Remoção de vírus

[Asta.ini]

Mr. Wolf,
O reltório do scan do Kaspersky está aqui.
Não sei o que houve, mas parece que o virus sumiu, não é?
Dá uma conferida aí, please.

Valeu!!

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Wednesday, November 12, 2008
Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Wednesday, November 12, 2008 15:06:20
Records in database: 1381677
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\

Scan statistics:
Files scanned: 43912
Threat name: 0
Infected objects: 0
Suspicious objects: 0
Duration of the scan: 01:17:34

No malware has been detected. The scan area is clean.

The selected area was scanned.

 

[Mr.Wolf]

Exatamente Asta.ini.

A infecção foi removida pelo ComboFix que lhe pedi para rodar anteriormente. O scan no Kaspersky foi para uma possível conclusão da remoção. Portanto, como pôde ver no log do Kaspersky Online, não há nada mais na máquina.

Vá em Iniciar > Executar, digite: combofix /u e tecle Enter para remover o ComboFix daí. Exclua suas pastas em C: também.

Como está o computador Asta.ini?

 

[fuhrer]

Clear or virus/spyware?

Logfile of HijackThis v1.99.1
Scan saved at 16:18:14, on 12/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Arquivos de programas\Windows Live\Family Safety\fsui.exe
C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe
C:\Arquivos de programas\Lavasoft\Ad-Aware\aawservice.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Amanda\Desktop\Utilidades\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [fssui] "C:\Arquivos de programas\Windows Live\Family Safety\fsui.exe" -autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1220467178781
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220474316125
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://imagem.caixa.gov.br/cab/gbpdist.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - (no file)
O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Arquivos de programas\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Arquivos de programas\Windows Live\installer\WLSetupSvc.exe (file missing)




--------------------------------

                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 
                        º                                    º 
                                    hjtscanlist v2.0              
                        º                                    º 
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 

Microsoft Windows XP [versÆo 5.1.2600]
 
 
C:

  12/11/2008 11:42      C:\WINDOWS --------- 0 
        C:\pagefile.sys ---------  
  06/11/2008 08:57      C:\Arquivos de programas --------- 0 
  04/09/2008 15:55      C:\ntldr --------- 251696 
  03/09/2008 18:34      C:\sqmdata00.sqm --------- 268 
  03/09/2008 18:34      C:\sqmnoopt00.sqm --------- 244 
  03/09/2008 16:06      C:\RECYCLER --------- 0 
  03/09/2008 13:07      C:\Documents and Settings --------- 0 
  03/09/2008 13:06      C:\System Volume Information --------- 0 
  03/09/2008 13:03      C:\AUTOEXEC.BAT --------- 0 
  03/09/2008 13:03      C:\MSDOS.SYS --------- 0 
  03/09/2008 13:03      C:\IO.SYS --------- 0 
  03/09/2008 13:03      C:\CONFIG.SYS --------- 0 
  03/09/2008 13:00      C:\boot.ini --------- 211 
  03/08/2004 23:38      C:\NTDETECT.COM --------- 47564 
  28/10/2001 13:06      C:\Bootfont.bin --------- 4952 
----------------------------------------

 
C:\WINDOWS

  12/11/2008 15:00     C:\WINDOWS\WindowsUpdate.log --------- 1492414 
  12/11/2008 10:25     C:\WINDOWS\bootstat.dat --------- 2048 
  12/11/2008 09:43     C:\WINDOWS\SchedLgU.Txt --------- 32574 
  03/11/2008 01:12     C:\WINDOWS\NeroDigital.ini --------- 116 
  05/10/2008 23:22     C:\WINDOWS\PhotoSnapViewer.INI --------- 151 
  22/09/2008 20:53     C:\WINDOWS\win.ini --------- 507 
  07/09/2008 15:05     C:\WINDOWS\eReg.dat --------- 718 
  05/09/2008 16:56     C:\WINDOWS\WLXPGSS.SCR --------- 287744 
  04/09/2008 16:05     C:\WINDOWS\WMSysPr9.prx --------- 316640 
  03/09/2008 18:25     C:\WINDOWS\nsreg.dat --------- 0 
  03/09/2008 13:09     C:\WINDOWS\HideWin.exe --------- 315392 
  03/09/2008 13:05     C:\WINDOWS\REGLOCS.OLD --------- 8192 
  03/09/2008 13:03     C:\WINDOWS\control.ini --------- 0 
  03/09/2008 13:03     C:\WINDOWS\ODBCINST.INI --------- 4205 
  03/09/2008 13:02     C:\WINDOWS\WindowsShell.Manifest --------- 749 
  03/09/2008 13:01     C:\WINDOWS\vb.ini --------- 36 
  03/09/2008 13:01     C:\WINDOWS\vbaddin.ini --------- 37 
  03/09/2008 09:51     C:\WINDOWS\system.ini --------- 231 
  30/07/2008 17:09     C:\WINDOWS\avisplitter.ini --------- 38 
  13/04/2008 20:21     C:\WINDOWS\winhlp32.exe --------- 287744 
  13/04/2008 20:21     C:\WINDOWS\slrundll.exe --------- 32866 
  13/04/2008 20:21     C:\WINDOWS\regedit.exe --------- 150528 
  13/04/2008 20:21     C:\WINDOWS\notepad.exe --------- 70144 
  13/04/2008 20:21     C:\WINDOWS\hh.exe --------- 10752 
  13/04/2008 20:21     C:\WINDOWS\explorer.exe --------- 1035776 
  13/04/2008 20:20     C:\WINDOWS\twain_32.dll --------- 50688 
  20/08/2007 05:38     C:\WINDOWS\RTHDCPL.exe --------- 16384512 
  03/08/2007 03:22     C:\WINDOWS\SkyTel.exe --------- 1826816 
  26/07/2007 08:06     C:\WINDOWS\RtlUpd.exe --------- 1191936 
  26/07/2007 07:09     C:\WINDOWS\RtlExUpd.dll --------- 520192 
  28/06/2007 06:44     C:\WINDOWS\MicCal.exe --------- 2165760 
  23/03/2007 09:19     C:\WINDOWS\RTLCPL.exe --------- 9715200 
  28/12/2006 13:01     C:\WINDOWS\002679_.tmp --------- 19569 
  21/07/2006 06:14     C:\WINDOWS\SoundMan.exe --------- 86016 
  14/07/2006 18:29     C:\WINDOWS\UNNeroMediaHome.exe --------- 966656 
  14/07/2006 18:29     C:\WINDOWS\UNNeroShowTime.exe --------- 966656 
  14/07/2006 18:29     C:\WINDOWS\UNNeroBackItUp.exe --------- 966656 
  14/07/2006 18:29     C:\WINDOWS\UNNeroVision.exe --------- 966656 
  14/07/2006 18:29     C:\WINDOWS\UNRecode.exe --------- 966656 
  04/05/2006 06:26     C:\WINDOWS\alcwzrd.exe --------- 2808832 
  15/09/2005 15:35     C:\WINDOWS\UNNeroMediaHome.cfg --------- 50 
  30/08/2005 22:37     C:\WINDOWS\UNNeroVision.cfg --------- 50 
  30/08/2005 22:37     C:\WINDOWS\UNNeroShowTime.cfg --------- 50 
  30/08/2005 22:36     C:\WINDOWS\UNRecode.cfg --------- 50 
  30/08/2005 22:33     C:\WINDOWS\UNNeroBackItUp.cfg --------- 50 
  03/05/2005 08:43     C:\WINDOWS\Alcmtr.exe --------- 69632 
  04/08/2004 02:40     C:\WINDOWS\SET3.tmp --------- 1014492 
  04/08/2004 02:34     C:\WINDOWS\SET8.tmp --------- 14043 
  04/08/2004 02:31     C:\WINDOWS\SET4.tmp --------- 1086058 
  28/10/2001 13:07     C:\WINDOWS\_default.pif --------- 707 
  28/10/2001 13:07     C:\WINDOWS\Tapete.bmp --------- 9522 
  28/10/2001 13:07     C:\WINDOWS\wmprfPTB.prx --------- 34666 
  28/10/2001 13:07     C:\WINDOWS\winhelp.exe --------- 304000 
  28/10/2001 13:07     C:\WINDOWS\winnt256.bmp --------- 48680 
  28/10/2001 13:07     C:\WINDOWS\winnt.bmp --------- 48680 
  28/10/2001 13:07     C:\WINDOWS\vmmreg32.dll --------- 18944 
  28/10/2001 13:07     C:\WINDOWS\twain.dll --------- 94832 
  28/10/2001 13:07     C:\WINDOWS\twunk_16.exe --------- 49680 
  28/10/2001 13:07     C:\WINDOWS\twunk_32.exe --------- 25600 
  28/10/2001 13:07     C:\WINDOWS\TASKMAN.EXE --------- 15360 
  28/10/2001 13:07     C:\WINDOWS\desktop.ini --------- 2 
  28/10/2001 13:07     C:\WINDOWS\Rododentro.bmp --------- 17362 
  28/10/2001 13:07     C:\WINDOWS\Leques.bmp --------- 26680 
  28/10/2001 13:07     C:\WINDOWS\Deserto.bmp --------- 65832 
  28/10/2001 13:07     C:\WINDOWS\Bruma.bmp --------- 65954 
  28/10/2001 13:07     C:\WINDOWS\msdfmap.ini --------- 1405 
  28/10/2001 13:06     C:\WINDOWS\Pescaria.bmp --------- 17336 
  28/10/2001 13:06     C:\WINDOWS\Areia.bmp --------- 26582 
  28/10/2001 13:06     C:\WINDOWS\Seda.bmp --------- 16730 
  28/10/2001 13:06     C:\WINDOWS\explorer.scf --------- 80 
  28/10/2001 13:06     C:\WINDOWS\clock.avi --------- 82944 
  28/10/2001 13:06     C:\WINDOWS\Cafezinho.bmp --------- 17062 
  28/10/2001 13:06     C:\WINDOWS\Bolhas de sabÆo.bmp --------- 65978 
  28/10/2001 13:06     C:\WINDOWS\Renda azul 16.bmp --------- 1272 
  02/04/1999 17:37     C:\WINDOWS\NPSExec.exe --------- 33792 
  29/10/1998 18:45     C:\WINDOWS\IsUninst.exe --------- 306688 
----------------------------------------

 
C:\WINDOWS\System

 13/04/2008 20:21    C:\WINDOWS\System\winspool.drv --------- 146944 
 04/08/2004 01:35    C:\WINDOWS\System\MMSYSTEM.DLL --------- 70080 
 28/10/2001 13:07    C:\WINDOWS\System\WFWNET.DRV --------- 13600 
 28/10/2001 13:07    C:\WINDOWS\System\VER.DLL --------- 9072 
 28/10/2001 13:07    C:\WINDOWS\System\VGA.DRV --------- 2176 
 28/10/2001 13:07    C:\WINDOWS\System\TIMER.DRV --------- 4096 
 28/10/2001 13:07    C:\WINDOWS\System\TAPI.DLL --------- 19200 
 28/10/2001 13:07    C:\WINDOWS\System\SYSTEM.DRV --------- 3360 
 28/10/2001 13:07    C:\WINDOWS\System\stdole.tlb --------- 5532 
 28/10/2001 13:07    C:\WINDOWS\System\SOUND.DRV --------- 1744 
 28/10/2001 13:07    C:\WINDOWS\System\setup.inf --------- 59167 
 28/10/2001 13:07    C:\WINDOWS\System\SHELL.DLL --------- 5120 
 28/10/2001 13:07    C:\WINDOWS\System\OLESVR.DLL --------- 24064 
 28/10/2001 13:07    C:\WINDOWS\System\OLECLI.DLL --------- 83456 
 28/10/2001 13:07    C:\WINDOWS\System\MSVIDEO.DLL --------- 127120 
 28/10/2001 13:07    C:\WINDOWS\System\MOUSE.DRV --------- 2032 
 28/10/2001 13:07    C:\WINDOWS\System\MMTASK.TSK --------- 1152 
 28/10/2001 13:06    C:\WINDOWS\System\MCIAVI.DRV --------- 73632 
 28/10/2001 13:06    C:\WINDOWS\System\MCIWAVE.DRV --------- 28160 
 28/10/2001 13:06    C:\WINDOWS\System\MCISEQ.DRV --------- 25296 
 28/10/2001 13:06    C:\WINDOWS\System\LZEXPAND.DLL --------- 9936 
 28/10/2001 13:06    C:\WINDOWS\System\KEYBOARD.DRV --------- 2000 
 28/10/2001 13:06    C:\WINDOWS\System\COMMDLG.DLL --------- 33504 
 28/10/2001 13:06    C:\WINDOWS\System\AVICAP.DLL --------- 70144 
 28/10/2001 13:06    C:\WINDOWS\System\AVIFILE.DLL --------- 109536 
----------------------------------------

 
C:\WINDOWS\System32

 09/11/2008 10:39     C:\WINDOWS\system32\wpa.dbl --------- 2262 
 07/11/2008 01:44     C:\WINDOWS\system32\CatRoot2 --------- 0 
 04/11/2008 07:59     C:\WINDOWS\system32\drivers --------- 0 
 03/11/2008 21:50     C:\WINDOWS\system32\LogFiles --------- 0 
 24/10/2008 18:14     C:\WINDOWS\system32\dllcache --------- 0 
 19/10/2008 07:44     C:\WINDOWS\system32\perfc016.dat --------- 67744 
 19/10/2008 07:44     C:\WINDOWS\system32\perfh016.dat --------- 425704 
 19/10/2008 07:44     C:\WINDOWS\system32\perfh009.dat --------- 392692 
 19/10/2008 07:44     C:\WINDOWS\system32\perfc009.dat --------- 58992 
 19/10/2008 07:44     C:\WINDOWS\system32\PerfStringBackup.INI --------- 954838 
 15/10/2008 19:53     C:\WINDOWS\system32\FNTCACHE.DAT --------- 95864 
 15/10/2008 14:36     C:\WINDOWS\system32\netapi32.dll --------- 337408 
 03/10/2008 15:26     C:\WINDOWS\system32\ieframe.dll --------- 6066176 
 03/10/2008 10:30     C:\WINDOWS\system32\lame_acm.xml --------- 414 
 01/10/2008 23:48     C:\WINDOWS\system32\jupdate-1.6.0_07-b06.log --------- 6603 
 24/09/2008 16:41     C:\WINDOWS\system32\lameACM.acm --------- 839680 
 22/09/2008 20:54     C:\WINDOWS\system32\nscompat.tlb --------- 23392 
 22/09/2008 20:54     C:\WINDOWS\system32\amcompat.tlb --------- 16832 
 20/09/2008 18:46     C:\WINDOWS\system32\DirectX --------- 0 
 20/09/2008 17:24     C:\WINDOWS\system32\CatRoot --------- 0 
 20/09/2008 15:22     C:\WINDOWS\system32\DRVSTORE --------- 0 
 20/09/2008 15:20     C:\WINDOWS\system32\mui --------- 0 
 20/09/2008 14:44     C:\WINDOWS\system32\appmgmt --------- 0 
 15/09/2008 22:14     C:\WINDOWS\system32\qt-dx331.dll --------- 3596288 
 15/09/2008 22:14     C:\WINDOWS\system32\pxmas.dll --------- 187128 
 15/09/2008 22:14     C:\WINDOWS\system32\pxhpinst.exe --------- 72440 
 15/09/2008 22:14     C:\WINDOWS\system32\pxwave.dll --------- 379640 
 15/09/2008 22:14     C:\WINDOWS\system32\pxdrv.dll --------- 518904 
 15/09/2008 22:14     C:\WINDOWS\system32\vxblock.dll --------- 88824 
 15/09/2008 22:14     C:\WINDOWS\system32\pxinsa64.exe --------- 64760 
 15/09/2008 22:14     C:\WINDOWS\system32\px.dll --------- 551672 
 15/09/2008 22:14     C:\WINDOWS\system32\pxsfs.dll --------- 1628920 
 15/09/2008 22:14     C:\WINDOWS\system32\pxcpya64.exe --------- 66296 
 15/09/2008 22:14     C:\WINDOWS\system32\pxafs.dll --------- 129784 
 15/09/2008 22:12     C:\WINDOWS\system32\dpl100.dll --------- 81920 
 15/09/2008 22:11     C:\WINDOWS\system32\divx.dll --------- 683520 
 15/09/2008 22:11     C:\WINDOWS\system32\DivXCodecVersionChecker.exe --------- 161096 
 15/09/2008 13:26     C:\WINDOWS\system32\win32k.sys --------- 1846528 
 10/09/2008 17:56     C:\WINDOWS\system32\rmoc3260.dll --------- 185920 
 09/09/2008 01:03     C:\WINDOWS\system32\sirenacm.dll --------- 51712 
 04/09/2008 16:04     C:\WINDOWS\system32\spupdwxp.log --------- 269 
 04/09/2008 16:04     C:\WINDOWS\system32\Setup --------- 0 
 04/09/2008 16:04     C:\WINDOWS\system32\wbem --------- 0 
 04/09/2008 16:02     C:\WINDOWS\system32\CatRoot_bak --------- 0 
 04/09/2008 15:57     C:\WINDOWS\system32\inetsrv --------- 0 
 04/09/2008 15:57     C:\WINDOWS\system32\pt-br --------- 0 
 04/09/2008 15:57     C:\WINDOWS\system32\usmt --------- 0 
 04/09/2008 15:57     C:\WINDOWS\system32\bits --------- 0 
 04/09/2008 15:56     C:\WINDOWS\system32\Restore --------- 0 
 04/09/2008 15:56     C:\WINDOWS\system32\npp --------- 0 
 04/09/2008 15:56     C:\WINDOWS\system32\Com --------- 0 
 04/09/2008 15:56     C:\WINDOWS\system32\oobe --------- 0 
 04/09/2008 15:54     C:\WINDOWS\system32\ReinstallBackups --------- 0 
 03/09/2008 18:31     C:\WINDOWS\system32\TZLog.log --------- 208590 
 03/09/2008 16:45     C:\WINDOWS\system32\PreInstall --------- 0 
 03/09/2008 16:41     C:\WINDOWS\system32\SoftwareDistribution --------- 0 
 03/09/2008 16:21     C:\WINDOWS\system32\config --------- 0 
 03/09/2008 16:20     C:\WINDOWS\system32\CONFIG.NT --------- 3018 
 03/09/2008 14:21     C:\WINDOWS\system32\Macromed --------- 0 
 03/09/2008 13:43     C:\WINDOWS\system32\nvapps.xml --------- 140158 
 03/09/2008 13:11     C:\WINDOWS\system32\BuzzingBee.wav --------- 146650 
 03/09/2008 13:11     C:\WINDOWS\system32\LoopyMusic.wav --------- 940794 
 03/09/2008 13:11     C:\WINDOWS\system32\Lang --------- 0 
 03/09/2008 13:10     C:\WINDOWS\system32\RTCOM --------- 0 
 03/09/2008 13:06     C:\WINDOWS\system32\Microsoft --------- 0 
 03/09/2008 13:04     C:\WINDOWS\system32\$winnt$.inf --------- 261 
 03/09/2008 13:03     C:\WINDOWS\system32\xircom --------- 0 
 03/09/2008 13:03     C:\WINDOWS\system32\ias --------- 0 
 03/09/2008 13:02     C:\WINDOWS\system32\logonui.exe.manifest --------- 488 
 03/09/2008 13:02     C:\WINDOWS\system32\WindowsLogon.manifest --------- 488 
 03/09/2008 13:02     C:\WINDOWS\system32\sapi.cpl.manifest --------- 749 
 03/09/2008 13:02     C:\WINDOWS\system32\ncpa.cpl.manifest --------- 749 
 03/09/2008 13:02     C:\WINDOWS\system32\nwc.cpl.manifest --------- 749 
 03/09/2008 13:02     C:\WINDOWS\system32\cdplayer.exe.manifest --------- 749 
 03/09/2008 13:02     C:\WINDOWS\system32\wuaucpl.cpl.manifest --------- 749 
 03/09/2008 13:01     C:\WINDOWS\system32\emptyregdb.dat --------- 21844 
 03/09/2008 13:01     C:\WINDOWS\system32\MsDtc --------- 0 
 03/09/2008 13:00     C:\WINDOWS\system32\spool --------- 0 
 03/09/2008 09:59     C:\WINDOWS\system32\h323log.txt --------- 0 
 03/09/2008 09:49     C:\WINDOWS\system32\1046 --------- 0 
 03/09/2008 09:48     C:\WINDOWS\system32\ras --------- 0 
 03/09/2008 09:48     C:\WINDOWS\system32\icsxml --------- 0 
 03/09/2008 09:47     C:\WINDOWS\system32\1033 --------- 0 
 03/09/2008 09:47     C:\WINDOWS\system32\3com_dmi --------- 0 
 03/09/2008 09:47     C:\WINDOWS\system32\IME --------- 0 
 03/09/2008 09:47     C:\WINDOWS\system32\1028 --------- 0 
 03/09/2008 09:47     C:\WINDOWS\system32\1054 --------- 0 
 03/09/2008 09:47     C:\WINDOWS\system32\1025 --------- 0 
 03/09/2008 09:47     C:\WINDOWS\system32\export --------- 0 
 03/09/2008 09:47     C:\WINDOWS\system32\1031 --------- 0 
 03/09/2008 09:47     C:\WINDOWS\system32\1042 --------- 0 
 03/09/2008 09:47     C:\WINDOWS\system32\1041 --------- 0 
 03/09/2008 09:47     C:\WINDOWS\system32\1037 --------- 0 
 03/09/2008 09:47     C:\WINDOWS\system32\2052 --------- 0 
 03/09/2008 09:47     C:\WINDOWS\system32\3076 --------- 0 
 03/09/2008 09:47     C:\WINDOWS\system32\wins --------- 0 
 03/09/2008 09:47     C:\WINDOWS\system32\ShellExt --------- 0 
 03/09/2008 09:47     C:\WINDOWS\system32\dhcp --------- 0 
 27/08/2008 07:11     C:\WINDOWS\system32\mshtml.dll --------- 3593216 
 26/08/2008 06:11     C:\WINDOWS\system32\wininet.dll --------- 826368 
----------------------------------------

 
C:\WINDOWS\Prefetch

 12/11/2008 16:19     C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf --------- 12876 
 12/11/2008 16:18     C:\WINDOWS\Prefetch\HIJACKTHIS.EXE-0865EC45.pf --------- 80998 
 12/11/2008 16:18     C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf --------- 62740 
 12/11/2008 15:55     C:\WINDOWS\Prefetch\TASKMGR.EXE-20256C55.pf --------- 19298 
 12/11/2008 15:31     C:\WINDOWS\Prefetch\WLLOGINPROXY.EXE-29B1D69D.pf --------- 35106 
 12/11/2008 15:30     C:\WINDOWS\Prefetch\IEXPLORE.EXE-2B53DE18.pf --------- 88088 
 12/11/2008 15:00     C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf --------- 28514 
 12/11/2008 14:32     C:\WINDOWS\Prefetch\FIREFOX.EXE-1362643C.pf --------- 98798 
 12/11/2008 14:26     C:\WINDOWS\Prefetch\AVAST.SETUP-26C2652C.pf --------- 81662 
 12/11/2008 12:25     C:\WINDOWS\Prefetch\ANTIALIAS.EXE-34C48D48.pf --------- 13416 
 12/11/2008 12:25     C:\WINDOWS\Prefetch\DEINTERLACE.EXE-0BB50B1D.pf --------- 39486 
 12/11/2008 12:24     C:\WINDOWS\Prefetch\SHARPEN.EXE-125B6254.pf --------- 40508 
 12/11/2008 12:24     C:\WINDOWS\Prefetch\PIXELIZE.EXE-0E620B23.pf --------- 40618 
 12/11/2008 12:24     C:\WINDOWS\Prefetch\SCRIPT-FU.EXE-1FC46340.pf --------- 46120 
 12/11/2008 12:23     C:\WINDOWS\Prefetch\FILE-JPEG.EXE-0546E85B.pf --------- 61530 
 12/11/2008 12:23     C:\WINDOWS\Prefetch\GIMP-2.6.EXE-0646E245.pf --------- 86516 
 12/11/2008 11:45     C:\WINDOWS\Prefetch\CCLEANER.EXE-16242569.pf --------- 171596 
 12/11/2008 11:44     C:\WINDOWS\Prefetch\RUNDLL32.EXE-2BF3472E.pf --------- 33554 
 12/11/2008 11:39     C:\WINDOWS\Prefetch\CLEANMGR.EXE-1F86EA8E.pf --------- 88826 
 12/11/2008 11:28     C:\WINDOWS\Prefetch\THREATWORK.EXE-3982F218.pf --------- 12422 
 12/11/2008 11:13     C:\WINDOWS\Prefetch\AD-AWARE.EXE-2CE0F246.pf --------- 45218 
 12/11/2008 11:13     C:\WINDOWS\Prefetch\AAWSERVICE.EXE-04632A0A.pf --------- 55688 
 12/11/2008 10:43     C:\WINDOWS\Prefetch\USNSVC.EXE-23426FC1.pf --------- 44110 
 12/11/2008 10:43     C:\WINDOWS\Prefetch\MSNMSGR.EXE-304664B4.pf --------- 65806 
 12/11/2008 10:26     C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf --------- 34492 
 12/11/2008 10:26     C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf --------- 1061268 
 11/11/2008 21:52     C:\WINDOWS\Prefetch\RUNDLL32.EXE-12E27DD0.pf --------- 20028 
 11/11/2008 20:14     C:\WINDOWS\Prefetch\HELPSVC.EXE-2878DDA2.pf --------- 46876 
 11/11/2008 17:29     C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf --------- 23296 
 11/11/2008 17:27     C:\WINDOWS\Prefetch\RUNDLL32.EXE-268BFF96.pf --------- 12884 
 11/11/2008 16:29     C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf --------- 23882 
 11/11/2008 16:29     C:\WINDOWS\Prefetch\MSPAINT.EXE-11CBB631.pf --------- 44366 
 11/11/2008 16:26     C:\WINDOWS\Prefetch\SETUP.OVR-164F764D.pf --------- 22818 
 11/11/2008 14:35     C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf --------- 78036 
 11/11/2008 14:35     C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf --------- 16490 
 11/11/2008 14:35     C:\WINDOWS\Prefetch\Layout.ini --------- 608228 
 11/11/2008 13:17     C:\WINDOWS\Prefetch\CALC.EXE-02CD573A.pf --------- 13710 
 10/11/2008 19:57     C:\WINDOWS\Prefetch\IMAPI.EXE-0BF740A4.pf --------- 17812 
 10/11/2008 19:57     C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf --------- 13354 
 10/11/2008 19:54     C:\WINDOWS\Prefetch\DVD SHRINK 3.2.EXE-15C7A414.pf --------- 48352 
 10/11/2008 15:17     C:\WINDOWS\Prefetch\SOFTGLOW.EXE-3B2CED48.pf --------- 40618 
 10/11/2008 15:17     C:\WINDOWS\Prefetch\CUBISM.EXE-2B32E742.pf --------- 41262 
 09/11/2008 20:33     C:\WINDOWS\Prefetch\ASHWEBSV.EXE-13A80AA4.pf --------- 20904 
 09/11/2008 20:33     C:\WINDOWS\Prefetch\ALG.EXE-0F138680.pf --------- 15418 
 09/11/2008 20:33     C:\WINDOWS\Prefetch\ASHMAISV.EXE-1A593E3B.pf --------- 48950 
 09/11/2008 20:33     C:\WINDOWS\Prefetch\RUNDLL32.EXE-35A483DA.pf --------- 22068 
 08/11/2008 22:11     C:\WINDOWS\Prefetch\WINAMP.EXE-22EEEFC3.pf --------- 80814 
 08/11/2008 22:11     C:\WINDOWS\Prefetch\ADOBE_UPDATER.EXE-244C22BF.pf --------- 41568 
 08/11/2008 22:11     C:\WINDOWS\Prefetch\LOGTRANSPORT2.EXE-33FC53F7.pf --------- 33812 
 08/11/2008 22:11     C:\WINDOWS\Prefetch\ACRORD32.EXE-34A08EDB.pf --------- 56772 
 08/11/2008 22:11     C:\WINDOWS\Prefetch\ACRORD32INFO.EXE-278F5F5E.pf --------- 58468 
 08/11/2008 21:30     C:\WINDOWS\Prefetch\WMPLAYER.EXE-0366FBE3.pf --------- 63298 
 08/11/2008 21:30     C:\WINDOWS\Prefetch\WMPLAYER.EXE-0366FBE4.pf --------- 62052 
 08/11/2008 13:34     C:\WINDOWS\Prefetch\RUNDLL32.EXE-4D0B8D0B.pf --------- 43530 
 07/11/2008 19:23     C:\WINDOWS\Prefetch\BLUR-MOTION.EXE-213A4AAC.pf --------- 41568 
 07/11/2008 19:16     C:\WINDOWS\Prefetch\CROP-ZEALOUS.EXE-363063F8.pf --------- 14834 
 07/11/2008 18:52     C:\WINDOWS\Prefetch\LIGHTING.EXE-1C88D091.pf --------- 42632 
 07/11/2008 17:39     C:\WINDOWS\Prefetch\TASKLIST.EXE-10D94B23.pf --------- 24360 
 07/11/2008 17:39     C:\WINDOWS\Prefetch\WINRAR.EXE-09D6614C.pf --------- 115326 
 07/11/2008 17:39     C:\WINDOWS\Prefetch\ASHQUICK.EXE-359EDF80.pf --------- 115538 
 07/11/2008 17:20     C:\WINDOWS\Prefetch\WMPLAYER.EXE-0366FBEB.pf --------- 62996 
 07/11/2008 11:34     C:\WINDOWS\Prefetch\SPARKLE.EXE-221559E3.pf --------- 40328 
 07/11/2008 11:12     C:\WINDOWS\Prefetch\RUNDLL32.EXE-239F879A.pf --------- 28366 
 07/11/2008 09:49     C:\WINDOWS\Prefetch\JAVA.EXE-0C22F35D.pf --------- 7782 
 06/11/2008 23:20     C:\WINDOWS\Prefetch\RUNDLL32.EXE-2A94BB85.pf --------- 21556 
 06/11/2008 23:20     C:\WINDOWS\Prefetch\RUNDLL32.EXE-2E5AF1D7.pf --------- 21432 
 06/11/2008 22:26     C:\WINDOWS\Prefetch\SIMS.EXE-351D406C.pf --------- 71916 
 06/11/2008 22:14     C:\WINDOWS\Prefetch\FFMPEG.EXE-1D44A4C8.pf --------- 252060 
 06/11/2008 22:00     C:\WINDOWS\Prefetch\VDOWNLOADER.EXE-130952B1.pf --------- 41086 
 06/11/2008 21:43     C:\WINDOWS\Prefetch\DUMPREP.EXE-1B46F901.pf --------- 131652 
 06/11/2008 21:43     C:\WINDOWS\Prefetch\DWWIN.EXE-30875ADC.pf --------- 104418 
 06/11/2008 10:12     C:\WINDOWS\Prefetch\NVSVC32.EXE-1F9EED18.pf --------- 23916 
 06/11/2008 10:12     C:\WINDOWS\Prefetch\RUNDLL32.EXE-1857459C.pf --------- 16804 
 06/11/2008 10:12     C:\WINDOWS\Prefetch\USERINIT.EXE-30B18140.pf --------- 13614 
 06/11/2008 10:12     C:\WINDOWS\Prefetch\LSASS.EXE-20DB6D1B.pf --------- 26312 
 06/11/2008 10:12     C:\WINDOWS\Prefetch\SERVICES.EXE-2F433351.pf --------- 16704 
 06/11/2008 10:12     C:\WINDOWS\Prefetch\WINLOGON.EXE-32C57D49.pf --------- 67562 
 06/11/2008 10:12     C:\WINDOWS\Prefetch\CSRSS.EXE-12B63473.pf --------- 23992 
 06/11/2008 09:46     C:\WINDOWS\Prefetch\ASHSIMPL.EXE-0AFBA1D3.pf --------- 41434 
 06/11/2008 09:45     C:\WINDOWS\Prefetch\ASHAVAST.EXE-049718BE.pf --------- 64912 
 06/11/2008 09:38     C:\WINDOWS\Prefetch\MMC.EXE-398DCF39.pf --------- 56592 
 06/11/2008 08:57     C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf --------- 14302 
 06/11/2008 08:57     C:\WINDOWS\Prefetch\_IS75.EXE-11E90DC0.pf --------- 42302 
 06/11/2008 08:57     C:\WINDOWS\Prefetch\REGEDIT.EXE-1B606482.pf --------- 24564 
 06/11/2008 08:57     C:\WINDOWS\Prefetch\RUNDLL32.EXE-41F1E535.pf --------- 59272 
 06/11/2008 08:57     C:\WINDOWS\Prefetch\SETUP.EXE-2B3624B3.pf --------- 22862 
 06/11/2008 08:46     C:\WINDOWS\Prefetch\LINEAGEII.EXE-13A7DC0C.pf --------- 98258 
 06/11/2008 08:36     C:\WINDOWS\Prefetch\SETUP.EXE-385B8BE8.pf --------- 41008 
 05/11/2008 20:21     C:\WINDOWS\Prefetch\XPHOST.EXE-265F6C7D.pf --------- 15144 
 05/11/2008 20:20     C:\WINDOWS\Prefetch\_ISF.EXE-1E09AF61.pf --------- 40952 
 05/11/2008 20:17     C:\WINDOWS\Prefetch\RUNDLL32.EXE-1D38DE56.pf --------- 16542 
 05/11/2008 20:17     C:\WINDOWS\Prefetch\RUNDLL32.EXE-188DF14E.pf --------- 21084 
 05/11/2008 15:56     C:\WINDOWS\Prefetch\TRAVIAN_DEMO.EXE-0EE3D901.pf --------- 54386 
 05/11/2008 12:53     C:\WINDOWS\Prefetch\RUNDLL32.EXE-478066E2.pf --------- 27470 
 05/11/2008 12:44     C:\WINDOWS\Prefetch\NERO.EXE-3892E87E.pf --------- 64914 
 04/11/2008 18:02     C:\WINDOWS\Prefetch\DRWTSN32.EXE-2B4B52AC.pf --------- 24694 
 04/11/2008 17:58     C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf --------- 21756 
 04/11/2008 17:56     C:\WINDOWS\Prefetch\GAMEGUARD.DES-28F5AC23.pf --------- 139284 
 04/11/2008 17:55     C:\WINDOWS\Prefetch\L2.EXE-1964B345.pf --------- 54164 
 04/11/2008 14:27     C:\WINDOWS\Prefetch\RUNDLL32.EXE-2576181F.pf --------- 72840 
 03/11/2008 12:22     C:\WINDOWS\Prefetch\MRT.EXE-1B4A8D49.pf --------- 58990 
----------------------------------------

 
C:\WINDOWS\Tasks

 12/11/2008 10:25     C:\WINDOWS\Tasks\SA.DAT --------- 6 
 28/10/2001 13:07     C:\WINDOWS\Tasks\desktop.ini --------- 65 
----------------------------------------

 
C:\WINDOWS\Temp

 12/11/2008 16:18     C:\WINDOWS\Temp\_avast4_ --------- 0 
 12/11/2008 11:14     C:\WINDOWS\Temp\Perflib_Perfdata_dd8.dat --------- 16384 
 12/11/2008 10:25     C:\WINDOWS\Temp\Perflib_Perfdata_524.dat --------- 16384 
 11/11/2008 16:06     C:\WINDOWS\Temp\Perflib_Perfdata_cac.dat --------- 16384 
 28/10/2008 16:32     C:\WINDOWS\Temp\Cef --------- 0 
----------------------------------------

 
C:\DOCUME~1\Amanda\CONFIG~1\Temp

 12/11/2008 16:07      C:\DOCUME~1\Amanda\CONFIG~1\Temp\~DF3D5C.tmp --------- 589824 
 12/11/2008 16:07      C:\DOCUME~1\Amanda\CONFIG~1\Temp\~DF46E4.tmp --------- 589824 
 12/11/2008 16:07      C:\DOCUME~1\Amanda\CONFIG~1\Temp\~DF3D6E.tmp --------- 16384 
 12/11/2008 16:07      C:\DOCUME~1\Amanda\CONFIG~1\Temp\~DF46F6.tmp --------- 16384 
 12/11/2008 15:58      C:\DOCUME~1\Amanda\CONFIG~1\Temp\_avast4_ --------- 0 
 12/11/2008 15:38      C:\DOCUME~1\Amanda\CONFIG~1\Temp\MessengerCache --------- 0 
 12/11/2008 15:28      C:\DOCUME~1\Amanda\CONFIG~1\Temp\plugtmp --------- 0 
 12/11/2008 15:11      C:\DOCUME~1\Amanda\CONFIG~1\Temp\etilqs_uvdsxKQDfJ0PXXNytdDZ --------- 0 
 12/11/2008 10:30      C:\DOCUME~1\Amanda\CONFIG~1\Temp\jusched.log --------- 22845 
 09/11/2008 19:28      C:\DOCUME~1\Amanda\CONFIG~1\Temp\~DFA7FE.tmp --------- 589824 
 09/11/2008 19:28      C:\DOCUME~1\Amanda\CONFIG~1\Temp\~DFB81F.tmp --------- 589824 
 09/11/2008 19:09      C:\DOCUME~1\Amanda\CONFIG~1\Temp\~DFA810.tmp --------- 16384 
 09/11/2008 19:09      C:\DOCUME~1\Amanda\CONFIG~1\Temp\~DFB87F.tmp --------- 16384 
 08/11/2008 21:47      C:\DOCUME~1\Amanda\CONFIG~1\Temp\wmplog00.sqm --------- 2012 
 29/10/2008 17:19      C:\DOCUME~1\Amanda\CONFIG~1\Temp\fontconfig --------- 0 
 03/09/2008 13:11      C:\DOCUME~1\Amanda\CONFIG~1\Temp\Portuguese(Brazil).bin --------- 25082 
----------------------------------------

 
C:\Arquivos de programas

----------------------------------------

 
C:\Documents and Settings\All Users\.. 

Amanda    
Default User    
LocalService    
NetworkService    
All Users    
----------------------------------------

 
C:\WINDOWS\system32\drivers\etc\hosts


----------------------------------------

 

Nome da imagem            Identi Nome da sessÆo    SessÆo# Uso de mem¢r
========================= ====== ================ ======== ============
System Idle Process            0 Console                 0         28 K
System                         4 Console                 0        240 K
smss.exe                     596 Console                 0        400 K
csrss.exe                    660 Console                 0      3.944 K
winlogon.exe                 684 Console                 0      6.956 K
services.exe                 728 Console                 0      3.404 K
lsass.exe                    740 Console                 0      1.680 K
svchost.exe                  916 Console                 0      4.772 K
svchost.exe                  964 Console                 0      4.192 K
svchost.exe                 1060 Console                 0     28.828 K
svchost.exe                 1180 Console                 0      4.224 K
svchost.exe                 1224 Console                 0      6.320 K
aswUpdSv.exe                1268 Console                 0        264 K
ashServ.exe                 1316 Console                 0     22.012 K
explorer.exe                1544 Console                 0     28.044 K
GbpSv.exe                   1792 Console                 0      1.668 K
spoolsv.exe                 1908 Console                 0      4.492 K
RTHDCPL.exe                 1988 Console                 0     30.076 K
rundll32.exe                2020 Console                 0      3.640 K
ashDisp.exe                 2036 Console                 0      2.992 K
fsui.exe                     120 Console                 0      5.172 K
jusched.exe                  164 Console                 0      2.508 K
NMBgMonitor.exe              172 Console                 0      6.456 K
ctfmon.exe                   196 Console                 0      3.908 K
NMIndexStoreSvr.exe          320 Console                 0     11.192 K
nvsvc32.exe                 1012 Console                 0      4.228 K
ashMaiSv.exe                2112 Console                 0      2.076 K
ashWebSv.exe                2224 Console                 0     12.896 K
alg.exe                     2664 Console                 0      3.496 K
svchost.exe                 3172 Console                 0      3.380 K
msnmsgr.exe                 1172 Console                 0      5.356 K
usnsvc.exe                  2308 Console                 0      2.600 K
aawservice.exe              3544 Console                 0        720 K
firefox.exe                 1768 Console                 0     89.032 K
cmd.exe                     3160 Console                 0      2.024 K
tasklist.exe                4060 Console                 0      4.516 K
wmiprvse.exe                3212 Console                 0      5.680 K

 
***** Ende des Scans qua 12/11/2008 um 16:19:07,39 ***

 

[Mr.Wolf]

führer, não sei se leu meu post em seu outro tópico. Lhe pedi para seguir as instruções do link abaixo (última resposta):
http://www.adrenaline.com.br/forum/showpost.php?p=3947155&postcount=2453

 

[Asta.ini]

Valeu mesmo Mr. Wolf.
O computador tá blz.
Quando inventarem te pago uma cerveja virtual ou se possível uma real mesmo!

 

[Mr.Wolf]

Valeu mesmo Mr. Wolf.
O computador tá blz.
Quando inventarem te pago uma cerveja virtual ou se possível uma real mesmo!

Opa, caro Asta.ini, uma cervejinha é sempre bem vinda!

Um abraço :thumbs_up

 

[Mr.Wolf]

Pessoal, como vírus de pen drive estão se tornando uma febre e a tendência infelizmente é aumentar o número de usuários infectados, resolvi criar este post para explicar um pouco disso e como tentar uma possível solução e proteção contra esses vírus infectores via pen drive.

Como ocorre uma infecção via mídia(s) removível(is)?

Quando inserimos a mídia em um computador já infectado, a infecção passará imediatamente e automaticamente para sua mídia.
No momento então que você plugar a mídia em sua máquina, aquela infecção carregada pela outra máquina infectada no pen drive, passará para seu computador.

A contaminação costuma gerar arquivos .exe, .bat, .com, .cmd na raiz (C:\) com letras ou letras e números aleatórios.

Quais são os sintomas da infecção?

Os possíveis sintomas são:

● Seu antivirus fica gerando alertas e não conseguirá remover. Alguns vírus de pen drive fazem seu antivirus ficar, digamos, “louco”, fazendo ele gerar alertas até mesmo de programa que você baixe (exemplo: Emule);
● A unidade fica inacessível;
● Vários erros de AutoRuns na tela do PC;
● A opção de ver pastas e arquivos ocultos fica totalmente desabilitada;
● Não é capaz de deletar, mover, ou fazer qualquer atividade do pen drive;
● Às vezes faz com que a tela do computador pisque sempre quando abrir programas ou arquivos texto;
● Não deixa você instalar arquivos que tentarão consertar as chaves de registro danificadas pelo vírus.

Entre outras coisas, esses sintomas acima são os mais comuns.

Quais são os tipos das contaminações por este vírus?

Os tipos mais comuns desta infecção são:

C:\autorun.inf
C:\kk3.bat
C:\Windows\System32\kamsoft
C:\WINDOWS\system32\avpo.exe
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\tavo.exe
C:\WINDOWS\system32\avpo.exe
C:\WINDOWS\system32\ckvo.exe
C:\WINDOWS\system32\ckvoO.exe
C:\WINDOWS\system32\kxvo.exe
C:\WINDOWS\SYSTEM32\CKVO0.DLL
C:\WINDOWS\SYSTEM32\CKVO1.DLL
C:\WINDOWS\system32\kavo0.dll
C:\WINDOWS\system32\kavo1.dll
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
ETC...

Estes acima são os arquivos mais comuns de vírus de pen drive. Mas existem vários outros, não tão comuns, e com extensões diferentes como: .cmd, .com, .inf, ou simplesmente, sem extensão algum, sendo assim uma pasta apenas vazia.

Como posso evitar uma contaminação dessas?

● Primeiramente e o mais eficaz, desabilitar o AutoRun do Windows. Para fazer isso há várias maneiras, seja pelo Registro do Windows (manualmente), pelo Diretivas de grupo (gpedit.msc), clicando com o botão direito na unidade, utilizando programas próprios para isso como o AutoPlayConfig, etc...
● Mesmo com o Autorun desabilitado, sugiro que, ao abrir um pen drive de terceiros você acesse Meu Computador e ao ver a unidade removível listada junto com as outras, você deve clicar com o botão direito do mouse sobre ela, e escolher Explorar. Dessa maneira, caso o pen drive esteja infectado, o autorun.inf presente na unidade não será executado, e conseqüentemente, o malware não irá concluir a infecção;
● Antes de plugar o pen drive na máquina, faça um scan com um antivirus na máquina para verificar se não há infecções ali. E ao plugar o pen drive em sua máquina (com o AutoRun desabilitado) clique com o botão direito na unidade da mídia e faça um scan novamente;
● Instalando um antivirus para pen drive (de preferência com um SO correndo em tempo real, pois a proteção antivirus será em tempo real também); instalando o USB Firewall (ferramenta que detecta o vírus antes de ele passar para seu computador e dando tempo de você removê-lo); ou instalando o USB WiriteProtector (o programa não requer instalação apenas crie uma pasta no seu pen drive com o nome de USB WriteProtect e descompacte os arquivos para esta pasta).

Estas dicas acima são, até agora, as únicas e mais eficazes para evitarmos uma contaminação por USB.


Como remover um vírus de pen drive?

A parte mais esperada por todos e a principal.

Bem, remover um vírus de pen drive pode ser a coisa mais fácil do mundo, mas dependendo da variável do vírus, pode se tornar uma dor de cabeça bem chata e incômoda.

Existem ferramentas que fazem este serviço para você, e recomendadas para este tipo de trabalho. Algumas que pode-se utilizar tranquilamente por qualquer user, outras aconselhadas somente para quem tem o conhecimento sobre elas.

As ferramentas mais apropriadas para o tratamento desta infecção, chamam-se PenClean (desenvolvida pelo amigo também analista RenatoMejias) ou Flash Disinfector (ferramenta desenvolvida pelo mesmo criador do ComboFix sUBs e mais bruta).

Utilização do PenClean

- Faça o download do PenClean aqui abaixo e salve-o no desktop;

- Execute a ferramenta e abrirá sua tela:

• Primeiramente adicione ao PC seus pen drives, MP3/MP4 e demais dispositivos USB que possua;
• Dê dois cliques no arquivo PenClean.exe onde será aberta a tela inicial do programa;
• Selecione a opção Verificar unidade ou Verificar o Computador, na caixa de lista suspensa, selecione Todas unidades;
• Clique no botão Verificar;
• Aguarde alguns instantes, o exame é rápido;
• Será informado se algo foi encontrado, é possível que a ferramenta solicite para reiniciar, clique em Sim. O computador será reiniciado normalmente.

Serão gerados relatórios onde informarão o que foi removido. Basta para isso, visualizar o arquivo PenClean.txt localizado na pasta C:\PenClean.

Utilização do Flash Disinfector

- Faça o download do Flash Dinsinfector e salve-o no desktop;

• Primeiramente conecte seu pendrive infectado ao computador;
• Duplo clique em Flash_Disinfector.exe;
• Ao aparecer uma mensagem na tela, confirme no OK;
• Aguarde, o desktop irá sumir por alguns segundos;
• Quando a execução concluir, irá aparecer na tela a mensagem "Done"
• Reinicie o seu computador;

Obs: Como todo programa de segurança, a ferramenta PenClean não é 100%. Pode não detectar/remover a infecção presente no pen drive (difícil acontecer) ou não remover/detectar a infecção no computador (uma boa possibilidade). Se desconfiar de certos arquivos com extensão .exe; .com; .bat; .pif; .cmd e .vbs, poderão ser apagados, caso realmente não os identifique.
Caso contrário, a sugestão é que procure um fórum onde tenha o serviço de Remoção de Vírus/Malwares disponível para realizar uma limpeza nos dispositivos e remoção dos resquícios da infecção. Pois as ferramentas aconselhadas requerem um enorme conhecimento e prática sobre ela.

Apesar de muitos usuários utilizarem estas ferramentas avançadas por conta própria, pois logicamente não iremos proibí-lo, digo que necessita de um conhecimento técnico pelo fato de que a ferramenta pode danificar gravemento todo seu sistema operacional. Desde excluir um arquivo legítmo sem chance de recuperação, até de seu computador simplismente não iniciar mais. E inclusive, nem restauração do sistema resolverá neste caso.


Bom pessoal, é isso. Qualquer dúvida ou problemas é só perguntar aqui ok.
Um abraço

 

[arturmelhor]

Mr. Wolf help me

poderias me dar uma dica de um bom antivirus?
uso o avas't 4.8, e tenho mt dor de cabeça com virus de pen-drive
Grato!

 

[Mr.Wolf]

poderias me dar uma dica de um bom antivirus?
uso o avas't 4.8, e tenho mt dor de cabeça com virus de pen-drive
Grato!

Opa arturmelhor, na verdade, poucos antivirus conseguem remover uma infecção de pen drive. Muitas vezes só detectam apenas, mas não removem.

Se quer um antivirus gratuito mesmo sugiria o Avira Antivir. Pois o Avast é um dos mais fracos da lista em detecção de vírus de pen drive.

Se está com problemas com estes vírus de pen drive, fique à vontade para postar um log do HijackThis aqui que lhe ajudarei amigo arturmelhor.

 

[JosMilanga]

Gostei muito do texto sobre vírus de pendrive.

apesar de ja ter o penclean e o flash desinfector aqui, vou pegar essas versões mais novas e fazer os testes de novo, alem de usar esses antivirus exclusivos pra ele.

 

[arturmelhor]

Grato Mr. Wolf

Vlw!
Ótimo post

 

[arturmelhor]

Log do HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:10:35, on 12/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxpers.exe
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
c:\Arquivos de programas\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SYSTEM32\NET.exe
C:\WINDOWS\SYSTEM32\NET.exe
C:\WINDOWS\SYSTEM32\net1.exe
C:\WINDOWS\SYSTEM32\net1.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdVantage] "C:\Arquivos de programas\AdVantage\AdVantage.exe"
O4 - HKCU\..\Run: [ADPHONE] C:\Arquivos de programas\ADPHONE3\ADPHONE.EXE /STARTUP
O4 - HKLM\..\Policies\Explorer\Run: [status] present
O4 - Startup: Adobe Gamma.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: µTorrent.lnk = C:\Arquivos de programas\uTorrent\uTorrent.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\Arquivos de programas\MP3 Player Utilities 4.18\AMVConverter\grab.html
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 2744 bytes

 

[al XerxeS]

Cada dia que passa me surpreendo mais com esse forum!!!
pessoal super prestativo!!!
alias Mr. Wolf merece um agradecimento especial pela paciencia e por ajudar a galera!!!

Parabens pela iniciativa Mr. Wolf!!

vo postar meu log ae!!
quebra essa para mim ve se tem alguma coisa ae!!
valeu velho!!!




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:30:56, on 12/11/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\AASP\1.00.64\aaCenter.exe
C:\Program Files\ASUS\AI Direct Link\AsCmd.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files\ASUS\WiFi-AP @n\WiFi-AP@n.exe
C:\Program Files\ASUS\PC Probe II\Probe2.exe
C:\Program Files\ASUS\AI Direct Link\AsShare.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
C:\Program Files\ASUS\Drive Xpert\DriveXpert.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Razer\Lycosa\razerhid.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Razer\Lycosa\razertra.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Razer\Lachesis\razerhid.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Razer\Lachesis\OSD.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Steam\Steam.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Orbitdownloader\orbitdm.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Orbitdownloader\orbitnet.exe
C:\Program Files\Razer\Lachesis\razerofa.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Fraps\fraps.exe
C:\Program Files\NitroPC\NitroPC.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundTray] C:\Program Files\Analog Devices\SoundMAX\SoundTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [QFan Help] "C:\Program Files\ASUS\Ai Suite\QFan3\QFanHelp.exe"
O4 - HKLM\..\Run: [Cpu Level Up help] C:\Program Files\ASUS\Ai Suite\CpuLevelUpHelp.exe
O4 - HKLM\..\Run: [Launch Direct Link] "C:\Program Files\ASUS\AI Direct Link\AsShare.exe"
O4 - HKLM\..\Run: [Launch As Cmd Runner] "C:\Program Files\ASUS\AI Direct Link\AsCmd.exe" -reg
O4 - HKLM\..\Run: [Drive Xpert] C:\Program Files\ASUS\Drive Xpert\DriveXpert.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Lycosa] "C:\Program Files\Razer\Lycosa\razerhid.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Lachesis] C:\Program Files\Razer\Lachesis\razerhid.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Steam] "c:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe -silent
O4 - HKCU\..\Run: [NitroPC] "C:\Program Files\NitroPC\NitroPC.exe" -minimized
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Orbit.lnk = C:\Program Files\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: Livro de recortes HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Seleção HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\rising\rav\hookspi.dll
O10 - Unknown file in Winsock LSP: c:\program files\rising\rav\hookspi.dll
O10 - Unknown file in Winsock LSP: c:\program files\rising\rav\hookspi.dll
O13 - Gopher Prefix:
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: 57xx SteelVine (57xx SteelVine Manager) - Unknown owner - C:\Program Files\ASUS\Drive Xpert\SteelVine.exe
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Information Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: Rising Vista Scanner (RsVScanner) - Beijing Rising Information Technology Co., Ltd. - C:\Program Files\Rising\Rav\scannerd.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 9769 bytes


e a proposito wolf!!!
voce poderia recomendar um bom antivirus??!
estou usando o Rising!!
ele eh bom?!?

 

[Scolari]

Caro Wolf, se for possível me dar uma força aqui acho que a coisa está preta, a alguns dias começou a pipocar popouts e coisas do gênero o ESET nem o Ad Aware pegaram nada porém quando vou passar o Kaspersky Online Scanner o Firefox fehca :O

EDIT: As atualizações automáticas do windows foram desativadas da erro quanto tento reativá-las manualmente e quando rodo o ComboFix.exe o computador reinicia

Segue um log do Hijackthis se for possivel dar uma olhada

Grande abraço

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:21, on 2008-11-13
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20900)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\savedump.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\PROGRA~1\GbPlugin\GbpSv.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
D:\WINDOWS\system32\inetsrv\inetinfo.exe
D:\Program Files\Raxco\PerfectDisk\PDAgent.exe
D:\WINDOWS\VistaDrive\VistaDrive.exe
D:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
D:\WINDOWS\RTHDCPL.EXE
D:\WINDOWS\CTHELPER.EXE
D:\WINDOWS\system32\CTXFIHLP.EXE
D:\WINDOWS\SYSTEM32\CTXFISPI.EXE
D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
D:\Program Files\Raxco\PerfectDisk\PDEngine.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.folha.com.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://esimo.c.la/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows XP Edition Classic Plus
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe
O4 - HKLM\..\Run: [VistaDrive] D:\WINDOWS\VistaDrive\VistaDrive.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Apoint] D:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [StartCCC] "D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [egui] "D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [005c6137] rundll32.exe "D:\WINDOWS\system32\jfkxfilh.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab
O16 - DPF: {DC11F230-5717-4C25-BAD7-37B879C19655} (MyPhotoAlbum Easy Upload Tool Combo Control) - http://edinhoscolari.myphotoalbum.com/ImageUploader4.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: PDAgent - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\Program Files\Raxco\PerfectDisk\PDEngine.exe

--
End of file - 6949 bytes

 

[Mr.Wolf]

Opa pessoal boa noite.

Bom vou responder à alguns no mesmo post ok? Colocando as instruções dentro de spoilers (basta clicar no botão Mostrar). Destacarei o nome do amigo. Então vamos lá, vou por ordem de postagem aqui.

Amigo arturmelhor, siga as instruções dentro do spoiler abaixo.

Spoiler

- Faça download do Kaspersky AVP Tool. Salve no seu desktop (área de trabalho).

• Instale o programa normalmente seguindo todos os seus passos.
• Na tela principal do programa clique na opção "Meu computador" e depois clique no botão "Scan".
• Seja paciente, o scan pode demorar
• Se ele encontrar alguma infecção clique em "skip".
• Após completar tudo clique na aba Events, desmarque a caixa de seleção "Show all events" e depois em "Save to file".
• Dê um nome para o arquivo e salve numa pasta de sua preferência

Poste o conteúdo desse arquivo em sua próxima resposta arturmelhor.

________________________________________________



Amigo SrW, seu log do HijackThis está limpo amigão. Há algum problema com a máquina?

SrW, o Rising antivirus é um bom antivirus sim. Possui uma bela taxa de detecção, que aliás, está detectando alguns novos trojans que outros antivirus gratuitos não detectam ainda.
Mas sinceramente, o Rising ainda não chega aos pés do Avira Antivir amigo SrW. O Avira é, aliás, sempre foi considerado o melhor antivirus gratuito da web, até agora pelo menos. E é verdade, seu banco de dados pode até mesmo ser comparado com o de alguns antivirus pagos, como: McAfee, Bitdefender, F-Secure Blacklight. Que são excelentes antivirus pagos.
Portanto se quer uma sugestão minha, recomendaria ainda assim o Avira. Não me desfazendo do Rising, que é um antivirus que estou admirando pela presteza. Mas o Avira é aibda o melhor dos free amigo SrW.

:thumbs_up

 

[Mr.Wolf]

Amigo Scolari, a situação aí não é nada boa meu amigo. Você possui um backdoor muito perigoso na máquina. Por acaso, está sentindo algo estranho ao conectar-se com a Internet, ou está sofrendo algum problema com o firewall Scolari?

Siga as instruções dentro do spoiler abaixo amigo Scolari.

Spoiler

1ª Etapa

- Faça o download do SDFix e salve-o no desktop;

● Dê um duplo clique no SDFix.exe e a ferramenta será instalada geralmente em C:\SDFix. Mas não o execute ainda.
● Reinicie seu computador em Modo de Segurança (segurando a tecla F8 na inicialização do sistema e escolhendo Modo Seguro);
● Entre na pasta SDFix que foi instalada no seu computador e dê um duplo clique no arquivo RunThis.bat;
● Tecle Y para que a ferramenta inicie o processo de remoção
● Quando tudo terminar, você verá um aviso dizendo para apertar qualquer tecla para continuar. Ao pressionar qualquer tecla, o computador será reiniciado automaticamente
● Após reiniciar, a ferramenta ainda será executada novamente e irá terminar o seu trabalho e a palavra Finished irá aparecer. Pressione qualquer tecla.
● Uma janela com o relatório do SDFix irá aparecer.

Copie e cole este relatório na sua resposta. Caso você tenha fechado a janela, uma cópia do relatório estará na pasta SDFix com o nome Report.txt.


2ª Etapa

- Faça o download do ComboFix e salve-o no desktop;
OBS: Para que a ferramenta seja executada é necessário que esteja no desktop (área de trabalho)

● Desative, temporariamente, seu antivírus;
● Feche todas as janelas abertas;
● Dê um duplo clique no arquivo ComboFix;
● Tecle 1 e dê um Enter. Aguarde até que o relatório seja gerado. É um pouco demorado o scan;
● O ComboFix "poderá" reiniciar o PC automaticamente para completar o processo de remoção.
● Caso haja algum problema quando estiver rodando o ComboFix, reinicie o computador em Modo Seguro e repita o procedimento;
● Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.
● Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
● Para parar ou sair do ComboFix, tecle "N".

Em sua próxima resposta amigo Scolari, cole os logs do SDFix e ComboFix, por gentileza.

 

[Gustavo MPO]

Mais uma vez eu por aqui Mr. Wolf.
Poderia dar uma analizada nesse log:

Spoiler

Logfile of HijackThis v1.99.1
Scan saved at 07:29, on 13/11/08
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\acs.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Babylon\Babylon-Pro\Babylon.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Arquivos de programas\CrowDock\CrowDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
N:\Softwares\Manutenção\Segurança\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Update Helper - {77D7E795-33C5-4323-974D-A2A49AB75517} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Update Helper - {A4CC8907-3EA6-49EE-8B74-D09660120910} - (no file)
O2 - BHO: G-Buster Browser Defense Unibanco - {C41A1C0E-EA6C-11D4-B1B8-444553540008} - C:\ARQUIV~1\GbPlugin\gbiehuni.dll
O4 - HKLM\..\Run: [Babylon Client] C:\Arquivos de programas\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CrowDock.exe] C:\Arquivos de programas\CrowDock\CrowDock.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Arquivos de programas\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} (GbPluginObj Class) - https://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = www.arthi-server.com.br
O17 - HKLM\Software\..\Telephony: DomainName = www.arthi-server.com.br
O17 - HKLM\System\CCS\Services\Tcpip\..\{781B0E0A-9F13-4906-A3DB-6F748920CEBB}: NameServer = 192.168.10.10,192.168.10.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA7EADBF-52FC-41B3-90F7-448B86C5208A}: NameServer = 192.168.10.10,192.168.10.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = www.arthi-server.com.br
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: GbPluginUni - C:\ARQUIV~1\GbPlugin\gbiehuni.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

A uns dias apareceram essas entradas na inicialização da maquina Mr. Wolf

Spoiler

Mesmo tirando a seleção dos mesmos, após fechar e abrir o msconfig já estão lá selecionados novamente.
Ficam localizados na pasta do usuário, no meu caso, C:\Documents and Settings\Gustavo
Procurando no registro sobre esses arquivos, encontrei os arquivos:
.recently-used.xbel, capture.txt, errorlog.txt, intlname.ols e prf58.tmp dentro da chave
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupfolder\
Um de seus valores tem o nome backup e aponta para a seguinte pasta: C:\Windows\pss\
Após excluir esses registros e os arquivos, esses acima citados sumiram do msconfig, mas os outros (NTUSERs) continuam lá.
Esses arquivos apresentam algum risco?
Obrigado.

 

[al XerxeS]

valews wolf!!!

minha maquina nao apresenta nenhuma anomalia nao!!

vou seguir seu conselho em relação ao antivirus!!
valeuss
abraços!!

 

[paulogasiglia]

Preciso de Ajuda

Caramba,
ótima iniciativa mesmo.
Aproveitando, gostaria que me ajudasse com um problema que estou tendo.
Meu avast não esta querendo atualizar banco de dados de forma alguma.
Acredito que isso seja ação de um Virus.
Além disso não tenho conseguido extrair arquivos de Pastas Zipadas e compactadas com o Winrar.
Acredito que todos estes problemas são provinientes de uma infecção.
Vc conhece alguma forma de me ajudar a resolver esse problema?
Agradeço sua pré disposição.
Abração!

 

[Mr.Wolf]

Gustavo MPO, os arquivos .recently-used.xbel, capture.txt, errorlog.txt, intlname.ols, prf58.tmp, NTUSER, fazem parte de seu perfil no Windows XP. Provavelmente seu sistema teve algum bug em arquivos de perfil que geraram estes arquivos no msconfig. Eles não são vírus nem nada maléfico, são legítmos. Este bug é normal e ninguém vê. Faça o seguinte Gustavo MPO.

Spoiler

- Baixe o StartupCPL Gustavo MPO.

- Extraia o programa para o desktop e execute-o;
- Clique em Install e aguarde a instalação. Será instalado no Painel de Controle;
- Então vá até lá e dê um duplo clique em Startup;
- Clique na aba HKLM/Run e verifique se as entradas Ntuser estão presentes, me diga aqui.

Execute o HijackThis e clique em Do a system scan only. Marque as entradas abaixo e dê um Fix Checked.

O2 - BHO: Google Update Helper - {77D7E795-33C5-4323-974D-A2A49AB75517} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Update Helper - {A4CC8907-3EA6-49EE-8B74-D09660120910} - (no file)

_______________________________________


Amigo SrW, precisando estamos aí.

Um abraço :thumbs_up

 

[Mr.Wolf]

Caramba,
ótima iniciativa mesmo.
Aproveitando, gostaria que me ajudasse com um problema que estou tendo.
Meu avast não esta querendo atualizar banco de dados de forma alguma.
Acredito que isso seja ação de um Virus.
Além disso não tenho conseguido extrair arquivos de Pastas Zipadas e compactadas com o Winrar.
Acredito que todos estes problemas são provinientes de uma infecção.
Vc conhece alguma forma de me ajudar a resolver esse problema?
Agradeço sua pré disposição.
Abração!

paulogasiglia, sim, são vírus mesmo. Rootkits.

Sugiro que poste um log do HijackThis aqui amigo.

 

[Scolari]

Amigo wolf segue o relatório do SDFIX, o ComboFIX continua não indo até o final, o computador reinicia! Deletei esta bosta de ESET NOD32 e vou rodar o Avira AntiVir FREE, cara se puderes dar uma luz... As atualizações continuam desativadas.

Seria interessante eu trocar as senhas dos forums, emails, bancos ou não há problema? Meu computador é ligado ao modem através de um roteador wireless... Talvez tenha ajudado ao barrar as informações pros malditos certo?

Grande abraço!

SDFix: Version 1.240
Run by Administrateur on 2008-11-13 at 20:31

Microsoft Windows XP [version 5.1.2600]
Running From: D:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

D:\WINDOWS\system32\geBULDss.dll - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-13 20:52:38
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GbpSv]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=str(2):"D:\PROGRA~1\GbPlugin\GbpSv.exe"
"DisplayName"="Gbp Service"
"Group"="GbPlugin Group"
"ObjectName"="LocalSystem"
"Description"="Service for G-Buster Browser Defense"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GbpSv\Security]
"Security"=hex:01,00,14,80,88,00,00,00,94,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:56,d3,6c,99,26,97,bd,65,fb,ae,2a,27,dd,00,34,a7,86,a4,7f,21,18,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2a,d9,c1,e7,73,58,cb,8e,7e,f1,b9,38,5a,b2,1d,d0,0c,..
"khjeh"=hex:d3,16,a4,d3,5c,48,b4,f8,7d,57,d2,aa,76,73,ee,fc,55,e8,44,69,5e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:8c,fa,4b,18,93,db,80,44,b7,30,95,dc,04,f7,58,60,e5,d9,27,7d,28,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GbpSv]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=str(2):"D:\PROGRA~1\GbPlugin\GbpSv.exe"
"DisplayName"="Gbp Service"
"Group"="GbPlugin Group"
"ObjectName"="LocalSystem"
"Description"="Service for G-Buster Browser Defense"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\GbpSv\Security]
"Security"=hex:01,00,14,80,88,00,00,00,94,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:56,d3,6c,99,26,97,bd,65,fb,ae,2a,27,dd,00,34,a7,86,a4,7f,21,18,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2a,d9,c1,e7,73,58,cb,8e,7e,f1,b9,38,5a,b2,1d,d0,0c,..
"khjeh"=hex:d3,16,a4,d3,5c,48,b4,f8,7d,57,d2,aa,76,73,ee,fc,55,e8,44,69,5e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:8c,fa,4b,18,93,db,80,44,b7,30,95,dc,04,f7,58,60,e5,d9,27,7d,28,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"AppInit_DLLs"="eavhjg.dll"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"D:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="D:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"D:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="D:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"D:\\Program Files\\Steam\\steamapps\\gaminy\\counter-strike\\hl.exe"="D:\\Program Files\\Steam\\steamapps\\gaminy\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"D:\\Program Files\\eMule\\emule.exe"="D:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"D:\\Documents and Settings\\All Users\\Application Data\\NexonUS\\NGM\\NGM.exe"="D:\\Documents and Settings\\All Users\\Application Data\\NexonUS\\NGM\\NGM.exe:*:Enabled:Nexon Game Manager"
"D:\\Nexon\\Combat Arms\\CombatArms.exe"="D:\\Nexon\\Combat Arms\\CombatArms.exe:*Enabled:CombatArms.exe"
"D:\\Nexon\\Combat Arms\\Engine.exe"="D:\\Nexon\\Combat Arms\\Engine.exe:*Enabled:Engine.exe"
"D:\\Nexon\\Combat Arms\\NMService.exe"="D:\\Nexon\\Combat Arms\\NMService.exe:*:Enabled:Nexon Messenger Core"
"D:\\Program Files\\LimeWire\\LimeWire.exe"="D:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"D:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="D:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"D:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="D:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"D:\\Nexon\\Combat Arms\\CombatArms.exe"="D:\\Nexon\\Combat Arms\\CombatArms.exe:*Enabled:CombatArms.exe"
"D:\\Nexon\\Combat Arms\\Engine.exe"="D:\\Nexon\\Combat Arms\\Engine.exe:*Enabled:Engine.exe"

Remaining Files :


File Backups: - D:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 9 Nov 2006 20,480 A..H. --- "D:\Nexon\Combat Arms\HShield\4e59468.dll"
Thu 9 Nov 2006 20,480 A..H. --- "D:\Nexon\Combat Arms\HShield\a230c0.dll"

Finished!

 

[jvictormp]

saporra, acho que não obra de vírus não. Já vi casos em que este problema era gerado por causa do driver da placa de vídeo. O amigo atualizou o driver e resolveu o problema. Mas pode ser várias coisas. Porém, quero verificar uma coisinha aí saporra. Peço que faça um scan no BitDefender seguindo o tutorial do link abaixo e poste o relatório final do scan aqui saporra.
http://www.linhadefensiva.org/forum/index.php?showtopic=56378

Lembrando que o scan deve ser feito pelo Internet Explorer. :thumbs_up

Meu bom, descobri o que era. Era pq eu tinha bloquiado a execução do wuauclt.exe, que enche o saco pra ficar fazendo atualizção do Windows. Ai desbloquiei, voltou ao normal.

Nem fiz esse scan que vc pediu nao, mas se quiser posso fazer. Quer?

 

[Mr.Wolf]

Amigo Scolari, o SDFix removeu o backdoor. Pelo menos o mais grave foi removido. Delete a pasta C:\SDFix.

Seria interessante eu trocar as senhas dos forums, emails, bancos ou não há problema? Meu computador é ligado ao modem através de um roteador wireless... Talvez tenha ajudado ao barrar as informações pros malditos certo?

Não há necessidade de trocar suas senhas amigo Scolari, pois não trata-se de bankers e keyloggers. Quanto à isso fique tranquilo.
Mas mesmo se fosse algum trojan que rouba senhas, ele poderia sim ter enviado suas informações Scolari. Pois mesmo tendo um roteador e tudo mais, isso para os trojans bankers não interfere em nada nos roubos. Eles conseguem ainda assim enviar suas informações ao cracker, criador do malware. O único jeito de barrar é desconectando-se da Internet. Porém acalme-se, você não corre risco disso.

Bom, Scolari, eu já imaginava que o ComboFix não rodaria mesmo, pois fazendo um estudo, descobrimos que surgiram um rootkit e um bagle que estão impedindo a execução da ferramenta no sistema. E você possui um rootkit, justamente o que faz barrar a execução do ComboFix. Portanto, primeiramente temos que remover esse rootkit daí e então depois rodar o ComboFix.

Criamos uma ferramenta para remover este rootkit que impede o ComboFix de rodar, porém, tenho que verificar qual a variável do rootkit. Pois são aleatórias, tanto que criamos ferramentas para todas as variantes desse rootkit.

Faça o seguinte:

- Faça o download do RSIT e salve no seu desktop.

● Duplo clique em RSIT.exe para a ferramenta ser executada.
● Na janela que abrir (disclamer), clique em Continue.
● Quando a ferramenta terminar de rodar, abrirá um documento do Bloco de Notas contendo o resultado do scan. Por favor cole o resultado desse log (log.txt) na sua próxima resposta Scolari.
● Cole também o conteúdo do arquivo info.txt que estará em C:\rsit\info.txt.

 

[Mr.Wolf]

Meu bom, descobri o que era. Era pq eu tinha bloquiado a execução do wuauclt.exe, que enche o saco pra ficar fazendo atualizção do Windows. Ai desbloquiei, voltou ao normal.

Nem fiz esse scan que vc pediu nao, mas se quiser posso fazer. Quer?

Que bom que conseguiu resolver saporra. Aliás, como eu disse anteriormente, dificlmente isto estava ligado à vírus.

Bom pedi o scan no BitDefender, para verificar uma coisa. Pois estava pensando na possibilidade de um processo do Windows estar sob o arquivo que ajuda no desligamento da máquina. Mas calma, não é vírus não. Já aconteceu aqui mesmo neste tópico com o amigo subzirow. É um bug do Windows - pra variar!

Mas como já resolveu o problema, não era o que eu estava imaginando, então não há necessidade do scan saporra.

:thumbs_up