Remoção de vírus

[Pedrinn]

Boa tarde Mr ...
Depois do processo do Remove Tool o computador melhorou muito !
Desativei a Restauraçao do Sistema sim !

Foi fazer o que vc pediu ja posto o LOG !

 

[Pedrinn]

Pronto,acabou o Verificaçao no Malwarebytes ...
Aqui esta o Log :

Spoiler

Malwarebytes' Anti-Malware 1.36
Versão do banco de dados: 2171
Windows 5.1.2600 Service Pack 3

23/5/2009 16:25:15
mbam-log-2009-05-23 (16-25-15).txt

Tipo de Verificação: Completa (C:\|)
Objetos verificados: 132561
Tempo decorrido: 31 minute(s), 16 second(s)

Processos da Memória infectados: 0
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 0
Valores do Registro infectados: 0
Ítens do Registro infectados: 0
Pastas infectadas: 0
Arquivos infectados: 0

Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)

Chaves do Registro infectadas:
(Nenhum ítem malicioso foi detectado)

Valores do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Ítens do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Pastas infectadas:
(Nenhum ítem malicioso foi detectado)

Arquivos infectados:
(Nenhum ítem malicioso foi detectado)

 

[Mr.Wolf]

Pedrinn

- Faça o download do AVZ4 e salve-o no desktop;

- Extraia os arquivos do WinZip para o desktop, onde será criada uma pasta chamada avz4 no mesmo local;
- Entre nesta pasta e dê um duplo clique sobre o arquivo AVZ.exe para rodar a ferramenta;
- Ao abrir a janela do programa, clique no menu File > Database Update. Ou clique no botão

no canto direito do painel da ferramenta, e clique no botão Start para atualizar a ferramenta;
- Clique no menu File > Standard scripts e marque a opção "2. Advanced System Analysis";
- Clique então no botão Execute selected scripts e clique em Yes na próxima mensagem. Aguarde a análise;
- Quando a análise terminar, clique em OK na mensagem. Voltando à janela Standard scripts, clique em Close para fechá-la. E feche também a janela do AVZ4;
- Vá até a pasta avz4 no desktop, e abra a pasta LOG que está dentro dela;
- Nesta estará os logs e uma pasta zipada denominada: virusinfo_syscheck.zip.

Anexe esta pasta em sua próxima resposta.

 

[Pedrinn]

Mr.Wolf !!!
Segue a pasta aqui
Ver anexo virusinfo_syscheck.zip

 

[Mr.Wolf]

Pedrinn

- Desative o Avast temporariamente e feche todas as janelas abertas.
- Dê um duplo clique em AVZ.exe para executar novamente a ferramenta.
- Clique no menu File > Custom Scripts.
- Copie este texto abaixo e cole na janela em branco da ferramenta:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('FXDrv32', 4);
StopService('FXDrv32');
DeleteService('FXDrv32');
DeleteFile('E:\FXDrv32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DisableSvc('FXDrv32');
BC_DeleteSvc('FXDrv32');
BC_DeleteFile('E:\FXDrv32.sys');
BC_Activate;
RebootWindows(true);
end.

- Clique no botão Run e aguarde seu PC ser reiniciado automaticamente.
- Após o computador iniciar novamente, faça o mesmo procedimento que passei anteriormente para gerar um log do AVZ4 e anexe a pasta aqui.

- Execute o AVZ.exe;
- Clique no menu File > Standard scripts e marque a opção "2. Advanced System Analysis";
- Clique então no botão Execute selected scripts e clique em Yes na próxima mensagem. Aguarde a análise;
- Quando a análise terminar, clique em OK na mensagem. Voltando à janela Standard scripts, clique em Close para fechá-la. E feche também a janela do AVZ4;
- Vá até a pasta avz4 no desktop, e abra a pasta LOG que está dentro dela;
- Nesta estará os logs e uma pasta zipada denominada: virusinfo_syscheck.zip.

Anexe esta pasta em sua próxima resposta.

 

[вяυиασ 1988]

Olá pessoal, boa tarde!


вяυиασ 1988, seu log apresenta cinco entradas indeterminadas que teremos que verificá-las. Siga a instrução do spoiler abaixo вяυиασ 1988 (basta clicar em Mostrar):

Spoiler

Baixe o Autoruns e salve-o no desktop;

- Extraia os arquivos do zip no desktop. Clique com o botão direito no arquivo autorunsc.exe, selecione Executar como Administrador e clique em Agree;
- Logo em seguida, execute o arquivo autoruns.exe e aguarde a verificação inicial;
- Clique no menu Options e marque as seguintes opções: Include Empty Locations, Hide Windows Entries e Verify Code Signatures;
- Tecle F5 e miniminize e clique no menu File > Save. Salve o arquivo com a extensão .txt em seu desktop.

Poste o conteúdo deste log em sua próxima resposta вяυиασ 1988.

_______________________________________

Aew Mr wolf eu consegui abrir os 2 programas msm com blue screen......
Tipo quando fui extrair ja deu blue screen,executei os 2 programas e deu blue screen nos 2...
Dai quando fiz tudo e fui salvar deu blue screen denovo e nao salvou nada agora.....
O q faço??

Vlws

 

[Pedrinn]

Pronto !!!
Aqui esta a pasta novamente
Ver anexo virusinfo_syscheck.zip


Aguardo proximo passo !

 

[Mr.Wolf]

Aew Mr wolf eu consegui abrir os 2 programas msm com blue screen......
Tipo quando fui extrair ja deu blue screen,executei os 2 programas e deu blue screen nos 2...
Dai quando fiz tudo e fui salvar deu blue screen denovo e nao salvou nada agora.....
O q faço??

Vlws

вяυиασ 1988, reinicie seu computador em Modo de Segurança e tente executar os procedimentos que lhe passei.

Veja então se consegue.

 

[Mr.Wolf]

Pronto !!!
Aqui esta a pasta novamente
Ver anexo 117943


Aguardo proximo passo !

Ótimo resultado Pedrinn!

- Com o navegador Internet Explorer, acesse o site abaixo e clique no botão "ESET Online Scanner":

http://www.eset.com/onlinescan/index.php.

- Na janela que será aberta, baixe o arquivo esetsmartinstaller_enu.exe necessário e instale-o.
- Após isto, vá seguinte as instruções que forem aparecendo para você na tela para prosseguir com o scan.
- Ao término do scan, clique na aba Details para ver os arquivos foram desinfectados.
- Um log será gerado em C:\Arquivos de programas\EsetOnlineScanner\log.

Cole este log do ESET Online Scanner em sua próxima resposta Pedrinn.

 

[Pedrinn]

Mr ...
Nao consegui achar aonde fica este arquivo para baixar ...

 

[Mr.Wolf]

Mr ...
Nao consegui achar aonde fica este arquivo para baixar ...

Ok, então no seu caso não será necessário instalar o arquivo. Provavelmente seu PC já possui o arquivo necessário.

- Marque a caixa "Yes, I accept the terms of use" e clique no botão Start.
- Feito isso, na proxima janela clique com o botão direito sobre a caixinha e selecione Instalar controle activeX.
- Aguarde o Aviso de segurança e clique em Instalar.
- Na proxima pagina, clique em Start e aguarde!
- Marque as duas caixinhas e clique em Scan. Aguarde o término do scan.

Poste o log em sua próxima resposta.

 

[вяυиασ 1988]

вяυиασ 1988, reinicie seu computador em Modo de Segurança e tente executar os procedimentos que lhe passei.

Veja então se consegue.

Nem em modo de segurança o pc ta entrando....
Tipo eu vo lah naquele menuzinho pra escolher modo seguro,ultima configuraçao valida e tal ta ligado???
Clico em modo seguro e nao acontece nada,o bixao nem sai do lugar....
E agora??? tentei 3 vezes e da a msma coisa,num funfa.....
Cara nem tinha visto isso pq nao entro mto em modo de segurança,agora q eu to vendo q o pc ta baleado msm,nem modo de segurança ele ta indo.... :ranting3:

 

[Mr.Wolf]

Nem em modo de segurança o pc ta entrando....
Tipo eu vo lah naquele menuzinho pra escolher modo seguro,ultima configuraçao valida e tal ta ligado???
Clico em modo seguro e nao acontece nada,o bixao nem sai do lugar....
E agora??? tentei 3 vezes e da a msma coisa,num funfa.....
Cara nem tinha visto isso pq nao entro mto em modo de segurança,agora q eu to vendo q o pc ta baleado msm,nem modo de segurança ele ta indo.... :ranting3:

É... Com certeza há vírus em seu computador, вяυиασ 1988.

Não conseguir acessar ao modo seguro é, na maioria dos casos, um típico sintamo causado por vírus. Tente isto abaixo вяυиασ:

Faça o download do SafeBootKeyRepair e salve no desktop;

- Clique com o botão direito sobre o arquivo e selecione Executar como administrador;
- Quando a ferramenta terminar, gerará um log C:\SafeBoot_Repair.txt;
- Na sua próxima resposta cole o conteúdo desse log, juntamente com um novo log do HijackThis.
- Veja então se já consegue entrar em Modo Seguro.

Caso consiga, abra seus programas e veja se ocorre o mesmo problema com a blue screen.

Pergunta: Seu Windows Vista é 64 bits?

 

[вяυиασ 1988]

É... Com certeza há vírus em seu computador, вяυиασ 1988.

Não conseguir acessar ao modo seguro é, na maioria dos casos, um típico sintamo causado por vírus. Tente isto abaixo вяυиασ:

Faça o download do SafeBootKeyRepair e salve no desktop;

- Clique com o botão direito sobre o arquivo e selecione Executar como administrador;
- Quando a ferramenta terminar, gerará um log C:\SafeBoot_Repair.txt;
- Na sua próxima resposta cole o conteúdo desse log, juntamente com um novo log do HijackThis.
- Veja então se já consegue entrar em Modo Seguro.

Caso consiga, abra seus programas e veja se ocorre o mesmo problema com a blue screen.

Pergunta: Seu Windows Vista é 64 bits?

Meu vista eh 64 sim.......
Fiz tudo certinho mais o programa nao gerou log............
Tipo executei ele e foi normal nem blue screen deu..........
Mais msm assim nao consigo ainda ir em modo de segurança...........
O q faço????

Vlws a ajuda cara......

 

[Mr.Wolf]

вяυиασ 1988, tente mais isto:

Baixe o arquivo upado no host abaixo e salve-o no desktop. Extraia o arquivo do zip no desktop mesmo.

http://rapidshare.com/files/156695478/SafeMode_Repair.zip.html

Feche o navegador e todas as janelas que estiverem abertas.
Execute o arquivo extraido e aguarde. Sua tela poderá piscar uma ou duas vezes, é normal!

Veja se consegue acessar o modo seguro, e se conseguir, faça o procedimento com o Autoruns que passei anteriormente e verifique se a blue screen ocorrerá em modo seguro também.

 

[вяυиασ 1988]

вяυиασ 1988, tente mais isto:

Baixe o arquivo upado no host abaixo e salve-o no desktop. Extraia o arquivo do zip no desktop mesmo.

http://rapidshare.com/files/156695478/SafeMode_Repair.zip.html

Feche o navegador e todas as janelas que estiverem abertas.
Execute o arquivo extraido e aguarde. Sua tela poderá piscar uma ou duas vezes, é normal!

Veja se consegue acessar o modo seguro, e se conseguir, faça o procedimento com o Autoruns que passei anteriormente e verifique se a blue screen ocorrerá em modo seguro também.

Funfoooo....
Agora consegui entra em modo de segurança e cara nao ta dando blue screen em nenhum programa aki em modo de segurança.....
Nao sabia q o modo de segurança servia pra isso tb q maravilha hauheuahauheueha.....
Agora nao consegui abrir o autoruns.exe,soh consegui abrir o autorunsc.exe....
Mais tipo quando dou 2 cliks no autorunsc.exe soh aparece uma tela preta e fecha nao aparece mais nada...eh isso msm???

 

[Mr.Wolf]

cara nao ta dando blue screen em nenhum programa aki em modo de segurança......

Provavelmente há um Rootkit em seu computador que, em modo seguro, não está sendo processado. Devido a este fato, a blue screen não ocorre mesmo.

Quanto ao autorunsc.exe, ele não exibe nenhum painel realmente. É apenas um comando de shell que serve para abrir o modo de compatibilidade de scripts da ferramenta, para a criação e execução de scripts - que não deve ser feito sem conhecimento - por isso aparece a tela preta e some rapidamente.

Bom, já que consegue executar o autorunsc.exe, vamos usufruir dele. Siga as instruções abaixo no spoiler вяυиασ 1988:

Spoiler

- Delete os arquivos do Autoruns e sua pasta. Baixe-o novamente e salve-o em sua unidade C:.
- Extraia os arquivos na unidade e execute o arquivo autorunsc.exe para abrir a compatibilidade de scripts.

Abra o Bloco de Notas de seu computador e cole este texto abaixo dentro:

CODE::
USAGE HERE::
OPEN SCRIPT AUTORUNSC ABOUT CONFIG USAGE FOR HERE::

-a | -d -f -t -r | -s -f -r -w | [-v] [-a] [-s] [user *.*=+ PROFILES]

JUMP IT::

-4 -r -g | nt | -o -p -f | [h] [-f] [+g] [user + PROFILES]

PROPERTIES::

-s [n] name
-e
\\computer
pid

MEMORY KEY LIST::

+Pri <1 month>
+Thd <1 month>
+Create <1 month>
+Write <1 month>
+%System% -> %WinDir% or %systemroot% -> %TEMP% -> %HoMePath% <1 month>
+Page -> execute number <1 month>

USING SHELLRUNAS KEYS MODIFIED::

/OBS
/MD5
/SHA-1
<programs>

PROCESSES::

Windows processes actives <all>
Windows kernel <all>
Windows auto-execute <all>
\.* Windows <all>

CODE FINALLY::

ATENÇÃO: Caros amigos, este script foi elaborado especificamente para o computador em questão e não deve ser utilizado em nenhum outro. Pois poderá danificar o sistema!

Salve como ARScript.txt em C: e arraste este arquivo para o autorunsc.exe como na imagem abaixo:

Aparecerá uma janela preta que ficará ativa na tela durante um minuto no máximo, e fechará automaticamente. Não clique ou feche a janela!
Será gerado um log em C:\Autorunsc_Script_Result.txt.

Cole este log em sua próxima resposta brunão.

 

[Pedrinn]

Aqui esta o resultado do Scan no ESET Online Scanner,Mr.Wolf

Spoiler

C:\Documents and Settings\Administrador\Meus documentos\click-xiters.zip.part multiple threats deleted - quarantined
C:\Documents and Settings\Administrador\Meus documentos\rmtanat.exe probably unknown NewHeur_PE virus deleted - quarantined
C:\Documents and Settings\Administrador\Meus documentos\setup-4.8.5.exe probably a variant of Win32/Agent trojan deleted - quarantined
C:\System Volume Information\_restore{43352696-21B6-4046-A70B-1C7D5B075E4C}\RP2\A0015862.dll Win32/Sality.NAD virus deleted - quarantined
C:\System Volume Information\_restore{43352696-21B6-4046-A70B-1C7D5B075E4C}\RP3\A0015899.sys probably a variant of Win32/Agent trojan cleaned by deleting - quarantined

 

[вяυиασ 1988]

Provavelmente há um Rootkit em seu computador que, em modo seguro, não está sendo processado. Devido a este fato, a blue screen não ocorre mesmo.

Quanto ao autorunsc.exe, ele não exibe nenhum painel realmente. É apenas um comando de shell que serve para abrir o modo de compatibilidade de scripts da ferramenta, para a criação e execução de scripts - que não deve ser feito sem conhecimento - por isso aparece a tela preta e some rapidamente.

Bom, já que consegue executar o autorunsc.exe, vamos usufruir dele. Siga as instruções abaixo no spoiler вяυиασ 1988:

Spoiler

- Delete os arquivos do Autoruns e sua pasta. Baixe-o novamente e salve-o em sua unidade C:.
- Extraia os arquivos na unidade e execute o arquivo autorunsc.exe para abrir a compatibilidade de scripts.

Abra o Bloco de Notas de seu computador e cole este texto abaixo dentro:



ATENÇÃO: Caros amigos, este script foi elaborado especificamente para o computador em questão e não deve ser utilizado em nenhum outro. Pois poderá danificar o sistema!

Salve como ARScript.txt em C: e arraste este arquivo para o autorunsc.exe como na imagem abaixo:

Aparecerá uma janela preta que ficará ativa na tela durante um minuto no máximo, e fechará automaticamente. Não clique ou feche a janela!
Será gerado um log em C:\Autorunsc_Script_Result.txt.

Cole este log em sua próxima resposta brunão.

Blz agora funfou mais ainda assim deu blue screen sera q interferiu no q eu fiz???

Vlws....

Código aberto = Autorunsc.exe

Arquivos criados:

52 13:54:31 services.exe:1496 CREATE C:\Temp\~DFIO4D.tmp SUCCESS Options: Create Access: 0012019F
53 13:54:31 services.exe:1496 CREATE C:\WINDOWS\ShellNew SUCCESS Options: Create Directory Access: 00100001
54 13:54:31 services.exe:1496 CREATE C:\WINDOWS\system32\upkkscr.sys SUCCESS Options: OverwriteIf Access: 00120196
55 13:54:31 services.exe:1496 WRITE C:\WINDOWS\system32\ahui.exe SUCCESS Offset: 0 Length: 42687
58 13:54:31 services.exe:1496 CREATE C:\Documents and Settings\ADM\Local Settings\Application Data\smss.exe SUCCESS Options: OverwriteIf Access: 00120196
59 13:54:31 services.exe:1496 WRITE C:\Documents and Settings\ADM\Local Settings\Application Data\smss.exe SUCCESS Offset: 0 Length: 42687
60 13:54:31 services.exe:1496 CREATE C:\Documents and Settings\ADM\Local Settings\Application Data\lsass.exe SUCCESS Options: OverwriteIf Access: 00120196
61 13:54:31 services.exe:1496 WRITE C:\Documents and Settings\ADM\Local Settings\Application Data\lsass.exe SUCCESS Offset: 0 Length: 42687
62 13:54:31 svchost.exe:1496 CREATE C:\Documents and Settings\ADM\Local Settings\Application Data\inetinfo.exe SUCCESS Options: OverwriteIf Access: 00120196
63 13:54:31 svchost.exe:1496 WRITE C:\Documents and Settings\ADM\Local Settings\Application Data\inetinfo.exe SUCCESS Offset: 0 Length: 42687
64 13:54:31 svchost.exe:1496 CREATE C:\Documents and Settings\ADM\Local Settings\Application Data\csrss.exe SUCCESS Options: OverwriteIf Access: 00120196
65 13:54:31 svchost.exe:1496 WRITE C:\Documents and Settings\ADM\Local Settings\Application Data\csrss.exe SUCCESS Offset: 0 Length: 42687
66 13:54:35 smss.exe:180 CREATE C:\Temp\~DFFBC3.tmp SUCCESS Options: Create Access: 0012019F
67 13:54:35 smss.exe:180 CREATE C:\WINDOWS\ShellNew\sempalong.exe SUCCESS Options: OverwriteIf Access: 00120196
68 13:54:35 smss.exe:180 WRITE C:\WINDOWS\ShellNew\sempalong.exe SUCCESS Offset: 0 Length: 42687
71 13:54:35 smss.exe:180 CREATE C:\Documents and Settings\ADM\Local Settings\Application Data\smss.exe SHARING VIOLATION Options: OverwriteIf Access: 00120196
72 13:54:35 smss.exe:180 CREATE C:\Documents and Settings\ADM\Local Settings\Application Data\lsass.exe SUCCESS Options: OverwriteIf Access: 00120196
73 13:54:35 smss.exe:180 WRITE C:\Documents and Settings\ADM\Local Settings\Application Data\lsass.exe SUCCESS Offset: 0 Length: 42687
74 13:54:35 smss.exe:180 CREATE C:\Documents and Settings\ADM\Local Settings\Application Data\inetinfo.exe SUCCESS Options: OverwriteIf Access: 00120196
75 13:54:35 smss.exe:180 WRITE C:\Documents and Settings\ADM\Local Settings\Application Data\inetinfo.exe SUCCESS Offset: 0 Length: 42687
76 13:54:35 smss.exe:180 CREATE C:\Documents and Settings\ADM\Local Settings\Application Data\csrss.exe SUCCESS Options: OverwriteIf Access: 00120196
77 13:54:35 smss.exe:180 WRITE C:\Documents and Settings\ADM\Local Settings\Application Data\csrss.exe SUCCESS Offset: 0 Length: 42687
78 13:54:36 smss.exe:180 CREATE C:\Documents and Settings\ADM\Local Settings\Application Data\winlogon.exe SUCCESS Options: OverwriteIf Access: 00120196
79 13:54:36 smss.exe:180 WRITE C:\Documents and Settings\ADM\Local Settings\Application Data\winlogon.exe SUCCESS Offset: 0 Length: 42687
80 13:54:36 smss.exe:180 CREATE C:\autoexec.bat SUCCESS Options: OverwriteIf Access: 00120196
81 13:54:36 smss.exe:180 WRITE C:\autoexec.bat SUCCESS Offset: 0 Length: 7
82 13:54:36 winlogon.exe:112 CREATE C:\Temp\~DOPGFB.tmp SUCCESS Options: Create Access: 0012019F
83 13:54:36 winlogon.exe:112 CREATE C:\WINDOWS\ShellNew\sempalong.exe SUCCESS Options: OverwriteIf Access: 00120196
84 13:54:36 winlogon.exe:112 WRITE C:\WINDOWS\ShellNew\sempalong.exe SUCCESS Offset: 0 Length: 42687
85 13:54:36 winlogon.exe:112 CREATE C:\WINDOWS\eksplorasi.exe SUCCESS Options: OverwriteIf Access: 00120196
86 13:54:36 winlogon.exe:112 WRITE C:\WINDOWS\eksplorasi.exe SUCCESS Offset: 0 Length: 42687
87 13:54:36 winlogon.exe:112 CREATE C:\Documents and Settings\ADM\Local Settings\Application Data\smss.exe SHARING VIOLATION Options: OverwriteIf Access: 00120196
88 13:54:36 winlogon.exe:112 CREATE C:\Documents and Settings\ADM\Local Settings\Application Data\lsass.exe SUCCESS Options: OverwriteIf Access: 00120196
89 13:54:36 winlogon.exe:112 WRITE C:\Documents and Settings\ADM\Local Settings\Application Data\lsass.exe SUCCESS Offset: 0 Length: 42687
90 13:54:36 winlogon.exe:112 CREATE C:\Documents and Settings\ADM\Local Settings\Application Data\inetinfo.exe SUCCESS Options: OverwriteIf Access: 00120196
91 13:54:36 winlogon.exe:112 WRITE C:\Documents and Settings\ADM\Local Settings\Application Data\inetinfo.exe SUCCESS Offset: 0 Length: 42687
92 13:54:36 winlogon.exe:112 CREATE C:\Documents and Settings\ADM\Local Settings\Application Data\csrss.exe SUCCESS Options: OverwriteIf Access: 00120196
93 13:54:36 winlogon.exe:112 WRITE C:\Documents and Settings\ADM\Local Settings\Application Data\csrss.exe SUCCESS Offset: 0 Length: 42687
94 13:54:36 smss.exe:180 CREATE C:\Documents and Settings\ADM\Local Settings\Application Data\Empty.pif SUCCESS Options: OverwriteIf Access: 00120196
95 13:54:36 smss.exe:180 WRITE C:\Documents and Settings\ADM\Local Settings\Application Data\Empty.pif SUCCESS Offset: 0 Length: 42687
96 13:54:36 smss.exe:180 CREATE C:\Documents and Settings\ADM\Models\Brengkolang.com SUCCESS Options: OverwriteIf Access: 00120196
97 13:54:36 smss.exe:180 WRITE C:\Documents and Settings\ADM\Models\Brengkolang.com SUCCESS Offset: 0 Length: 42687
98 13:54:36 smss.exe:180 CREATE C:\WINDOWS\system32\Administrador's Setting.scr SUCCESS Options: OverwriteIf Access: 00120196
99 13:54:36 smss.exe:180 WRITE C:\WINDOWS\system32\Administrador's Setting.scr SUCCESS Offset: 0 Length: 42687
100 13:54:36 winlogon.exe:112 CREATE C:\Documents and Settings\ADM\Local Settings\Application Data\Bron.tok-12-12 SUCCESS Options: Create Directory Access: 00100001

Chaves modificadas:

Obs: vacin2351
MD5: 383fcf432217d71544246aa760d98cdc
SHA-1: 129op0ec52ad2a306f1cf8af2fc04125642b1a00b

Auto-execution

(not found)

Scripted successfully . . .

 

[вяυиασ 1988]

Sera q seu eu jogar meus games em modo de segurança dara blue screen????

 

[Rhyrioth]

Se não conseguir abrir pelo link das instruções, tente por um destes dois abaixo Rhyrioth:

http://www.forospyware.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

Bom final de semana pra você também.

Fiz o teste aqui em casa pra ver se no meu pc eu conseguiria baixar, mas deu a mesma coisa...os dois links abaixo simplesmente não abrem.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

Já o link abaixo funcionou normalmente, mas para baixar por ele deve ser feito um cadastro no site, caso contrario seu link redireciona automaticamente pra página inicial. (o que pra mim num é problema nenhum, já que vc tá ajudando 100% por boa vontade, mas fica a dica pra caso outras pessoas tenham o mesmo problema). Segunda pela manhã eu faço o processo todo no pc da empresa, vlw!
http://www.forospyware.com/sUBs/ComboFix.exe

 

[Augusto_Zimmer]

acho que to com virus :/ ve ai mr. wolf...

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:33:07, on 24/5/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\SnAgOS.exe
C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\SnMgrSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SnLiveUp.exe
C:\WINDOWS\Explorer.exe
C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Program Files\DSLink180U\Adsl\dslstat.exe
C:\Program Files\DSLink180U\Adsl\dslagent.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE
C:\WINDOWS\vsnpstd.exe
C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe
C:\Arquivos de programas\ZD Soft\Game Recorder\grecorder.exe
C:\Arquivos de programas\Stardock\ObjectDock\ObjectDock.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\SnEngine.EXE
C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.com.br/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Arquivos de programas\Windows Live\Messenger\wlchtc.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Arquivos de programas\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\DSLink180U\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\DSLink180U\Adsl\dslagent.exe
O4 - HKLM\..\Run: [Ink Monitor] C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Arquivos de programas\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Game Recorder] "C:\Arquivos de programas\ZD Soft\Game Recorder\grecorder.exe"
O4 - Startup: DSLink 180U Dial-Up PPP Connection.lnk = ?
O4 - Startup: Stardock ObjectDock.lnk = C:\Arquivos de programas\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: Justin.tv Publisher - http://www.justin.tv/plugins/justintv_publisher.CAB
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {3C8B9651-4E3E-424D-B51C-54544ABF536B} (CAtmCap Object) - https://ww7.banrisul.com.br/bxz/data/securecontrol2k.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9370907F-5A62-4807-877A-21F0867D212E}: NameServer = 201.10.120.2 201.10.128.2
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - Unknown owner - C:\ARQUIV~1\AVG\AVG8\avgemc.exe (file missing)
O23 - Service: AVG Free8 WatchDog (avg8wd) - Unknown owner - C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SNMgrSvc - Open Communications Security S/A - C:\WINDOWS\system32\SnMgrSvc.exe

--
End of file - 7748 bytes

eu to usando e as vezes some o progama da tela e só volta quando eu passo o mouse por cima :/

 

[Mr.Wolf]

Olá pessoal, boa tarde!


Pedrinn, estamos quase terminando já. Vamos ter que fazer um novo scan online na Kaspersky para verificar se há, e se houver, quantos e quais arquivos, ainda estão contaminados pelo Sality.

Então, acesse o tutorial abaixo, faça um novo scan e poste o relatório final em sua próxima resposta Pedrinn:

http://www.linhadefensiva.org/forum/index.php?showtopic=74159

___________________________________


вяυиασ 1988, há vários Rootkits executando em nível de kernel em seu sistema. Provavelmente são eles os causadores do problema com a blue screen. Vamos lá então, siga as instruções no spoiler abaixo вяυиασ 1988:

Spoiler

1ª Etapa

Abra o Bloco de Notas e cole este texto abaixo dentro:

[B][COLOR="Orange"]CODE:: 
USAGE HERE::
OPEN SCRIPT AUTORUNSC ABOUT CONFIG USAGE FOR HERE::

-a | -b -m | memory acess [cache dummy]

PAUSE PROCESSES::

-a | services.exe
-a | svchost.exe
-p | winlogon.exe
-m | smss.exe

REMOVE VALUE TO REGISTRY::

[54] CHANGE and DELETE | services.exe:149 -> HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa < C:\WINDOWS\system32\upkkscr.sys > (Reg UnDll)
[60] CHANGE and DELETE | services.exe:1496 -> HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths < C:\Documents and Settings\ADM\Local Settings\Application Data\lsass.exe > 
[65] CHANGE and DELETE | svchost.exe:1496 -> HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths < C:\Documents and Settings\ADM\Local Settings\Application Data\csrss.exe >
[96] CHANGE and DELETE | smss.exe:180 -> HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths < C:\Documents and Settings\ADM\Models\Brengkolang.com > (Reg Not Found)
[99] CHANGE and DELETE | smss.exe:180  -> HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths < C:\WINDOWS\system32\Administrador's Setting.scr > (Reg UnDll)
[100] CHANGE and DELETE | winlogon.exe:112 -> HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths < C:\Documents and Settings\ADM\Local Settings\Application Data\Bron.tok > 

ROOTKITS DISABLE::

< upkkscr.sys > 149

ROOTKIT REMOVE::

< upkkscr.sys > 149

FILES REMOVE::

+ C:\WINDOWS\system32\upkkscr.sys
+ C:\Documents and Settings\ADM\Local Settings\Application Data\lsass.exe
+ C:\Documents and Settings\ADM\Local Settings\Application Data\csrss.exe
+ C:\Documents and Settings\ADM\Models\Brengkolang.com
+ C:\WINDOWS\system32\Administrador's Setting.scr
+ C:\Documents and Settings\ADM\Local Settings\Application Data\Bron.tok

USING SHELLRUNAS KEYS MODIFIED::

/OBS
/MD5
/SHA-1
<programs>

PROCESSES::
CODE FINALLY::[/COLOR][/B]

Salve como ARScript.txt em C: e arraste este arquivo para o autorunsc.exe como na imagem abaixo:

Abrirá uma janela preta que ficará ativa na tela durante cinco ou dez minutos no máximo, e fechará automaticamente. Não clique ou feche a janela!
Será gerado um log em C:\Autorunsc_Script_Result.txt.


2ª Etapa

Baixe o catchme e salve-o no desktop;

Execute o catchme.exe e clique no botão Scan. Aguarde!
Ao término do scan, clique em Exit para fechar a janela da ferramenta.
Um log será gerado no desktop com o nome catchme.log.

Poste este log, juntamente com o log do Autoruns em sua próxima resposta вяυиασ 1988.

OBS: вяυиασ 1988, utilize spoilers para colar seus logs. Basta antes de digitar ou colar o texto, digitar [!spoiler] (sem o ponto de exclamação "!") e então digite o texto. No final digitar [/spoiler] para fechá-lo.

___________________________________


Amigo Rhyrioth, os três links aqui estão funcionando perfeitamente, sem problema algum! Os dois links que você disse que não abrem, aqui abriram e estão abrindo perfeitamente, 100%. O problema é somente com você mesmo caro amigo.
Não precisa fazer o cadastro no ForoSpyware para baixar a ferramenta. O link do ComboFix no servidor do fórum está com problemas mesmo.

Mas para sermos mais rápidos Rhyrioth, upei o arquivo para você:

http://rapidshare.com/files/236816273/ComboFix.exe.html

___________________________________


Augusto_Zimmer, seu log está limpo.

 

[Pedrinn]

Boa tarde caro amigo Mr.Wolf

Fico muito contente que estamos no final dessa briga contra esse maldito virus !

Ja estou fazendo o Scan,logo posto o LOG !

 

[вяυиασ 1988]

вяυиασ 1988, há vários Rootkits executando em nível de kernel em seu sistema. Provavelmente são eles os causadores do problema com a blue screen. Vamos lá então, siga as instruções no spoiler abaixo вяυиασ 1988:

Spoiler

1ª Etapa

Abra o Bloco de Notas e cole este texto abaixo dentro:

[B][COLOR="Orange"]CODE:: 
USAGE HERE::
OPEN SCRIPT AUTORUNSC ABOUT CONFIG USAGE FOR HERE::

-a | -b -m | memory acess [cache dummy]

PAUSE PROCESSES::

-a | services.exe
-a | svchost.exe
-p | winlogon.exe
-m | smss.exe

REMOVE VALUE TO REGISTRY::

[54] CHANGE and DELETE | services.exe:149 -> HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa < C:\WINDOWS\system32\upkkscr.sys > (Reg UnDll)
[60] CHANGE and DELETE | services.exe:1496 -> HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths < C:\Documents and Settings\ADM\Local Settings\Application Data\lsass.exe > 
[65] CHANGE and DELETE | svchost.exe:1496 -> HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths < C:\Documents and Settings\ADM\Local Settings\Application Data\csrss.exe >
[96] CHANGE and DELETE | smss.exe:180 -> HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths < C:\Documents and Settings\ADM\Models\Brengkolang.com > (Reg Not Found)
[99] CHANGE and DELETE | smss.exe:180  -> HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths < C:\WINDOWS\system32\Administrador's Setting.scr > (Reg UnDll)
[100] CHANGE and DELETE | winlogon.exe:112 -> HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths < C:\Documents and Settings\ADM\Local Settings\Application Data\Bron.tok > 

ROOTKITS DISABLE::

< upkkscr.sys > 149

ROOTKIT REMOVE::

< upkkscr.sys > 149

FILES REMOVE::

+ C:\WINDOWS\system32\upkkscr.sys
+ C:\Documents and Settings\ADM\Local Settings\Application Data\lsass.exe
+ C:\Documents and Settings\ADM\Local Settings\Application Data\csrss.exe
+ C:\Documents and Settings\ADM\Models\Brengkolang.com
+ C:\WINDOWS\system32\Administrador's Setting.scr
+ C:\Documents and Settings\ADM\Local Settings\Application Data\Bron.tok

USING SHELLRUNAS KEYS MODIFIED::

/OBS
/MD5
/SHA-1
<programs>

PROCESSES::
CODE FINALLY::[/COLOR][/B]

Salve como ARScript.txt em C: e arraste este arquivo para o autorunsc.exe como na imagem abaixo:

Abrirá uma janela preta que ficará ativa na tela durante cinco ou dez minutos no máximo, e fechará automaticamente. Não clique ou feche a janela!
Será gerado um log em C:\Autorunsc_Script_Result.txt.


2ª Etapa

Baixe o catchme e salve-o no desktop;

Execute o catchme.exe e clique no botão Scan. Aguarde!
Ao término do scan, clique em Exit para fechar a janela da ferramenta.
Um log será gerado no desktop com o nome catchme.log.

Poste este log, juntamente com o log do Autoruns em sua próxima resposta вяυиασ 1988.

OBS: вяυиασ 1988, utilize spoilers para colar seus logs. Basta antes de digitar ou colar o texto, digitar [!spoiler] (sem o ponto de exclamação "!") e então digite o texto. No final digitar [/spoiler] para fechá-lo.

Fix tudinho como me foi solicitado a fazer........
Tae os logs Mr wolf.....
Coloquei nos spoilers como vc pediu tb....

Vlws pela ajuda parcero......

Autorunsc_Script_Result.txt

Spoiler

Processos pausados . . .

services.exe
svchost.exe
winlogon.exe
smss.exe

Removendo lista . . .

Reg HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa "C:\WINDOWS\system32\upkkscr.sys"
Reg HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths "C:\Documents and Settings\ADM\Local Settings\Application Data\lsass.exe"
Reg HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths "C:\Documents and Settings\ADM\Local Settings\Application Data\csrss.exe"
Reg HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths "C:\Documents and Settings\ADM\Models\Brengkolang.com"
Reg HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths "C:\WINDOWS\system32\Administrador's Setting.scr"
Reg HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ App Paths "C:\Documents and Settings\ADM\Local Settings\Application Data\Bron.tok"
File "C:\WINDOWS\system32\upkkscr.sys" - ERROR
File C:\Documents and Settings\ADM\Local Settings\Application Data\lsass.exe"
File "C:\Documents and Settings\ADM\Local Settings\Application Data\csrss.exe"
File "C:\Documents and Settings\ADM\Models\Brengkolang.com"
File "C:\WINDOWS\system32\Administrador's Setting.scr"
File "C:\Documents and Settings\ADM\Local Settings\Application Data\Bron.tok"

Obs: vacin65783
MD5: 123778g7j8koa450942358i9806j9k7jj
SHA-1: 8654270331h65432222981s21312a4689066667j887

Auto-execution

(not found)

Scripted successfully . . .

catchme.log

Spoiler

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-05-24 18:09:47
Windows 6.00.1905 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPK]
"Farming"=dword:000000a8
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"upkkscr"=dword:000000x891

scanning hidden files ...

C:\WINDOWS\system32\upkkscr.sys 238776 bytes executable
C:\WINDOWS\system32\drivers\al9ganer.sys 112154 bytes executable
C:\WINDOWS\system32\drivers\amd4tb.sys 092211 bytes executable
C:\WINDOWS\system32\drivers\couhudt.sys 511230 bytes executable
C:\WINDOWS\system32\drivers\e4tgsh66.sys 132775 bytes executable
C:\WINDOWS\system32\drivers\ingru.sys 121176 bytes executable
C:\WINDOWS\system32\drivers\nlaokv98.sys 244321 bytes executable
C:\WINDOWS\system32\drivers\njahs.sys 144432 bytes executable
C:\WINDOWS\System32\drivers\ohdusb.sys 388877 bytes executable
C:\WINDOWS\system32\drivers\pdfgii.sys 211100 bytes executable
C:\WINDOWS\system32\drivers\routad.sys 100541 bytes executable
C:\WINDOWS\system32\drivers\vuduu33.sys 143433 bytes executable
C:\WINDOWS\system32\drivers\w5bbu.sys 130001 bytes executable

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 13