Ball 2-->"C:\Arquivos de programas\LDA Games\DX-Ball 2\uninstall-v2.exe"
E.M. Total Video Player 1.31-->"C:\Arquivos de programas\Total Video Player\unins000.exe"
eMule-->"C:\Arquivos de programas\eMule\Uninstall.exe"
eMulev0.49a.-MorphXTv11.0-->"C:\Arquivos de programas\eMule\unins000.exe"
Expstudio Audio Editor FREE-->"C:\WINDOWS\Expstudio Audio Editor FREE Uninstaller.exe"
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
Google Toolbar for Internet Explorer-->MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\arquivos de programas\google\googletoolbar2.dll"
Guitar Pro 5.2-->"C:\Arquivos de programas\Guitar Pro 5\unins000.exe"
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix for Windows XP (KB926239)-->"C:\WINDOWS\$NtUninstallKB926239$\spuninst\spuninst.exe"
Hotfix para o Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix para Windows XP (KB935448)-->"C:\WINDOWS\$NtUninstallKB935448$\spuninst\spuninst.exe"
Hotfix para Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
HP Deskjet 3900 series-->C:\Arquivos de programas\HP\Digital Imaging\{3819891A-030B-4a4e-98ED-B28A649E48AB}\setup\hpzscr01.exe -datfile hpfscr05.dat
HP Imaging Device Functions 5.0-->C:\Arquivos de programas\HP\Digital Imaging\DigitalImagingMonitor\hpzscr01.exe -datfile hpqbud01.dat
HP Software Update-->MsiExec.exe /X{15EE79F4-4ED1-4267-9B0F-351009325D7D}
HP Solution Center & Imaging Support Tools 5.0-->C:\Arquivos de programas\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
iTunes-->MsiExec.exe /I{41B9E2CF-0B3F-442A-B5B3-592A4A355634}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
L&H Power Translator Pro 7.0-->C:\WINDOWS\ISUN0416.EXE -f"C:\Arquivos de programas\LHSP\L&H Power Translator Pro\Uninst.isu" -c"C:\Arquivos de programas\LHSP\L&H Power Translator Pro\Uninstall.dll"
LimeWire 4.18.6-->"C:\Arquivos de programas\LimeWire\uninstall.exe"
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office Access MUI (Portuguese (Brazil)) 2007-->MsiExec.exe /X{90120000-0015-0416-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (Portuguese (Brazil)) 2007-->MsiExec.exe /X{90120000-0016-0416-0000-0000000FF1CE}
Microsoft Office Groove MUI (Portuguese (Brazil)) 2007-->MsiExec.exe /X{90120000-00BA-0416-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (Portuguese (Brazil)) 2007-->MsiExec.exe /X{90120000-0044-0416-0000-0000000FF1CE}
Microsoft Office OneNote MUI (Portuguese (Brazil)) 2007-->MsiExec.exe /X{90120000-00A1-0416-0000-0000000FF1CE}
Microsoft Office Outlook MUI (Portuguese (Brazil)) 2007-->MsiExec.exe /X{90120000-001A-0416-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (Portuguese (Brazil)) 2007-->MsiExec.exe /X{90120000-0018-0416-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (Portuguese (Brazil)) 2007-->MsiExec.exe /X{90120000-001F-0416-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (Portuguese (Brazil)) 2007-->MsiExec.exe /X{90120000-002C-0416-0000-0000000FF1CE}
Microsoft Office Publisher MUI (Portuguese (Brazil)) 2007-->MsiExec.exe /X{90120000-0019-0416-0000-0000000FF1CE}
Microsoft Office Shared MUI (Portuguese (Brazil)) 2007-->MsiExec.exe /X{90120000-006E-0416-0000-0000000FF1CE}
Microsoft Office Word MUI (Portuguese (Brazil)) 2007-->MsiExec.exe /X{90120000-001B-0416-0000-0000000FF1CE}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (2.0)-->C:\Arquivos de programas\Mozilla Firefox\uninstall\uninst.exe
Native Instruments - Rig Kontrol 3 Driver-->C:\Arquivos de programas\Native Instruments\Rig Kontrol 3 Driver\uninst.exe Software\Native Instruments\Rig Kontrol 3 Driver\Setup
Native Instruments Guitar Rig 3-->C:\ARQUIV~1\NATIVE~1\GUITAR~1\UNWISE.EXE C:\ARQUIV~1\NATIVE~1\GUITAR~1\INSTALL.LOG
Native Instruments Service Center-->C:\ARQUIV~1\NATIVE~1\SERVIC~1\UNWISE.EXE C:\ARQUIV~1\NATIVE~1\SERVIC~1\INSTALL.LOG
Nero Suite-->C:\Arquivos de programas\Arquivos comuns\Nero\Uninstall\setupx.exe /uninstall ExtraUninstallID=""
Norton Security Scan (Symantec Corporation)-->"C:\Arquivos de programas\Arquivos comuns\Symantec Shared\NSSSetup\{3FADAA19-E595-44CA-A072-58B6B0851768}_2_0_0\NSSSetup.exe" /X
Norton Security Scan-->MsiExec.exe /X{3FADAA19-E595-44CA-A072-58B6B0851768}
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
Picasa 3-->"C:\Arquivos de programas\Google\Picasa3\Uninstall.exe"
PowerDVD-->RunDll32 C:\ARQUIV~1\ARQUIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Arquivos de programas\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall
QuickTime-->MsiExec.exe /I{8DC42D05-680B-41B0-8878-6C14D24602DB}
RealPlayer-->C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek High Definition Audio Driver-->RunDll32 C:\ARQUIV~1\ARQUIV~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Arquivos de programas\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x416 -removeonly
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
TeamSpeak 2 RC2-->"C:\Arquivos de programas\Teamspeak2_RC2\unins000.exe"
WinAVI Video Converter-->"C:\Arquivos de programas\WinAVI Video Converter\unins000.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Live Messenger-->MsiExec.exe /I{37FD253D-5064-4034-8CEC-CC3995F823A4}
Windows Media Format 11 runtime-->"C:\Arquivos de programas\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Arquivos de programas\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Yahoo! Install Manager-->C:\WINDOWS\system32\regsvr32 /u C:\ARQUIV~1\Yahoo!\Common\YINSTH~1.DLL

======Hosts File======

127.0.0.1 localhost

======Security center information======

AV: avast! antivirus 4.8.1296 [VPS 081127-0] (outdated)

System event log

Computer Name: Y-251B8EBF3A874
Event Code: 7035
Message: O serviço IMAPI CD-Burning COM Service recebeu com êxito um controle Iniciar.

Record Number: 7344
Source Name: Service Control Manager
Time Written: 20081203142024.000000-120
Event Type: Informações
User: AUTORIDADE NT\SYSTEM

Computer Name: Y-251B8EBF3A874
Event Code: 7036
Message: O serviço IMAPI CD-Burning COM Service entrou no estado interrompido.

Record Number: 7343
Source Name: Service Control Manager
Time Written: 20081203142022.000000-120
Event Type: Informações
User:

Computer Name: Y-251B8EBF3A874
Event Code: 7036
Message: O serviço IMAPI CD-Burning COM Service entrou no estado executando.

Record Number: 7342
Source Name: Service Control Manager
Time Written: 20081203142016.000000-120
Event Type: Informações
User:

Computer Name: Y-251B8EBF3A874
Event Code: 7035
Message: O serviço IMAPI CD-Burning COM Service recebeu com êxito um controle Iniciar.

Record Number: 7341
Source Name: Service Control Manager
Time Written: 20081203142016.000000-120
Event Type: Informações
User: AUTORIDADE NT\SYSTEM

Computer Name: Y-251B8EBF3A874
Event Code: 4226
Message: TCP/IP alcançou o limite de segurança imposto sobre o número de tentativas de conexão TCP simultâneas.

Record Number: 7340
Source Name: Tcpip
Time Written: 20081203140814.000000-120
Event Type: aviso
User:

Application event log

Computer Name: Y-251B8EBF3A874
Event Code: 700
Message: MsnMsgr (1640) A desfragmentação on-line está iniciando uma passagem completa no banco de dados '\\.\C:\Documents and Settings\adm\Configurações locais\Dados de aplicativos\Microsoft\Messenger\adopereira@hotmail.com\SharingMetadata\Working\database_6A8C_6D46_8C6D_E3F\dfsr.db'.

Record Number: 4431
Source Name: ESENT
Time Written: 20081128000000.000000-120
Event Type: Informações
User:

Computer Name: Y-251B8EBF3A874
Event Code: 1000
Message: Aplicativo com falha chrome.exe, versão 0.0.0.0, módulo com falha chrome.dll, versão 0.4.154.25, endereço com falha 0x0018c449.

Record Number: 4430
Source Name: Application Error
Time Written: 20081127224829.000000-120
Event Type: Erro
User:

Computer Name: Y-251B8EBF3A874
Event Code: 102
Message: MsnMsgr (1640) \\.\C:\Documents and Settings\adm\Configurações locais\Dados de aplicativos\Microsoft\Messenger\adopereira@hotmail.com\SharingMetadata\Working\database_6A8C_6D46_8C6D_E3F\dfsr.db: O mecanismo de banco de dados iniciou uma nova instância (0).

Record Number: 4429
Source Name: ESENT
Time Written: 20081127224324.000000-120
Event Type: Informações
User:

Computer Name: Y-251B8EBF3A874
Event Code: 100
Message: MsnMsgr (1640) O mecanismo de banco de dados 5.01.2600.2180 foi iniciado.

Record Number: 4428
Source Name: ESENT
Time Written: 20081127224324.000000-120
Event Type: Informações
User:

Computer Name: Y-251B8EBF3A874
Event Code: 101
Message: MsnMsgr (1640) O mecanismo de banco de dados parou.

Record Number: 4427
Source Name: ESENT
Time Written: 20081127224211.000000-120
Event Type: Informações
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Arquivos de programas\QuickTime\QTSystem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Arquivos de programas\Java\jre1.6.0_07\lib\ext\QTJava.zip
"QTJAVA"=C:\Arquivos de programas\Java\jre1.6.0_07\lib\ext\QTJava.zip

-----------------EOF-----------------

Abração! :yes:

 

[XQuest]

Amigo XQuest, recomendo fazer o procedimento com o CFScript.txt sim. Ainda há infecção em seu computador, o CFScript irá terminar a remoção dos mesmos. Se não o fizer, a infecção poderá voltar e o problema com a visualização de arquivos e pastas ocultos também.
A infecção que você teve foi proveniente de seus pendrives, ou seja, o responsável pela infecção em seu computador foi seu pendrive. Por isso pedi que o conectasse a máquina. Se não quiser conectar seus pendrives não há problemas, mas, eles poderão voltar a infectar sua máquina quando conectá-los ao PC novamente.

Apesar de que seu problema principal já foi sanado, é importante terminar os procedimentos que lhe passei amigo XQuest. Mas é você quem decide.

Foi o ComboFix. O HijackThis é importante para sabermos se há infecção no computador, se houver, qual é a infecção e o que fazer para removê-la. Porém, o ComboFix não é um antivirus e não recomendo a utilização dele sem orientação, pois apesar de ser uma excelente ferramenta, se não utilizad-o de forma correta danifica todo o sistema. :thumbs_up

Ok Dr. Wolf, prefiro seguir todas as suas orientações até completar o processo, segui-as e postei abaixo o novo log do ComboFix.
Instalei meus 3 pendrives juntos, um cada porta USB.

Pergunto:
1- qual era (ou é) esse problema ou malware que estava (ou está) infectando o meu micro?
2- depois desse último procedimento que gerou o último log do ComboFix ainda é necessário rodar o HijackThis?
3- além dos pendrives o único dispositivo USB que uso as vezes é minha câmera digital Canon A590is que usa cartões MicroSD, tem alguma necessidade de fazer algum procedimento com ela?

.............

ComboFix 09-05-04.A3 - Administrador 06/05/2009 21:47.2 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2047.1521 [GMT -3:00]
Executando de: c:\documents and settings\Administrador\Desktop\ComboFix.exe
Comandos utilizados :: c:\documents and settings\Administrador\Desktop\CFScript.txt
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated)
FW: COMODO Firewall Pro *disabled*
FW: Outpost Firewall Pro *disabled*
.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-04-07 to 2009-05-07 ))))))))))))))))))))))))))))
.

2009-05-05 16:39 . 2009-05-05 16:39 -------- d-----w c:\windows\system32\oobe
2009-05-05 16:39 . 2009-05-05 16:39 -------- d-----w c:\windows\system32\xircom
2009-05-05 16:39 . 2009-05-05 16:39 -------- d-----w c:\arquivos de programas\microsoft frontpage
2009-05-04 12:38 . 2009-05-04 12:38 -------- d-----w c:\arquivos de programas\BurnAware Free
2009-05-02 04:25 . 2009-05-02 04:36 101287 ----a-w c:\windows\system32\drivers\klin.dat
2009-05-02 04:25 . 2009-05-02 04:36 89601 ----a-w c:\windows\system32\drivers\klick.dat
2009-05-02 04:24 . 2009-05-06 21:48 225824 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-05-02 04:24 . 2009-05-06 21:48 32 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-05-02 04:24 . 2009-05-02 04:24 -------- d-----w c:\arquivos de programas\Kaspersky Lab
2009-05-02 04:21 . 2009-05-02 04:21 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Kaspersky Lab Setup Files
2009-05-01 20:49 . 2009-05-01 20:49 -------- d-----w c:\arquivos de programas\ISO Recorder
2009-05-01 13:01 . 2009-05-06 21:48 384 ----a-w c:\windows\system32\DVCState-{00000002-00000000-00000002-00001102-00000004-20021102}.dat
2009-05-01 13:01 . 2009-05-06 21:48 384 ----a-w c:\windows\system32\DVCStateBkp-{00000002-00000000-00000002-00001102-00000004-20021102}.dat
2009-05-01 13:00 . 2005-08-31 08:11 10624 ----a-w c:\windows\system32\drivers\gameenum.sys
2009-05-01 12:59 . 2009-05-01 12:59 -------- d-----w c:\documents and settings\Administrador\Dados de aplicativos\Creative
2009-05-01 12:58 . 2009-05-01 12:58 -------- d-----w c:\windows\system32\DATA
2009-05-01 12:58 . 2003-10-06 06:48 143360 ----a-w c:\windows\system32\ctdvinst.dll
2009-05-01 12:58 . 2003-10-06 06:48 69632 ----a-w c:\windows\system32\ctcoinst.dll
2009-04-30 23:49 . 2009-04-30 23:49 -------- d-----w c:\arquivos de programas\ASIO4ALL v2
2009-04-30 21:35 . 2009-04-30 21:35 -------- d-----w c:\arquivos de programas\Tropico
2009-04-30 17:00 . 2005-08-31 08:11 21504 ----a-w c:\windows\system32\hidserv.dll
2009-04-30 17:00 . 2005-08-31 08:11 6400 ----a-w c:\windows\system32\drivers\enum1394.sys
2009-04-30 17:00 . 2005-08-31 08:11 61184 ----a-w c:\windows\system32\drivers\ohci1394.sys
2009-04-30 17:00 . 2005-08-31 08:11 53248 ----a-w c:\windows\system32\drivers\1394bus.sys

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-06 21:48 . 2009-05-02 04:24 3892 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-05-06 21:48 . 2009-05-02 04:24 32 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-05-04 15:02 . 2001-10-28 14:07 64830 ----a-w c:\windows\system32\perfc016.dat
2009-05-04 15:02 . 2001-10-28 14:07 418932 ----a-w c:\windows\system32\perfh016.dat
2009-05-02 04:36 . 2008-01-29 20:29 33808 ----a-w c:\windows\system32\drivers\klbg.sys
2009-04-30 21:54 . 2008-08-24 22:43 1744 ----a-w c:\windows\system32\d3d9caps.dat
2008-01-23 20:36 . 2008-01-23 20:36 604 ---ha-w c:\arquivos de programas\STLL Notifier
2008-09-24 11:20 . 2008-06-06 21:13 67696 ----a-w c:\arquivos de programas\mozilla firefox\components\jar50.dll
2008-09-24 11:20 . 2008-06-06 21:13 54376 ----a-w c:\arquivos de programas\mozilla firefox\components\jsd3250.dll
2008-09-24 11:20 . 2008-06-06 21:13 34952 ----a-w c:\arquivos de programas\mozilla firefox\components\myspell.dll
2008-09-24 11:20 . 2008-06-06 21:13 46720 ----a-w c:\arquivos de programas\mozilla firefox\components\spellchk.dll
2008-09-24 11:20 . 2008-06-06 21:13 172144 ----a-w c:\arquivos de programas\mozilla firefox\components\xpinstal.dll
.

------- Sigcheck -------

[-] 2005-08-31 05:24 1548288 9DD429359FE067BA52D00C0DBB9537EE c:\windows\system32\sfcfiles.dll
[-] 2008-04-14 02:20 1571840 698F9583D1EB213B09F12DD5826A46E2 c:\windows\SoftwareDistribution\Download\ab328c51d3f122e9b4346fc25ad3082e\sfcfiles.dll
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"msnmsgr"="c:\arquivos de programas\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 36975]
"PRONoMgr.exe"="c:\arquivos de programas\Intel\NCS\PROSet\PRONoMgr.exe" [2003-03-11 86016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"AVP"="c:\arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-05-02 206088]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CTHELPER.EXE [2003-10-06 24576]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
"MsnMsgr"="c:\arquivos de programas\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-03 44544]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\
WinKey.lnk - c:\arquivos de programas\WinKey\WinKey.exe [2007-2-16 99840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{E37CB5F0-51F5-4395-A808-5FA49E399008}"= "c:\windows\Downloaded Program Files\gbiehuni.dll" [2007-03-06 222376]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\arquivos de programas\SUPERAntiSpyware\SASSEH.DLL" [2008-06-28 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-08-29 00:41 352256 ----a-w c:\arquivos de programas\SUPERAntiSpyware\SASWINLO.DLL

[HKLM\~\startupfolder\C:^Documents and Settings^Administrador^Menu Iniciar^Programas^Inicializar^Inicialização do Office.lnk]
path=c:\documents and settings\Administrador\Menu Iniciar\Programas\Inicializar\Inicialização do Office.lnk
backup=c:\windows\pss\Inicialização do Office.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Speed Launch.lnk]
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^HP Digital Imaging Monitor.lnk]
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Remote Controller.lnk]
backup=c:\windows\pss\Remote Controller.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^TVSCHL.lnk]
backup=c:\windows\pss\TVSCHL.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Arquivos de programas\\Soulseek\\slsk.exe"=
"c:\\Arquivos de programas\\Stealther\\stealth27.exe"=
"c:\\Arquivos de programas\\Corel\\Graphics10\\Register\\NAVBrowser.exe"=
"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"14639:TCP"= 14639:TCP:BitComet 14639 TCP
"14639:UDP"= 14639:UDP:BitComet 14639 UDP

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29/1/2008 17:29 33808]
R1 SASDIFSV;SASDIFSV;c:\arquivos de programas\SUPERAntiSpyware\SASDIFSV.SYS [10/10/2006 12:53 8944]
R1 SASKUTIL;SASKUTIL;c:\arquivos de programas\SUPERAntiSpyware\SASKUTIL.SYS [9/1/2007 14:09 55024]
R2 BT848;BtCap, WDM Video Capture;c:\windows\system32\drivers\BT848.SYS [28/2/2007 21:56 291648]
R2 BTTUNER;BtTuner, WDM TV Tuner;c:\windows\system32\drivers\Bttuner.sys [28/2/2007 21:56 21824]
R2 BTXBAR;BtXBar, WDM Crossbar;c:\windows\system32\drivers\Btxbar.sys [28/2/2007 21:56 12796]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30/4/2008 17:06 24592]
S2 GbpSv;Gbp Service;c:\arquivos de programas\GbPlugin\GbpSv.exe [15/4/2007 20:59 39936]
S3 AVPsys;AVPsys;\??\c:\windows\system32\drivers\cdaudio.sys --> c:\windows\system32\drivers\cdaudio.sys [?]
S3 SASENUM;SASENUM;c:\arquivos de programas\SUPERAntiSpyware\SASENUM.SYS [16/2/2006 16:51 4096]
S3 scrcap;scrcap;c:\windows\system32\DRIVERS\scrcap.sys --> c:\windows\system32\DRIVERS\scrcap.sys [?]
S3 VELASCO;VELASCO;c:\windows\system32\VELASCO.SYS [23/6/2003 07:51 24064]
S3 x400mp;Xpeed 400 ADSL PCI Adapter Driver;c:\windows\system32\DRIVERS\x400mp.sys --> c:\windows\system32\DRIVERS\x400mp.sys [?]
.
.
------- Scan Suplementar -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = about:blank
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} - hxxps://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab
FF - ProfilePath - c:\documents and settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\uga3gyni.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.uol.com.br/
FF - component: c:\arquivos de programas\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\documents and settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\uga3gyni.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E8873}\components\GbMzhUni.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-06 21:49
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTHelper = CTHELPER.EXE?

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(816)
c:\arquivos de programas\SUPERAntiSpyware\SASWINLO.DLL
c:\windows\Downloaded Program Files\gbiehuni.dll

- - - - - - - > 'explorer.exe'(2000)
c:\windows\system32\msi.dll
c:\arquivos de programas\Scpad\scpLIB.dll
c:\arquivos de programas\Scpad\scpMIB.dll
c:\arquivos de programas\Scpad\sshib.dll
.
Tempo para conclusão: 2009-05-07 21:51
ComboFix-quarantined-files.txt 2009-05-07 00:51

Pré-execução: 4.993.777.664 bytes disponíveis
Pós execução: 5.002.788.864 bytes disponíveis

176 --- E O F --- 2008-09-11 18:02

 

[JulianoT]

Mr. Wolf
Vou seguir a sua dica
Aqui mue log do Hijack (espero que esteja limpo)
Abraço =)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:22:11 AM, on 5/7/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1241241893078
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A47C57C-38A2-4CD4-9323-0C33746FB725}: NameServer = 200.175.89.139,200.175.182.139
O17 - HKLM\System\CS1\Services\Tcpip\..\{4A47C57C-38A2-4CD4-9323-0C33746FB725}: NameServer = 200.175.89.139,200.175.182.139
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5250 bytes

 

[Mr.Wolf]

luisednardo, desative este arquivo abaixo no msconfig e verifique se a pasta Meus Documentos continuará abrindo na inicialização:

[EXPLORER.EXE] EXPLORER.EXE

Quanto ao log do HijackThis, está limpo. Delete a pasta C:\LinhaDefensiva e faça uma limpeza dos arquivos temporários.

OBS: Se a máquina é de algum cliente seu, diga-o que troque todas as senhas dele.


____________________________________


_Ado_, há um adware em seu log do RSIT (o AdVantage). Este programa é totalmente inseguro, se foi você quem o instalou, recomendo sua desinstalação imediatamente. Como ele não está em Adicionar ou Remover Programas, delete a pasta dele em: C:\Arquivos de programas\Advantage. Caso não consiga excluí-la, entre dentro da pasta e dê um duplo clique no arquivo AdVUninst.exe. Conseguindo ou não excluir o programa, siga a instrução abaixo:

Spoiler

- Faça o download do Malwarebytes Anti-Malware e salve-o no desktop;

● Dê dois cliques no programa para iniciar a instalação. Selecione o idioma Português (Brasil);
● Ao final da instalação, marque as opções "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em Concluir;
● Após a instalação execute o programa;
● Marque a opção Verificação Completa e depois clique em Verificar. Selecione sua unidade C: e clique no botão Iniciar Verificação;
● Quando o scan terminar, clique em OK e o log será automaticamente aberto para você;
● Se algo for detectado, verifique se todos os itens estão marcados e clique no botão Remover.
OBS: Caso apareça uma mensagem pedindo para que você reinicie o computador para completar o processo de remoção, reinicie-o imediatamente;
● O log pode ser consultado clicando em Logs do menu principal também;

Copie e cole o conteúdo desse log na sua próxima resposta, juntamente com um novo log do HijackThis.

___________________________________


Amigo XQuest, seu log está limpo agora

Vá em Iniciar > Executar, digite combofix /u e dê um OK para remover a ferramenta do PC. Algum problema em que eu posso lhe ajudar ainda XQuest?

Respondendo suas perguntas:

1- qual era (ou é) esse problema ou malware que estava (ou está) infectando o meu micro?

Felizmente o vírus não está mais em seu PC

É um vírus conhecido como Worm. Vírus que se espalha em rede e contamina dispositivos removíveis - Famoso vírus de pendrive. Aliás, um worm conhecido atualmente também é o Conficker (creio que já deve ter ouvido falar desta praga). Para evitar este tipo de contaminação, recomendo desativar o AutoRun do Windows amigo XQuest. Caso não saiba como fazer, há diversas maneiras. Porém, a própria Microsoft lançou uma atualização que desativa este recurso do Windows automaticamente, a qual eu recomendo instalar:

http://www.microsoft.com/downloads/...FamilyID=c7dbcde3-7814-47c5-849e-e64ecfb35d74

2- depois desse último procedimento que gerou o último log do ComboFix ainda é necessário rodar o HijackThis?

Não será preciso.

3- além dos pendrives o único dispositivo USB que uso as vezes é minha câmera digital Canon A590is que usa cartões MicroSD, tem alguma necessidade de fazer algum procedimento com ela?

Não há necessidade. Pois pelo log do ComboFix, vi que as entradas afetadas foram apenas as dos seus pendrives.

Quaisquer dúvidas ou outras perguntas que queira fazer, fique a vontade amigo XQuest.


___________________________________


Amigo JulianoT, seu log está limpo.

Algum problema ainda Juliano?

 

[Mr.Wolf]

Alguém sabe, se o Kaspersky 2009 Beta, esta funcionando normalmente no "Windows 7 RC 7100" ?

Instalei o Windows 7 aqui, e só falta o Kav para funcionar. Tenho que ver também se a minha cdley original do Kav 7 irá funcionar nesta.

Olá Sub, como vai?

Sub, por falta de tempo, não pude testar ainda os softwares antivirus no Windows 7 RC 7100 para lhe confirmar isso. Porém, um conhecido meu instalou o Kaspersky 2009 Beta no Windows 7 RC 7100 dele e disse que está funcionando normal sim.
Uma coisa que eu sei é que o Kaspersky Internet Security 2010 Beta está dando blue screen na instalação com dump no Windows 7 RC 7100.

Quanto a sua CD Key original do KAV7 funcionar na nova versão Beta 2009, acho eu que sim Sub. Falando nisso, a McAfee está bloqueando CD Keys originais de versões antigas do produto em versões novas. Torça para a Kaspersky não adotar esta medida também, rsrs.

 

[luisednardo]

luisednardo, desative este arquivo abaixo no msconfig e verifique se a pasta Meus Documentos continuará abrindo na inicialização:

[EXPLORER.EXE] EXPLORER.EXE

Quanto ao log do HijackThis, está limpo. Delete a pasta C:\LinhaDefensiva e faça uma limpeza dos arquivos temporários.

OBS: Se a máquina é de algum cliente seu, diga-o que troque todas as senhas dele.

Mais um caso resolvido!
Muitíssimo Obrigado Mr Wolf!
Abração e até a próxima!

 

[sonny]

Olá Sub, como vai?

Sub, por falta de tempo, não pude testar ainda os softwares antivirus no Windows 7 RC 7100 para lhe confirmar isso. Porém, um conhecido meu instalou o Kaspersky 2009 Beta no Windows 7 RC 7100 dele e disse que está funcionando normal sim.
Uma coisa que eu sei é que o Kaspersky Internet Security 2010 Beta está dando blue screen na instalação com dump no Windows 7 RC 7100.

Quanto a sua CD Key original do KAV7 funcionar na nova versão Beta 2009, acho eu que sim Sub. Falando nisso, a McAfee está bloqueando CD Keys originais de versões antigas do produto em versões novas. Torça para a Kaspersky não adotar esta medida também, rsrs.

Opa, e ai Mr.Wolf. Aqui esta tudo bem

Pois é, essa é uma dúvida no tanto quanto complicada, porque lembra que eu disse que o Kaspersky 2009 deixava o sistema lerdo demais? por isso eu estou com medo de instalar ele aqui no Windows 7 que é meu sistema principal no momento.

Se pelo menos der para usar ele desabilitado e usar só quando precisar ( passar scan ) pra mim tudo bem, pelo menos de uma forma da até para usar. Mas, se mesmo assim ficar pesado, dai é sacanagem haha.

Eu não sabia dessa do McAfee, tomara que não aconteça isso com o Kaspersky, seria uma sacanagem, ainda mais agora que não da mais para usar a versão 7 no Windows 7.

Valeu Mr.Wolf pela sua resposta e atenção.

 

[XQuest]

Amigo XQuest, seu log está limpo agora

Vá em Iniciar > Executar, digite combofix /u e dê um OK para remover a ferramenta do PC. Algum problema em que eu posso lhe ajudar ainda XQuest?

Respondendo suas perguntas:


Felizmente o vírus não está mais em seu PC

É um vírus conhecido como Worm. Vírus que se espalha em rede e contamina dispositivos removíveis - Famoso vírus de pendrive. Aliás, um worm conhecido atualmente também é o Conficker (creio que já deve ter ouvido falar desta praga). Para evitar este tipo de contaminação, recomendo desativar o AutoRun do Windows amigo XQuest. Caso não saiba como fazer, há diversas maneiras. Porém, a própria Microsoft lançou uma atualização que desativa este recurso do Windows automaticamente, a qual eu recomendo instalar:

http://www.microsoft.com/downloads/...FamilyID=c7dbcde3-7814-47c5-849e-e64ecfb35d74

Quaisquer dúvidas ou outras perguntas que queira fazer, fique a vontade amigo XQuest.

Grande Dr. Wolf, obrigadão meu amigo.
Sem querer abusar da tua boa vontade, mas já abusando...rsrsrs... tenho essas perguntas finais:

1- posso deixar esse ComboFix guardado em outra pasta para uma emergência futura?

2- tenho várias pastas FOUND.001, FOUND.002, FOUND.003 ... na raiz de C: algumas com nada dentro, outras bem velhas, dos anos 2007 e 2008 até, posso apagar elas?

3- E também na raiz de C: vários arquivos com a extensão sqm, posso apagar também?

4- na pasta System Volume Information, que apareceu depois que estava escondida, quando entrei nas subpastas do volume D o Kasperky acusou vários executáveis que começam por A0******.exe que continham umas pragas neles (Trojan.Win32.Krepper.y / Trojan.Win32.StarPage / Trojan.Win32.KillFiles / e vários AdWares), posso apagar tudo também?

5- qual é o processo normal de desligar o Autorun? ou seja, como se desativa o Autorun sem recorrer a aquela ferramenta da Microsoft?

6- existe alguma forma de proteger os meus pendrives? até mesmo para me garantir de não pegar nada futuramente quando eu for num computador de um amigo e conectar o pendrive no dele?

7- quero instalar um firewall de novo, mas antes como devo fazer para tirar os traços dos antigos Comodo e Outpost que ficaram no meu sistema?

Obrigadão por tudo, e nota 10 pra você, é raro encontrar uma pessoa tão competente e atenciosa que dê as exatas soluções que a gente precisa. E me desculpe se fiz perguntas demais.
Um forte abraço ao amigo.
XQuest

 

[landeis]

um tal de PHISH/Bradesco

Boa tarde pessoal,

Meu computador começou a aparecer um vírus, instalei o Avira e ele detectou um tal de PHISH/Brandesco.

Entrei neste tópico, fiz o que o mestre mandou lá no início e segue a log que o programinha deu.

Alguem pode me ajudar ?
Obrigado desde já, e nota 100000 pelo forum.


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File move failed. C:\WINDOWS\system32\drivers\secdrv.sys scheduled to be moved on reboot.
========== COMMANDS ==========
File delete failed. C:\Users\Rudney\AppData\Local\Temp\etilqs_KeDio4J85fNn9Tc4E9io scheduled to be deleted on reboot.
File delete failed. C:\Users\Rudney\AppData\Local\Temp\etilqs_lTVAL7ogGoI1qMqs4Gxk scheduled to be deleted on reboot.
File delete failed. C:\Users\Rudney\AppData\Local\Temp\etilqs_lTVAL7ogGoI1qMqs4Gxk-journal scheduled to be deleted on reboot.
File delete failed. C:\Users\Rudney\AppData\Local\Temp\ExchangePerflog_8484fa312079825bcfcccd43.dat scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Users\Rudney\AppData\Local\Mozilla\Firefox\Profiles\ul5p4pry.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Users\Rudney\AppData\Local\Mozilla\Firefox\Profiles\ul5p4pry.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Users\Rudney\AppData\Local\Mozilla\Firefox\Profiles\ul5p4pry.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Users\Rudney\AppData\Local\Mozilla\Firefox\Profiles\ul5p4pry.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Users\Rudney\AppData\Local\Mozilla\Firefox\Profiles\ul5p4pry.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Users\Rudney\AppData\Local\Mozilla\Firefox\Profiles\ul5p4pry.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05072009_135700

Files moved on Reboot...
File move failed. C:\WINDOWS\system32\drivers\secdrv.sys scheduled to be moved on reboot.
File C:\Users\Rudney\AppData\Local\Temp\etilqs_KeDio4J85fNn9Tc4E9io not found!
File move failed. C:\Users\Rudney\AppData\Local\Temp\etilqs_lTVAL7ogGoI1qMqs4Gxk scheduled to be moved on reboot.
File move failed. C:\Users\Rudney\AppData\Local\Temp\etilqs_lTVAL7ogGoI1qMqs4Gxk-journal scheduled to be moved on reboot.
File move failed. C:\Users\Rudney\AppData\Local\Temp\ExchangePerflog_8484fa312079825bcfcccd43.dat scheduled to be moved on reboot.
C:\Users\Rudney\AppData\Local\Mozilla\Firefox\Profiles\ul5p4pry.default\Cache\_CACHE_001_ moved successfully.
C:\Users\Rudney\AppData\Local\Mozilla\Firefox\Profiles\ul5p4pry.default\Cache\_CACHE_002_ moved successfully.
C:\Users\Rudney\AppData\Local\Mozilla\Firefox\Profiles\ul5p4pry.default\Cache\_CACHE_003_ moved successfully.
C:\Users\Rudney\AppData\Local\Mozilla\Firefox\Profiles\ul5p4pry.default\Cache\_CACHE_MAP_ moved successfully.
C:\Users\Rudney\AppData\Local\Mozilla\Firefox\Profiles\ul5p4pry.default\urlclassifier3.sqlite moved successfully.
C:\Users\Rudney\AppData\Local\Mozilla\Firefox\Profiles\ul5p4pry.default\XUL.mfl moved successfully.

 

[Mr.Wolf]

Olá pessoal, boa tarde!


landeis, seja bem vindo ao fórum. Amigo não copie instruções de outros casos. Cada caso é um caso. Principalmente porque você utilizou uma ferramenta poderosa como o OTMoveIt3 e usou um script feito para outro usuário, os scripts não são iguais, o script é um preparo especial e pessoal para o caso que esteja sendo tratado.

Peço que, por favor, poste um log do HijackThis aqui landeis.


__________________________________________



Amigo XQuest, não é abuso nenhum perguntar, fique a vontade. Vamos as questões então:

1- posso deixar esse ComboFix guardado em outra pasta para uma emergência futura?

Olha XQuest, não só eu mas como o próprio criador do ComboFix (sUBs, pois trabalho com ele) e outros peritos de segurança, não recomendamos a utilização desta ferramenta como um "antivirus" digamos assim, e sem conhecimento. Pois como eu disse anteriormente, ao mesmo tempo que ele é ótimo, pode ser péssimo acabando literalmente com seu sistema. O ComboFix nunca remove a infecção sozinho, sempre necessita da criação de seu scripts para o término da remoção, e se não o fizer, não adiantará nada ter rodado a ferramenta, pois a infecção retornará a máquina em poucos dias.

Mas, logicamente, não proibimos ninguém de utilizar, apenas damos o alerta do que pode acontecer. Porém, se quer manter o ComboFix sempre em uso, não pode guardá-lo numa pasta não amigo XQuest. O ComboFix recebe atualização em seu próprio executável, ou seja, a ferramenta não usa atualização incremental (como os antivirus). Por isso ao executá-lo é importante baixar a versão mais recente para garantir a remoção de infecções novas. Portanto, quando terminar o uso do ComboFix exclua-o. Caso necessite para uma emergência futura, como você disse, basta baixá-lo novamente e rodá-lo.

2- tenho várias pastas FOUND.001, FOUND.002, FOUND.003 ... na raiz de C: algumas com nada dentro, outras bem velhas, dos anos 2007 e 2008 até, posso apagar elas?

Estranho estas pastas não terem aparecido em seu log do ComboFix, XQuest. Estas pastas, apesar de não afetarem o sistema em si, são maliciosas. Você deve excluir sim, todas estas pastas FOUND.

Uma pergunta: Estas pastas foram criadas quando? Antes ou depois de rodar o ComboFix? Pois deveriam ter sido mostradas no log.

3- E também na raiz de C: vários arquivos com a extensão sqm, posso apagar também?

Pode excluí-los sim, tranquilamente. Os arquivo sqm (Software Quality Metrics) são gerados pelo programa de Aperfeiçoamento da Experiência do Usuário do Windows Live Messenger. Quando este programa de aperfeiçoamento fica ativado ele começa a gerar estes arquivos sqm na raiz de seu OS. Portanto, pode excluí-los, e, para fazer com que estes arquivos não sejam mais criados, basta fazer o seguinte procedimento:

Faça login em seu Live Messenger e clique em Ferramentas > Opções > Geral > Aprimoramento de Qualidade. Desmarque a opção: “Permitir que a Microsoft colete informações anônimas sobre como eu utilizo o Windows Live Messenger” > OK. Logo em seguida, voltando a janela inicial de seu MSN, clique no menu Ajuda > Programa de Aperfeiçoamento da Experiência do Usuário. Marque a opção: “Não desejo participar imediatamente” > OK.

Reinicie seu MSN.

4- na pasta System Volume Information, que apareceu depois que estava escondida, quando entrei nas subpastas do volume D o Kasperky acusou vários executáveis que começam por A0******.exe que continham umas pragas neles (Trojan.Win32.Krepper.y / Trojan.Win32.StarPage / Trojan.Win32.KillFiles / e vários AdWares), posso apagar tudo também?

A pasta System Volume Information é da Restauração do Sistema. Por default do OS, muitos vírus são copiados para esta pasta como uma forma de "desativá-los". Para excluir um vírus desta pasta basta desativar e ativar a restauração. Para isso prossiga da seguinte maneira:

Vá em Iniciar > Executar, digite sysdm.cpl e dê um OK. Clique na aba Restauração do Sistema e marque a opção "Desativar restauração do sistema" > OK. Logo após, volte neste local e desmarque esta opção.

OBS: Só ressaltando que o arquivo Trojan.Win32.KillFiles encontrado na System Volume Information pelo seu Kaspersky, não é vírus legítmo. É o arquivo do ComboFix. Como possui scripts, os antivirus identificam-no como vírus e geram o alerta. Já os outros arquivos identificados são realmente vírus mesmo, porém, estão desativados e já foram removidos da máquina. Basta desativar e ativar a restauração para limpar a pasta.

5- qual é o processo normal de desligar o Autorun? ou seja, como se desativa o Autorun sem recorrer a aquela ferramenta da Microsoft?

Existem vários programas que fazem isso como o AutoPlayConfig por exemplo, e modos manuais. Como os programas possuem o memso efeito do modo manual, vamos fazer pelo modo manual: Vá em Iniciar > Executar, digite gpedit.msc e dê um OK. No diretivas de grupo, caminhe nas seguintes chaves: Configuração do Computador > Modelos Administrativos > Clique sobre Sistema. Ao lado direito do painel, dê um duplo clique em Desativar AutoExecutar. Coloque a opção Ativado e logo abaixo selecione "Todas as unidades" > OK.

Se mesmo depois disso quiser utilizar o AutoPlayConfig para dar uma conferida, pode. :thumbs_up

6- existe alguma forma de proteger os meus pendrives? até mesmo para me garantir de não pegar nada futuramente quando eu for num computador de um amigo e conectar o pendrive no dele?

Existem programas que fazem sim este tipo de proteção, porém, não é 100% garantido, ou seja, dependendo do tipo de infecção, os programas não são capazes de pará-lo. Mas os programas são bastante eficazes. Abaixo há uma relação dos melhores programas para isso:

USB Firewall
USB WriteProtector
Panda USB Vaccine

7- quero instalar um firewall de novo, mas antes como devo fazer para tirar os traços dos antigos Comodo e Outpost que ficaram no meu sistema?

Imagino que o Comodo não deve ter se dado bem com seu Kaspersky aí, pois eles são incompatíveis. Quanto aos rastros deles, em seus logs não constam que eles estão sendo executados amigo XQuest, nem no painel de serviços nem nada. Eu perguntei aquele dia se utilizava os dois, pois nos logs apenas constam os nomes deles como desativados.

Verifique uma coisa para mim, só para me esclarecer: Vá em Painel de Controle > Central de Segurança. Veja se a opção "Firewall" está como Ativado. Se sim, veja qual dos dois é o que está permanecendo. Depois me diga.

Qualquer dúvida ou pergunta que queira fazer ainda, fique a vontade XQuest