Remoção de vírus

[Mauricio Fabiano]

Caro Mr.Wolf,

Li todo o artigo sobre os phishings e gostei muito. Já tá favoritado aqui. Eu tava precisando mesmo desse tipo de dicas para aprender a lidar com essas porcarias que o povo faz na Net a fora.

Bem, retomando o nosso outro assunto Mr.Wolf....

Vou fazer o backup em um Dvd então como vc recomendou.

Mas eu não sei ver se os arquivos estão limpos. Pode por favor me passar alguma forma simples de fazer essa verificação?

Agradeço de coração toda a ajuda desde o começo do meu problema. Sem vc nunca saberia que estava com um antivirus falso aqui, e que tinha caido nesse inusitado phishing.

Muito obrigado Mr.Wolf

Atenciosamente,
Mauricio

Aguardo seu novo contato

 

[tfarina]

Boa tarde pessoal!

Opa tfarina

O arquivo nvvsvc.exe é um driver da placa de vídeo NVIDIA.

tfarina, os logs do OTL estão limpos. Assim como o do HijackThis e do MBAM (Malwarebytes).

Seu IE está consumindo 52 MB ou 52 K? Acho que você se equivocou, amigo. Fiz um teste aqui, entrando no fórum, e o consumo do IE foi para 57 K, veja na imagem:

Agora, se for MB, realmente é um consumo exagerado e anormal.

Quanto ao uso de 100% do CPU, há diversos fatores que podem influenciar para que isso ocorra, como o GbPlugin, plugin instalado por internet bankings, que está instalado em seu sistema. Porém, vi que você não está utilizando antivirus. Desta maneira, seu PC fica vulnerável a ataques virtuais mesmo.

Siga abaixo:

Spoiler

- Faça download do Kaspersky AVP Tool e salve na pasta de C:\Arquivos de programas;

● Dê um duplo clique no setup e instale o programa.
● Após a instalação, o programa será executado. Caso não seja, execute-o.
● Na tela inicial, marque todas as caixas de seleção e clique sobre a opção Recommended > Settings. Veja como fazer na imagem abaixo:

● Ao abrir a outra janela, na aba Scope, marque a opção configure como mostra a imagem:

● Clique na aba Additional e configure conforme a imagem, atentando-se para todos os detalhes da configuração:

● Clique no botão OK, lá embaixo da janela, para retornar à tela incial.
● Clique no botão Start Scan para iniciar o scan.
● Seja paciente, o scan pode demorar bastante.
● Ao longo do scan, a ferramenta poderá ir se deparando com infecções e/ou vulnerabilidades, e nisso, apresentará a você, no canto inferior direito do desktop, uma janela com opções de escolha para remover ou manter os arquivos encontrados.
● Se a janela que se abrir for vermelha, trata-se de uma infecção. Clique no botão Delete para remover o arquivo.
● Se a janela que se abrir for verde normal, é uma vulnerabilidade (provavelmente de programas desatualizados ou algo do gênero). Clique no botão Skip para manter o arquivo.
● Ao término do scan, clique em Reports, na tela inicial.
● Clique no "+" ao lado de Autoscan para expandir a lista.

● Tecle Ctrl + A para selecionar tudo e depois Ctrl + C para copiar.
● Cole este texto no Bloco de Notas e salve no desktop com a extensão .txt.
● Clique em Exit para fechar o programa. Ao ser perguntado se deseja desinstalar o programa, clique em Yes.
● Se for necessário reiniciar o PC, reinicie-o.

Poste o relatório do scan em sua próxima resposta.

____________________________

Olá Mr. Wolf....

Eu tenho o Anti Virus da MS instalado.... já havia passado ele e não havia encontrado nada....

Usei o que vc recomendou e ele encontrou virus em um arquivo que não havia instalado, só estava no PC, será que ele pode ter sido ativado mesmo assim???
Segue o log:

Spoiler

Autoscan: stopped 13 hours ago (events: 2, objects: 2, time: 00:00:10)
Autoscan: completed 35 minutes ago (events: 9, objects: 901797, time: 13:04:54)
02/05/2010 22:52:47 Task started
03/05/2010 01:34:32 Detected: http://www.viruslist.com/en/advisories/37690 C:\Windows.old.000\Program Files (x86)\Adobe\Reader 9.0\Reader\AcroRd32.exe
03/05/2010 01:34:42 Detected: http://www.viruslist.com/en/advisories/38551 C:\Windows.old.000\Program Files (x86)\Adobe\Reader 9.0\Reader\plug_ins\AcroForm.api
03/05/2010 01:38:16 Detected: http://www.viruslist.com/en/advisories/39375 C:\Windows.old.000\Program Files (x86)\Microsoft Office\Office12\MSPUB.EXE
03/05/2010 05:05:18 Detected: Packed.Win32.Black.d D:\Users\THIAGO\Documents\Downloads\Richard Burns Rally\RBR Lamer Pack 1.0\RBRTM087DInst.exe/data0002/ASProtect14
03/05/2010 08:31:57 Deleted: Packed.Win32.Black.d D:\Users\THIAGO\Documents\Downloads\Richard Burns Rally\RBR Lamer Pack 1.0\RBRTM087DInst.exe
03/05/2010 10:07:51 Detected: http://www.viruslist.com/en/advisories/38551 C:\Windows.old.000\Program Files (x86)\Adobe\Reader 9.0\Reader\plug_ins\AcroForm.api
03/05/2010 10:09:41 Detected: http://www.viruslist.com/en/advisories/39375 C:\Windows.old.000\Program Files (x86)\Microsoft Office\Office12\MSPUB.EXE
03/05/2010 11:57:41 Task completed

 

[Mr.Wolf]

Boa tarde pessoal!


carolgsn, o log está limpo.

Vá em Iniciar > Executar, digite Combofix /uninstall e dê um OK para removê-lo. Delete o RegLook também.

Algum problema ainda?

_______________________________


Mauricio Fabiano, utilize o serviço Wepawet para analisar os arquivos PDF e HTML. E o VirusTotal para analisar o arquivo DOC.

Qualquer coisa é só postar! :thumbs_up

Abraços

_______________________________


tfarina, estranho, em seu log do HijackThis não há referência alguma do antivirus da Microsoft. Você o desabilitou da inicialização?

A maioria dos arquivos que o Removal Tool detectou não são infecções. Mas sim, vulnerabilidades, no Adobe Reader e no Office. Recomendo que atualize rapidamente o seu Adobe Reader, pois o software está sendo alvo de inúmeros ataques cibernéticos atualmente.

No entanto, dois arquivos foram identificados como ameaças pelo Kaspersky:

D:\Users\THIAGO\Documents\Downloads\Richard Burns Rally\RBR Lamer Pack 1.0\RBRTM087DInst.exe/data0002/ASProtect14
D:\Users\THIAGO\Documents\Downloads\Richard Burns Rally\RBR Lamer Pack 1.0\RBRTM087DInst.exe

Usei o que vc recomendou e ele encontrou virus em um arquivo que não havia instalado, só estava no PC, será que ele pode ter sido ativado mesmo assim???

Refere-se aos dois arquivos que citei acima? Um arquivo não precisa necessariamente estar instalado na máquina para causar danos e executar atividades maliciosas, só o fato de o arquivo estar salvo no sistema torna-se um risco — mesmo que você não execute-o.

Creio que ambos os arquivos fazem parte de algum patche, crack ou algo do tipo, para o jogo Richard Burns Rally, ou estou enganado? Se eu estiver correto, a opção de removê-los ou não, é somente sua. Lembre-se de que esses tipos de aplicativos nem sempre estão limpos.

 

[luisednardo]

Olá Mr. WOlf
Faz tempo que não posto nenhum log, por favor analise esse para mim ok?
Na minha opinião está tudo ok, é só para ter uma segunda opinião!
Fica em paz!
Vlw

Spoiler

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:18:11, on 4/5/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Arquivos de programas\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Arquivos comuns\Teleca Shared\CapabilityManager.exe
C:\Arquivos de programas\USB Video Camera\Monitor.exe
C:\Arquivos de programas\Arquivos comuns\Teleca Shared\Generic.exe
C:\Arquivos de programas\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Hijackthis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orkut.com.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Arquivos de programas\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6.4; .NET CLR 1.1.4322; .NET CLR 2.0.50727; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)" -"http://www.ojogos.com.br/jogo/Doom-2.html"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Monitor.lnk = C:\Arquivos de programas\USB Video Camera\Monitor.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\Arquivos de programas\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Arquivos de programas\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Livro de recortes HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Seleção HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O20 - Winlogon Notify: ascfix - ascfix.dll (file missing)
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O23 - Service: Avira AntiVir Programador (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

--
End of file - 8497 bytes

 

[Mr.Wolf]

luisednardo

O20 - Winlogon Notify: ascfix - ascfix.dll (file missing)

Trojan.PSW.

 

[tfarina]

Boa tarde pessoal!

tfarina, estranho, em seu log do HijackThis não há referência alguma do antivirus da Microsoft. Você o desabilitou da inicialização?

A maioria dos arquivos que o Removal Tool detectou não são infecções. Mas sim, vulnerabilidades, no Adobe Reader e no Office. Recomendo que atualize rapidamente o seu Adobe Reader, pois o software está sendo alvo de inúmeros ataques cibernéticos atualmente.

No entanto, dois arquivos foram identificados como ameaças pelo Kaspersky:

D:\Users\THIAGO\Documents\Downloads\Richard Burns Rally\RBR Lamer Pack 1.0\RBRTM087DInst.exe/data0002/ASProtect14
D:\Users\THIAGO\Documents\Downloads\Richard Burns Rally\RBR Lamer Pack 1.0\RBRTM087DInst.exe


Refere-se aos dois arquivos que citei acima? Um arquivo não precisa necessariamente estar instalado na máquina para causar danos e executar atividades maliciosas, só o fato de o arquivo estar salvo no sistema torna-se um risco — mesmo que você não execute-o.

Creio que ambos os arquivos fazem parte de algum patche, crack ou algo do tipo, para o jogo Richard Burns Rally, ou estou enganado? Se eu estiver correto, a opção de removê-los ou não, é somente sua. Lembre-se de que esses tipos de aplicativos nem sempre estão limpos.

Mr. Wolf,
Em nenhum momento desabilitei o Antivirus MS, como estava ocupando muita memória (94%), fui fechando tudo no task manager, se fechei o antivirus foi por engano. Mas ele não havai detectado esse que o Kapersky achou e na hora, deletei o arquivo do CPU

Farei a atualização desses 2 softwares que vc disse. De resto, o Log está limpo?

 

[Mr.Wolf]

Mr. Wolf,
Em nenhum momento desabilitei o Antivirus MS, como estava ocupando muita memória (94%), fui fechando tudo no task manager, se fechei o antivirus foi por engano. Mas ele não havai detectado esse que o Kapersky achou e na hora, deletei o arquivo do CPU

tfarina, em modo de segurança o uso do CPU fica alto também?

Abra o gerenciador, clique em Exibir > Selecionar Colunas. Marque as seguintes opções e dê um OK: Identificação do processo (PID) | Tempo de CPU | Falhas de página | Objetos GDI

Tire uma screen da tela do gerenciador e poste aqui.

Farei a atualização desses 2 softwares que vc disse. De resto, o Log está limpo?

Sim, está limpo.

Pode desinstalar o Kaspersky. Basta abrir a pasta dele no desktop, encontrar e executar o arquivo unins000.exe.

 

[tfarina]

tfarina, em modo de segurança o uso do CPU fica alto também?

Abra o gerenciador, clique em Exibir > Selecionar Colunas. Marque as seguintes opções e dê um OK: Identificação do processo (PID) | Tempo de CPU | Falhas de página | Objetos GDI

Tire uma screen da tela do gerenciador e poste aqui.


Sim, está limpo.

Pode desinstalar o Kaspersky. Basta abrir a pasta dele no desktop, encontrar e executar o arquivo unins000.exe.

Em modo de segurança não fica alto.
Os processadores estão com 1% de uso. São as memórias que estão a 95%.

Foi como eu disse... tem horas que consego usar o PC normalmente e tem horas que ele sobrecarrega as memórias. Ontem a noite não tive nenhum problema para trabalhar no PC.

 

[luisednardo]

luisednardo


Trojan.PSW.

Putz! Valew por ter notado! Já fixei a entrada!
Obrigado Mr Wolf.
Abraço!

 

[Mauricio Fabiano]

Caro Mr.Wolf,

Fiz o que me recomendou, acho que fiz tudo certinho. No Virustotal nenhum Anti-virus acusou virus no meu arquivo Doc. Depois fiz no Wepawet e pelo que entendi o meu arquivo Html está limpo, mas o Pdf acho que está danificado por virus. Eu estou tentando postar a Url do resultado do Wepawet, mas quando eu clico a página não carrega. Se vc conseguir aí, a Url é esta

http://wepawet.cs.ucsb.edu/view.php?hash=2f6055fe6098f2a4512e6d901d94e00e&type=js

Pra garantir vou copiar as partes principais do resultado aqui

Analysis report for laboratorio-setor09.pdf
Sample Overview
File laboratorio-setor09.pdf
MD5 2f6055fe6098f2a4512e6d901d94e00e
Analysis Started 2010-05-05 03:04:03
Report Generated 2010-05-05 03:09:50
Jsand version 1.02.02
Detection results
Detector Result
Jsand 1.02.02 infected

Se precisar eu faço o escan de novo e tiro uma foto do resultado pra vc ver.

Amanhã dependendo do seu aval, já começarei o backup e formatarei novamente o Micro.

Muito obrigado por tudo que tem me ajudado, nunca saberia resolver isso sozinho

Atenciosamente,
Mauricio

Um grande abraço

 

[carolgsn]

Olá Mr. Wolf...

Ai, mtu, mtu, mtu obrigada, mais uma vez pela ajuda.... Sem vc não teria conseguido não...

Nenhum probleminha meu amigo com o pc...
Vc é mais que um anjo viu... rsrsrs

Ótima semana pra vc... Tudo de bom!!!
Sucesso!!! Parabéns pelo seu trabalho...
Bjs

 

[cg150mt]

Galera estou com problemas no PC ... esta reiniciando e travando
aqui esta o log

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:45:33, on 05/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wln.com.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Arquivos de programas\GbPlugin\gbieh.dll
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O2 - BHO: G-Buster Browser Defense Sicredi - {C41A1C0E-EA6C-11D4-B1B8-444553540011} - C:\Arquivos de programas\GbPlugin\gbiehscd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O15 - Trusted Zone: *.caixa.gov.br
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://imagem.caixa.gov.br/cab/gbpdist.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{785B3FB4-F897-4E41-B1C6-9884AED51D19}: NameServer = 201.33.224.2,201.33.224.3
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll
O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehCef.dll
O20 - Winlogon Notify: GbPluginScd - C:\Arquivos de programas\GbPlugin\gbiehScd.dll
O23 - Service: Avira AntiVir Programador (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6467 bytes

 

[luisednardo]

Mr Wolf, te perturbando mais uma vez... só checando!

Spoiler

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:20:28, on 7/5/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\LogMeIn\x86\RaMaint.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe
C:\Arquivos de programas\LogMeIn\x86\LogMeIn.exe
C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe
C:\Arquivos de programas\IDT\2112009012624\STacSV.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Arquivos de programas\IDT\WDM\sttray.exe
C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe
C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Arquivos de programas\LogMeIn\x86\LogMeIn.exe
C:\WINDOWS\system32\msiexec.exe
C:\Hijackthis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-21-1229272821-179605362-1801674531-1004\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LogMeInRemoteUser')
O4 - HKUS\S-1-5-21-1229272821-179605362-1801674531-1004\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LogMeInRemoteUser')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Append to Existing PDF - res://C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://imagem.caixa.gov.br/cab/gbpdist.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBDA8093-94B8-4D38-83FA-C7930F0164D4}: NameServer = 192.168.0.1
O20 - AppInit_DLLs: c:\windows\system32\acaptuser32.dll
O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehCef.dll
O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Arquivos de programas\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Arquivos de programas\LogMeIn\x86\LogMeIn.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Arquivos de programas\IDT\2112009012624\STacSV.exe

--
End of file - 7036 bytes

 

[SecoBr]

boa tarde,

estou com um problema de virus em um dos meus servidores (Server 2003 SP1) detectou na minha rede um Rootkit... o que acontece é que eu logo em um TS e quando vou entrar de novo ele nao acha o servidor... e o servidor acusa Generic Host Process for Win32 Services precisou ser fechado.... passei alguns aplicativos anti rootkit... mas o problema persiste....

segue abaixo um log do Servidor

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:05:05, on 6/5/2010
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP2 (6.00.3790.3959)
Boot mode: Normal

Running processes:
C:\Documents and Settings\Administrador\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbguard.exe
C:\WINDOWS\system32\lserver.exe
C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbserver.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Loja Pró 2000\lojapro.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Loja Pró 2000\LojaPro.exe
D:\Loja Pró 2000\LojaPro.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Loja Pró 2000\lojapro.exe
D:\Loja Pró 2000\LojaPro.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Loja Pró 2000\lojapro.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\ClamWin\bin\ClamTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O4 - HKLM\..\Run: [ClamWin] "C:\Arquivos de programas\ClamWin\bin\ClamTray.exe" --logon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [Free Download Manager] C:\Arquivos de programas\Free Download Manager\fdm.exe -autorun (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIÇO DE REDE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVIÇO DE REDE')
O4 - HKUS\S-1-5-21-3921410445-2452951089-4004121392-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Cleonice')
O4 - HKUS\S-1-5-21-3921410445-2452951089-4004121392-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'rafael')
O4 - HKUS\S-1-5-21-3921410445-2452951089-4004121392-1008\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'rafael')
O4 - HKUS\S-1-5-21-3921410445-2452951089-4004121392-1010\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'dirceu')
O4 - HKUS\S-1-5-21-3921410445-2452951089-4004121392-1010\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'dirceu')
O4 - HKUS\S-1-5-21-3921410445-2452951089-4004121392-1013\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'recepção')
O4 - HKUS\S-1-5-21-3921410445-2452951089-4004121392-1013\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'recepção')
O4 - HKUS\S-1-5-21-3921410445-2452951089-4004121392-1014\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'CLeomair')
O4 - HKUS\S-1-5-21-3921410445-2452951089-4004121392-1015\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'janderson')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll
O10 - Broken Internet access because of LSP provider 'c:\documents and settings\administrador\windows\system32\mswsock.dll' missing
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{797E95DA-B532-4C5B-BE42-ACD882C48BA1}: NameServer = 200.180.125.130,200.180.124.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{797E95DA-B532-4C5B-BE42-ACD882C48BA1}: NameServer = 200.180.125.130,200.180.124.131
O17 - HKLM\System\CS2\Services\Tcpip\..\{797E95DA-B532-4C5B-BE42-ACD882C48BA1}: NameServer = 200.180.125.130,200.180.124.131
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - Firebird Project - C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - Firebird Project - C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbserver.exe

--
End of file - 5869 bytes

 

[defante]

Problema está no meu orkut, desde que coloquei 1 script do site www.moedasverdesbeta.rg3.net
Ele dá o seguinte problema... Muda o perfil todo e não entra!


"Google
Sorry...
We're sorry...

... but your computer or network may be sending automated queries. To protect our users, we can't process your request right now.
See Google Help for more information."

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:19:29 AM, on 5/8/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Program Files (x86)\Spyware Doctor\pctsAuxs.exe
C:\Program Files (x86)\Spyware Doctor\pctsSvc.exe
C:\Program Files (x86)\Spyware Doctor\pctsTray.exe
C:\Program Files (x86)\SpeedyiTunes\SpeedyiTunes.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files (x86)\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files (x86)\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [P17RunE] RunDll32 P17RunE.dll,RunDLLEntry
O4 - HKLM\..\Run: [ISTray] "C:\Program Files (x86)\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [SpeedyiTunes] C:\Program Files (x86)\SpeedyiTunes\SpeedyiTunes.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpeedTouchstInstall] "C:/Users/Willian/Downloads/SpeedTouch 510v6/STConfig 6.2.15.7/SetupWizard/stInstall.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\Willian\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O10 - Unknown file in Winsock LSP: c:\windows\system32\xdogcat.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xdogcat.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xdogcat.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xdogcat.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF10B4B0-D0F6-4DF8-A8D7-1D6D1C5D9E78}: NameServer = 8.8.8.8,8.8.4.4
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Program Files (x86)\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files (x86)\WinPcap\rpcapd.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files (x86)\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files (x86)\Spyware Doctor\pctsSvc.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7216 bytes

 

[Xleon]

Bom dia Mr. Wolf,

Você poderia analisar o log de uma maquina para mim? Alem dele estar lento ele esta enviando spam para todos da lista de e-mail que esta instalado nessa maquina...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:38:43, on 09/05/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Program Files\Sony\VAIO Care\listener.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Sony\ISB Utility\ISBMgr.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\HiYo\Bin\HiYo.exe
C:\Program Files (x86)\Iminent\SearchTheWeb\Iminent.Notifier.exe
C:\Program Files (x86)\McAfee Security Scan\1.0.150\SSScheduler.exe
C:\Program Files\Sony Corporation\SmartWi Connection Utility\CCP.exe
C:\Program Files\Sony Corporation\SmartWi Connection Utility\PowerManager.exe
C:\Program Files\Sony Corporation\SmartWi Connection Utility\ThirdPartyAppMgr.exe
C:\Program Files\Sony Corporation\SmartWi Connection Utility\UIManager.exe
C:\Program Files\Sony Corporation\SmartWi Connection Utility\SmartWi.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BluetoothHeadsetProxy.exe
C:\Windows\SysWOW64\ctfmon.exe
C:\Windows\SysWOW64\DllHost.exe
C:\ProgramData\{EA9CE86F-8625-4C5D-A7DE-52142EF5AB8A}\IMBoosterSetup.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://br.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files (x86)\pdfforge Toolbar\SearchSettings.dll
R3 - URLSearchHook: IMBooster4web-en Toolbar - {346de098-61f9-4b42-89da-6dfba7091bb6} - C:\Program Files (x86)\IMBooster4web-en\tbIMBo.dll
R3 - URLSearchHook: Iminent.BHO.NavigationError - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - C:\Program Files (x86)\Iminent\SearchTheWeb\Iminent.BHO.NavigationError.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IMBooster4web-en Toolbar - {346de098-61f9-4b42-89da-6dfba7091bb6} - C:\Program Files (x86)\IMBooster4web-en\tbIMBo.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: CHelperBHO - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - C:\Program Files (x86)\Iminent\SearchTheWeb\Iminent.BHO.NavigationError.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files (x86)\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Program Files (x86)\GbPlugin\gbieh.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files (x86)\pdfforge Toolbar\SearchSettings.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files (x86)\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files (x86)\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll
O3 - Toolbar: IMBooster4web-en Toolbar - {346de098-61f9-4b42-89da-6dfba7091bb6} - C:\Program Files (x86)\IMBooster4web-en\tbIMBo.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SmartWiHelper] "C:\Program Files\Sony Corporation\SmartWi Connection Utility\SmartWiHelper.exe" /WindowsStartup
O4 - HKLM\..\Run: [Intuit SyncManager] C:\Program Files (x86)\Common Files\Intuit\Sync\IntuitSyncManager.exe startup
O4 - HKLM\..\Run: [RegistrationReminder] "C:\Program Files\Sony\First Experience\OOBEFcdRegistration.exe"
O4 - HKLM\..\Run: [VAIOSurvey] "C:\Program Files (x86)\Sony\VAIO Survey\VAIO Sat Survey.exe"
O4 - HKLM\..\Run: [ISBMgr.exe] "C:\Program Files (x86)\Sony\ISB Utility\ISBMgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files (x86)\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [Hiyo] C:\Program Files (x86)\HiYo\bin\HiYo.exe /RunFromStartup
O4 - HKLM\..\Run: [Iminent.Notifier] C:\Program Files (x86)\Iminent\SearchTheWeb\Iminent.Notifier.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Global Startup: Bluetooth.lnk = ?
O4 - Global Startup: McAfee Security Scan.lnk = ?
O4 - Global Startup: QuickBooks Update Agent.lnk = C:\Program Files (x86)\Common Files\Intuit\QuickBooks\QBUpdate\qbupdate.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send image to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Send page to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Send To Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: Send to &Bluetooth Device... - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O15 - Trusted Zone: www.bancobrasil.com.br
O15 - Trusted Zone: www14.bancobrasil.com.br
O15 - Trusted Zone: www2.bancobrasil.com.br
O15 - Trusted Zone: www.bb.com.br
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/pt/uno1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: intu-help-qb2 - {84D77A00-41B5-4B8B-8ADF-86486D72E749} - C:\Program Files (x86)\Intuit\QuickBooks 2009\HelpAsyncPluggableProtocol.dll
O18 - Protocol: qbwc - {FC598A64-626C-4447-85B8-53150405FD57} - mscoree.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: GbPluginBb - C:\Program Files (x86)\GbPlugin\gbieh.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Dispositivo Celular da Apple (Apple Mobile Device) - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: Gbp Service (GbpSv) - - C:\PROGRA~2\GbPlugin\GbpSv.exe
O23 - Service: Google Update Service (gupdate1c9ce4d60c26918) (gupdate1c9ce4d60c26918) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files (x86)\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files (x86)\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: QBCFMonitorService - Intuit - C:\Program Files (x86)\Common Files\Intuit\QuickBooks\QBCFMonitorService.exe
O23 - Service: Intuit QuickBooks FCS (QBFCService) - Intuit Inc. - C:\Program Files (x86)\Common Files\Intuit\QuickBooks\FCS\Intuit.QuickBooks.FCS.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: Intel(R) Sample Collector (SampleCollector) - Intel Corporation - C:\Program Files\Sony\VAIO Care\collsvc.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: VAIO Media plus Content Importer (SOHCImp) - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\SOHLib\SOHCImp.exe
O23 - Service: VAIO Media plus Database Manager (SOHDBSvr) - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe
O23 - Service: VAIO Media plus Digital Media Server (SOHDms) - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\SOHLib\SOHDms.exe
O23 - Service: VAIO Media plus Device Searcher (SOHDs) - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\SOHLib\SOHDs.exe
O23 - Service: VAIO Media plus Playlist Manager (SOHPlMgr) - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: CamMonitor (uCamMonitor) - ArcSoft, Inc. - C:\Program Files (x86)\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\VAIO Entertainment Platform\VzHardwareResourceManager\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files (x86)\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Power Management - Sony Corporation - C:\Program Files\Sony\VAIO Power Management\SPMService.exe
O23 - Service: VAIO Content Folder Watcher (VCFw) - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe
O23 - Service: VAIO Content Metadata Intelligent Analyzing Manager (VcmIAlzMgr) - Sony Corporation - C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe
O23 - Service: VAIO Content Metadata XML Interface (VcmXmlIfHelper) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper64.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: XAudioService - Unknown owner - C:\Windows\system32\DRIVERS\xaudio64.exe (file missing)

--
End of file - 16566 bytes

Abraços

 

[TIGOS]

Nuss quanta tranqueira!

 

[Xleon]

Concordo!

Esse note não é meu e não quero arrumar para a cabeça tentando retirando o que não deve...

Abraços

 

[jazeusa]

Galera...provavelmente alguém já teve ou tem problemas com o famoso virus do MSN ( Fica enviando para nossos contatos ), depois de ler muito e procurar aplicativos sem sucesso, acabei encontrando em um site lá escondido a solução...Trocar a senha do MSN...fiz e já era...Tudo ok por aki...P quem já sabia favor desconsiderar...Vlw

 

[Megadeeth]

Faaaala Mestre Wolf blz??

Mr me tira uma duvida!!!!

Ouvi falar q aqueles programas q camuflam o nosso ip protege mais o pc,eh verdade??? eu ate uso aquele hide my ip q deixa a gnt escolher um ip de outro pais,mais de vez em quando fico com medo de me prejudicar.

Mto obrigado des de jah Mestre

um abraçao

 

[thi@go]

Galera...provavelmente alguém já teve ou tem problemas com o famoso virus do MSN ( Fica enviando para nossos contatos ), depois de ler muito e procurar aplicativos sem sucesso, acabei encontrando em um site lá escondido a solução...Trocar a senha do MSN...fiz e já era...Tudo ok por aki...P quem já sabia favor desconsiderar...Vlw

É mais ou menos por aí, vc tem que trocar a senha do msn num computador não infectado senão não adianta muita coisa, seu micro continua infectado e provavelmente vai apresentar esses sintomas novamente. Acredito que vc esteja infactado por um keylogger, poste um log do Hijackthis que o Mr. Wolf explica melhor isso pra vc pois a solução não é só trocar a senha e pronto.

 

[Mr.Wolf]

Boa tarde a todos!


Mauricio Fabiano, a página do resultado não carregou aqui também. Tem certeza de que copiou corretamente toda a URL? O resultado contém outras informações importantes que eu gostaria de ver. Mas, deixa pra lá.

Siga abaixo:

Spoiler

Abra o Bloco de Notas e cole este texto abaixo dentro:

@echo off
REM Created by Mr.Wolf [www.adrenaline.com.br]
cd %systemdrive%\     
regedit /a %systemdrive%\log.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"
Notepad %systemdrive%\log.txt

Salve no desktop como FileOP.bat e dê um duplo clique no arquivo. Um log será aberto.

Cole o conteúdo do log aqui.

______________________________


cg150mt, embora o log esteja apresentando entradas ocultas, ele está limpo. Já verificou se o problema não é de hardware?

De qualquer maneira vamos dar uma olhada.

Siga abaixo:

Spoiler

Faça o download do OTS e salve-o no desktop;

Dê um duplo clique em OTS.exe para executar a ferramenta.
Marque a opção Scan All Users. Em "File Age" coloque 90 Days;
Clique no botão Run Scan e aguarde o scan da ferramenta;
Será aberto um log chamado OTS.Txt, que também estará salvo no desltop.

Copie e cole este log em sua próxima resposta.

______________________________


luisednardo, está limpo.

______________________________


SecoBr, o Generic Host normalmente paralisa dois serviços do Windows Server 2003: o Servidor (ou Server) e o Localizador de computadores.

Instale esta atualização no Server 2003 e veja se o problema com o Generic Host persiste.

Siga abaixo também:

Spoiler

1ª Etapa

Faça o download desta ferramenta abaixo e salve em sua unidade C:
http://www.gmer.net/download.php

Desconecte-se da Internet e feche todos os programas abertos.
Desative temporariamente seus programas de proteção.
Dê um duplo clique no arquivo que acabou de baixar para executar a ferramenta.
Clique na guia "Rootkit/Malware" e veja se, ao lado direito do painel, todos os itens estão marcados. Conforme a imagem abaixo:

Selecione sua unidade C: e clique no botão Scan para iniciar a varredura. Seja paciente, pois pode levar alguns minutos!
Quando o scan terminar, clique no botão Save para salvar o relatório em seu desktop. Salve como Resultado.log.
Feche a ferramenta e reative todos os seus programas de proteção que foram desativados.

Copie e cole este relatório em sua próxima resposta.


2ª Etapa

Faça o download do DDS e salve no desktop

• Desative temporariamente seu antivirus e dê um duplo clique em dds.scr;
• Abrirá uma tela do DOS para você. Apenas aguarde;
• Ao término, serão abertos automaticamente dois logs. Um com o nome DDS.txt e outro Attach.txt. Estes logs também estarão salvos no desktop.

Cole os logs em sua próxima resposta.

______________________________


defante, nunca se deixe enganar por estes pseudos códigos Javascripts para o Orkut. A maioria deles são maliciosos. Dê uma lida neste tópico.

O criador do site Moedas Verdes já recebeu inúmeras denúncias, e o site já foi derrubado mais de quatro vezes. Porém, o criador sempre cria novos sites com nomes aleatórios. O site já se chamou DeTudoEmUm, ArchiveDWOnline, dentre outros.

Recomendo que troque imediatamente a senha de seu perfil do Orkut, pois provavelmente está nas mãos de algum criminoso virtual.

Quanto a mensagem de erro do Google, ocorre com o Firefox e com o Internet Explorer?

Siga abaixo:

Spoiler

1ª Etapa

Baixe e instale o CCleaner. Rode o programa e limpe os arquivos temporários.

Baixe o TFC e salve-o no desktop

Salve tudo que estiver fazendo e feche todos os programas abertos
Clique no botão Start e aguarde a rápida verificação. Dê um OK na mensagem e aguarde o PC reiniciar.


2ª Etapa

Faça o download do OTL e salve-o no desktop;

● Dê um duplo clique em OTL.exe para executá-lo;
● Marque as opções: Verificar All Users, Verificar Lop e Verificar Purity;
● Na janela Exames Personalizados/Correções, cole o texto abaixo:

netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90

● Clique no botão Verificar e aguarde o scan;
● Dois logs serão abertos no Bloco de Notas:

- OTL.Txt <- este será aberto
- Extras.Txt <- este estará minimizado

Eles também estarão salvos no desktop. Cole-os em sua próxima resposta.

______________________________


Opa Xleon

Diga ao dono da máquina que altere a senha do e-mail dele em um computador 100% limpo, a princípio.

O log ocultou algumas entradas interessantes. Vamos dar uma espiada nelas.

Siga abaixo:

Spoiler

- Faça o download do RSIT e salve no seu desktop;

● Dê dois cliques em RSIT.exe para executar o programa;
● Na janela que abrir clique no botão Continue para que a ferramenta comece a rodar;
● Quando a ferramenta terminar de rodar, abrirá um log automaticamente no bloco de notas contendo o resultado do scan. Cole o resultado desse log (log.txt) na sua próxima resposta;
● Cole também o conteúdo do arquivo info.txt que estará em C:\rsit\info.txt.

______________________________


Megadeeth, mentira. Estes programas não ajudam nem um pouco na sua segurança. Podem, talvez, ajudar sua privacidade, o que é diferente. Não haverá nenhuma mudança na sua segurança porque, caso você visite um site malicioso, o conteúdo malicioso será repassado ao seu computador como se você estivesse navegando diretamente na Internet. A infecção vai ocorrer da mesma forma e seu computador estará comprometido.

Também não adianta esconder seu IP verdadeiro, porque as infecções que se espalham pela rede “varrem” todos os IPs da Internet, um a um, procurando por um computador vulnerável.

Quanto à privacidade, aí sim pode haver um ganho. Mas isso só vale se você está querendo vazar alguma informação que pode lhe trazer problemas judiciais, por exemplo. Aí, a ideia é se esconder, mesmo. Para esse fim, no entanto, existem soluções melhores e gratuitas, como é o caso do Tor. Portanto, sua segurança não aumenta com um proxy. Ela na verdade diminui, porque, ao passar por um proxy, sua conexão faz um caminho muito maior na rede. Além de ficar mais lenta, isso significa que um número muito maior de equipamentos e redes fica responsável por transportar as informações, o que pode permitir a eles interceptá-las. Isso não é comum, mas um proxy público pode muito bem tentar interceptar seus dados.

Não recomendo o uso de proxies na navegação do dia a dia. Seu IP não é informação pessoal, a não ser que você esteja fazendo algo muito duvidoso que possa lhe causar problemas na justiça.

 

[Megadeeth]

Megadeeth, mentira. Estes programas não ajudam nem um pouco na sua segurança. Podem, talvez, ajudar sua privacidade, o que é diferente. Não haverá nenhuma mudança na sua segurança porque, caso você visite um site malicioso, o conteúdo malicioso será repassado ao seu computador como se você estivesse navegando diretamente na Internet. A infecção vai ocorrer da mesma forma e seu computador estará comprometido.

Também não adianta esconder seu IP verdadeiro, porque as infecções que se espalham pela rede “varrem” todos os IPs da Internet, um a um, procurando por um computador vulnerável.

Quanto à privacidade, aí sim pode haver um ganho. Mas isso só vale se você está querendo vazar alguma informação que pode lhe trazer problemas judiciais, por exemplo. Aí, a ideia é se esconder, mesmo. Para esse fim, no entanto, existem soluções melhores e gratuitas, como é o caso do Tor. Portanto, sua segurança não aumenta com um proxy. Ela na verdade diminui, porque, ao passar por um proxy, sua conexão faz um caminho muito maior na rede. Além de ficar mais lenta, isso significa que um número muito maior de equipamentos e redes fica responsável por transportar as informações, o que pode permitir a eles interceptá-las. Isso não é comum, mas um proxy público pode muito bem tentar interceptar seus dados.

Não recomendo o uso de proxies na navegação do dia a dia. Seu IP não é informação pessoal, a não ser que você esteja fazendo algo muito duvidoso que possa lhe causar problemas na justiça.

Boa tarde Mestre

Mtissimooooo obrigado pela explicaçao.Vou parar de usar o programa e desinstalar ele logo q chegar em ksa. Ta loco nunca mais hauaheu !!!!!!

Mestre mudando um pouco de assunto!!! ñ sei se sabe mais faz um tempo q to trampando na loja do meu tio de brinquedos e tal,e ele me deixou responsavel pelo pc da loja.Eu ~ñ manjo nada como vc pra proteger aki mais ate ontem tava blz.Agente ta com o avira premium aki no pc e o malwarebytes e o firewall do avira msm.

Hj quando liguei o pc de manhã apareceu um erro dizendo q o arquivo 00001 do sistema tava corrompido.Procurei no google e ñ achei nadinha sobre esse erro.

Como eu ñ sei o q eh isso queria saber se vc sabe??? ñ sei se eh virus ou nao.E ñ da pra tirar uma foto do erro pq eh bem na hr q o windows liga q aparece akela tela bem-vindo sabe???? ja nakela tela azul de bem-vindo surge a msg e depois de uns 5 minutos soh q o windows entra normal.

Tem alguma ideia do q pode ser pra mi ajudar???

Se ñ souber ta tranquilo,eh soh pra saber msm aproveitar q vc manja de bastante coisa

Mto obrigado por tudo Mestre

um abraçao

 

[Mr.Wolf]

É XP, Megadeeth?

 

[Megadeeth]

Eh xp sim Mestre ^^