Remoção de vírus

caiocoisinha disse:
Oi,
é meu primeiro Post, portanto nao sei nem se to no tópico certo...

acontece que aparece caracteres estranhos no lugar de Ç e letras com ACENTOS ( ´ ^ ~, etc), ta assim em varios programas do Office, no Winamp, no bloco de notas...

ja passei anti-virus (nod 32) e anti-malware (Malwarebytes' Anti-Malware) mas o problema continua...

vo colocar o log abaixo, desde ja obrigado!
Clique para expandir...
Provavelmente o layout do teclado foi alterado.
Segure o ALT esquerdo e aperte o SHIFT. Esse é um atalho para alternar entre os idiomas configurados para o teclado.
Para remover o layout que não deseja, clique com o botão direito em cima da barra de idiomas (ao lado do relógio), clique em configurações, ali você consegue alternar/remover os idiomas.
Pelo que ví seu log está limpo.
 
ZhyZhak disse:
façam mais facil usem o Morro o novo Anti-Virus gratis da MS =D faz tudo isso e só pesa 4 mb
Clique para expandir...
Cara, o antivírus da Microsoft é BETA e não chega nem perto dos melhores antivírus do mercado (NOD32/Kaspersky/Avira).

Não é só a leveza que deve se considerar num antivírus... o antivírus da MS ainda é fraco, como todos os outros. Eu não recomendo pra ninguém.
Vamos ver daqui pra frente, ainda é um BETA.
 
Olá pessoal, boa tarde!

Peço que os amigos que ainda necessitem de análise de log, postem um novo log para termos uma idéia da atual situação de suas máquinas, por favor.

_____________________________________________________



Amigos Megadeeth e Victor

Com uma explicação básica e rápida, pois o link do Wikipédia que o Victor postou já explica tudo, MD5 é uma sequência numérica computada através da leitura dos bytes em um arquivo.

Victor, sua explicação está perfeita amigo. É isso mesmo que deve ser feito - analisar a MD5 do arquivo.

O X-RayPc nada mais é do que um gerador e verificador de hash MD5, tal como: MD5summer, FileCheckMD5, HashCheck Shell Extension (que é o melhor), HashMyFiles, MD5 Fingerabdruck entre outros. Mas com uma pequena diferença; o RayPc consegue além de verificar a integridade dos arquivos, verificar a existência de vírus. Coisa que os outros programas não fazem. Explicando:

Se no log do RayPc aparecer um "Fail" ou "Warning" no lugar do tamanho do arquivo, o mesmo está infectado! Exemplo:

C:\WINDOWS\Explorer.EXE (Fail fa61a19142ae14bec1a26de82390dd65) - arquivo infectado
C:\WINDOWS\Explorer.EXE (1034234 fa61a19142ae14bec1a26de82390dd65) - arquivo limpo

-> Se for um fail o arquivo estará infectado por um worm ou rootkit
-> Se for um warning o arquivo estará infectado por um file infector

Mas uma ressalva. Embora o arquivo seja o mesmo e na coincidência uma MD5 do arquivo de um sistema possa ser igual a de outro, em cada sistema os arquivos possuem MD5 diferentes (podendo ter o mesmo Service Pack instalado), ou seja, a MD5 do Explorer.exe do meu computador pode não ser igual a MD5 do Explorer.exe do Victor, que pode não ser igual a MD5 do Explorer do Megadeeth. Enfim, cada arquivo possui MD5 aleatória dependendo do sistema, mas, um arquivo pode ter no máximo cinco tipos de MD5 apenas.
Tenho uma lista com as cinco principais MD5 da maioria dos arquivos do Windows. Porém se alguma não for conhecida, como foi o caso do Megadeeth, o arquivo está corrompido.

Vocês irão me perguntar: "Então só você saberá se um arquivo está corrompido ou não? Pois só você possui uma lista com os cinco tipos de MD5 verdadeiras dos arquivos..."

Resposta: Não.

Primeiro que não sou o único a possuir esta lista, todos os meus amigos analistas e peritos de segurança também a possui, pois foi feita por nós, baseando-nos em um teste rigoroso com diversos Windows e SP's de diversos PCs e com relatos da própria Microsoft através de um e-mail enviado a empresa referente à este assunto. Aliás, foi a própria Microsoft que nos disse que os arquivos possuem apenas cinco tipos de MD5.

Segundo que qualquer um de vocês pode identificar um arquivo corrompido. Como? Acessando o site abaixo e enviando o arquivo para a análise:

http://md5.my-addr.com/md5sum_for_file-md5_file_checksum/online_md5_file_hash_generator_tool.php

O site acima irá apontar se o arquivo estiver corrompido. Basta ver no resultado, ao lado da MD5, constará a informação "Error reading from file..."

Existe também sites que verificam a MD5 de uma string:
http://www.miraclesalad.com/webtools/md5.php
http://www.adamek.biz/md5-generator.php
http://www.liamdelahunty.com/tips/md5_string.php

Outra dica valiosa, é instalar o HashTab. Este programa adiciona uma extensão chamada Hashes do Arquivo nas propriedades do arquivo (clicando com o direito sobre o mesmo e selecionando Propriedades você verá a guia).

Abraços
 
Wolf, muito obrigado pela explicação. Como imaginei, minha explicação não estava 100% correta, sabia que tinha algo errado quando vi o MD5 diferente de um XP pro outro. Pra mim, o explorer.exe era igual, um arquivo único com o mesmo MD5 em qualquer instalação.
Mal sabia que tinha 5 tipos de MD5. Será que tem alguma explicação pra ter 5 hashs diferentes? Ou é natural em todos os programas ter 5 MD5, e não só nos arquivos da Microsoft?

Outra coisa que não sabia é que o começo da linha do RayPc era o tamanho do arquivo e sobre os avisos (warning/fail). Nesse caso, até dá pra identificar se o arquivo está modificado/corrompido, se o tamanho estiver diferente do normal, não? Claro, a verificação dos 5 hash é mais garantida, mas o tamanho do arquivo não deixa de ser uma mais uma opção pra garantir ainda mais.

Programinha muito bom esse, quando comecei a ler sobre ele entendi qual era o propósito. Ele não só lista as principais entradas do Windows e mostra o hash e o tamanho como também exibe quando o arquivo pode ser vírus. Muito show mesmo.

Respondendo a dúvida simples do Megadeeth que acabei esquecendo: SP - Service Pack.
 
Olá Mr Wolf, aí está o log que pedi a análise

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:13, on 10/7/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Arquivos de programas\Clevo\AutoMailChkr\MailChkr.exe
C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe
C:\WINDOWS\sm56hlpr.exe
C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\BisonCam\BisonHK.exe
C:\WINDOWS\mHotkey.exe
C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe
C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\azul\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe
C:\Arquivos de programas\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe
C:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AutoMailChecker] C:\Arquivos de programas\Clevo\AutoMailChkr\MailChkr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SMSERIAL] C:\WINDOWS\sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BisonHK] C:\WINDOWS\BisonCam\BisonHK.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Arquivos de programas\CyberLink\PowerDVD\Language\Language.exe "
O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\azul\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: BlueSoleil.lnk = C:\Arquivos de programas\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {e2883e8f-472f-4fb0-9522-ac9bf37916a7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Arquivos de programas\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

--
End of file - 6417 bytes
 
Sonny disse:
Nossa !!!

Vocês viram isso ?

omG_Hack.jpg


Hack
Clique para expandir...
Opa amigo Sonny (ou digo Subs), como vai? :)

Pois é Subs, este grupo Anti-Sec (Anti-Security) responsável por hackear o imageshack, é um dos principais rivais de empresas de segurança e de empresas antivirus desde 2006, incluindo ESET, Kaspersky, Alwil, ASAP, UNITE, Astalavista (que teve todos os seus sites hackeados pelo grupo), Force TEAM entre outras empresas.
Colocamos informações sobre o hack e sobre o grupo anti-sec nos artigos do Linha Defensiva, quem quiser conferir:

http://www.linhadefensiva.org/2009/07/imageshack-e-invadido-por-grupo-antisseguranca/

Este grupo é responsável também pela criação de vários exploits antigos e atuais, um deles e o mais conhecido é o Bloodhound.Exploit - para quem não conhece, este exploit é um dos mais perigosos que existem e o principal causador de brechas para a infecção do Worm Conficker e do Rootkit.Bagle. Este exploit possui a capacidade de, em menos de minutos, gerar falhas deixando vulnerável os controles ActiveX do navegador e em serviços cruciais ao Windows que devem obrigatoriamente permanecerem ativados como: Cliente DNS, Cliente Web e Inicializador de Processo de Servidor DCOM.

Sexta-feira passada mesmo, o dia em que ocorreu o hack, percebi que muitas imagens hospedadas há tempos até no imageshack, haviam sido substituídas por esta imagem que você postou Subs. Começando pela imagem do CFScript.txt do ComboFix que posto aqui às vezes em casos que necessitam de montagem de script do ComboFix.

Pra quem não sabe o que é a prática Full disclosure, citada na imagem do hack e no artigo do Linha Defensiva, recomendo a leitura do link abaixo:

http://en.wikipedia.org/wiki/Full_disclosure

Se lerem o link da Wikipedia acima até ao fim, observarão que a utilização deste método pelos “whitehats” está longe de ser pacífica.

Ou seja, basicamente o que está aqui em causa é um “movimento” que está contra todos aqueles que, como forma de forçarem os programadores a corrigirem falhas de segurança, publicam essas falhas, dando dados detalhados sobre a vulnerabilidade em causa, como a detectar e, mais importante, como a explorar. Para quem apoia o full disclosure, essa publicidade será a melhor forma de forçar os programadores a, atempadamente, suprirem as mais relevantes falhas de segurança no código.

Este movimento anti-sec não está de acordo com as notificações de vulnerabilidades/falhas e querem levar ao extremo a sua interpretação do assunto – ameaçando com hacks todos aqueles que usam dessa filosofia. Segundo o movimento, as empresas de segurança online utilizam o full disclosure como forma de assustar os consumidores, forçando-os a investir em firewalls, antivírus e outras soluções de segurança. Criticam também os “angélicos” whitehats visto que, de acordo com a sua forma de ver, se estivessem tão preocupados com a segurança, não publicavam esses exploits, ainda que com algumas edições idiotas (suficientes, pensam eles) para salvaguardar a possibilidade de blackhats ou scrip kiddies copiarem o exploit e fazerem uso dele sem demais. Acusam-nos de se aproveitarem dessa atividade, visto que, ao publicarem o exploit, multiplicam-no por mirrors, fazendo-os acompanhar de advertisements que redirecionam para a equipe ou website que descobriu a vulnerabilidade. Ou seja, entendem que é tudo uma questão de interesse – de dinheiro.

De qualquer forma o movimento, no meu entender, falha redondamente por não concluir com a indicação expressa daquilo que pretendem, isto é, se preferem um meio termo (”limited disclosure”) ou então precisamente o oposto (”closure” – creio que seja este o termo)! É que ser contra não chega. Acho que é preciso indicar uma solução alternativa – o que não acontece neste caso.

Até agora estes foram os hacks deste grupo anti-sec:

http://marcoramilli.blogspot.com/2009/06/anti-sec-group-destroyed-astalavista.html
http://romeo.copyandpaste.info/txt/nowayout.txt
http://hackingexpose.blogspot.com/2009/07/ssanz-server-systems-administration-nz.html

Apesar de terem razão acerca do mercantilismo todo de algumas indústrias de segurança, o full disclosure é, na minha opinião, o caminho a seguir, de forma a obrigar os fabricantes de antivirus, firewall, anti-spywares a melhorarem os seus produtos.

Força ainda a que as pessoas que não percebam muito de informática, tenham mais consciência naquilo que fazem com os seus computadores pessoais. Se estas pessoas fossem menos “happy joes click on everything that flashes or as tits” haveriam menos botnets a despejar spam em nossas mailboxes.

Mas, muitos exploit writers (autores de exploits) ganham dinheiro ao publicarem os exploits que desenvolveram independentemente e não são só as empresas de segurança a fazer dinheiro.

Este grupo na minha opinião apenas quer protagonismo na cena.

Desculpe não resumir meu texto, mas não consigo explicar ou responder coisas deste tipo pela metade. :)
 
victorm disse:
Mal sabia que tinha 5 tipos de MD5. Será que tem alguma explicação pra ter 5 hashs diferentes? Ou é natural em todos os programas ter 5 MD5, e não só nos arquivos da Microsoft?
Clique para expandir...
Há uma epxlicação sim Victor - malwares.

Muitas pragas usufruem de hash MD5 para infectarem os arquivos do sistema operacional. E quando isso ocorre, é uma dor de cabeça sem igual. Porque a partir do momento em que uma hash é infectada, a hash de todos os outros arquivos do computador com certeza serão também, aliás, foi assim que surgiu os file infectors. Quando a Microsoft lançou o XP, as MD5 dos arquivos eram todas iguais, tudo padrão. Com isso, file infectors tornaram-se comuns, e somente depois de um ano foram descobrir que era por causa da padronização das MD5 dos arquivos.
Se a MD5 de todos os arquivos continuassem iguais, o problema iria ser ainda maior, pois teríamos ataques em massa, e o Conficker seria tão comum que ao ligar o PC na internet seu computador poderia ser infectado por ele.

victorm disse:
Outra coisa que não sabia é que o começo da linha do RayPc era o tamanho do arquivo e sobre os avisos (warning/fail). Nesse caso, até dá pra identificar se o arquivo está modificado/corrompido, se o tamanho estiver diferente do normal, não? Claro, a verificação dos 5 hash é mais garantida, mas o tamanho do arquivo não deixa de ser uma mais uma opção pra garantir ainda mais.
Clique para expandir...
Apesar dos tamanhos de cada arquivo serem diferentes dependendo do sistema também, é um fator que possa levar-nos à identificar sim o vírus Victor. Suponhamos que o tamanho real do arquivo seja 1030 K, e no log constam apenas 3 K, obviamente iremos sacar que algo errado se encontra ali.

victorm disse:
Programinha muito bom esse, quando comecei a ler sobre ele entendi qual era o propósito. Ele não só lista as principais entradas do Windows e mostra o hash e o tamanho como também exibe quando o arquivo pode ser vírus. Muito show mesmo.
Clique para expandir...
O RayPc é um programa recente ainda. A Trend Micro ajuda na atualização, correção e ajudou no desenvolvimento do programa. Vendo que, entradas do HijackThis aparecem no log do RayPc também.
É um excelente programa mesmo Victor. Já está sendo adotado por todos os fóruns que possuem staff's de segurança e áreas destinadas à remoção de vírus e malwares.

O bacana do RayPc é que pode ser usado tranquilamente por qualquer usuário, pois o programa não remove nada, apenas lhe mostra o log, e é compatível com todas as versões do Windows.

_____________________________________________



luisednardo, os arquivos compactados em rar que você upou no RapidShare com os logs complementares vieram corrompidos.
 
Mr Wolf,
por via das dúvidas estou postando um log atual tirado agora.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:24:19, on 13/7/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Arquivos de programas\Clevo\AutoMailChkr\MailChkr.exe
C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe
C:\WINDOWS\sm56hlpr.exe
C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\BisonCam\BisonHK.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe
C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\azul\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe
C:\Arquivos de programas\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AutoMailChecker] C:\Arquivos de programas\Clevo\AutoMailChkr\MailChkr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SMSERIAL] C:\WINDOWS\sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BisonHK] C:\WINDOWS\BisonCam\BisonHK.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Arquivos de programas\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\azul\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: BlueSoleil.lnk = C:\Arquivos de programas\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {e2883e8f-472f-4fb0-9522-ac9bf37916a7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Arquivos de programas\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

--
End of file - 6511 bytes
Não usei nenhum script não. Essa máquina foi infectada por um rogue. Usei o Malwarebytes e o Combofix e fiz um scan com o avira (não tenho mais o log) O avira detectou e deletou 891 itens infectados.
A máquina está normal a única coisa é que as diretivas de grupo estão estranhas.
 
luisednardo, coloque o script abaixo no Bloco de Notas e mova-o para o ComboFix:

File::
C:\mkvknro.exe
C:\dkelr.exe
c:\windows\system32\ubb.exe
C:\9j.exe
C:\kmvu.exe
c:\documents and settings\azul\Menu Iniciar\Programas\Inicializar\ihaupd32.exe


KillAll::
Clique para expandir...
Poste o novo log do ComboFix em sua próxima resposta.
 
Mr.Wolf disse:
luisednardo, coloque o script abaixo no Bloco de Notas e mova-o para o ComboFix:


Poste o novo log do ComboFix em sua próxima resposta.
Clique para expandir...

Ai esta o log
ComboFix 09-07-13.01 - azul 13/07/2009 17:00.2.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1983.1538 [GMT -3:00]
Executando de: c:\documents and settings\azul\Desktop\ComboFix.exe
Comandos utilizados :: c:\documents and settings\azul\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Criado um novo ponto de restauração

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

FILE ::
"C:\9j.exe"
"C:\dkelr.exe"
"c:\documents and settings\azul\Menu Iniciar\Programas\Inicializar\ihaupd32.exe"
"C:\kmvu.exe"
"C:\mkvknro.exe"
"c:\windows\system32\ubb.exe"
.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-06-13 to 2009-07-13 ))))))))))))))))))))))))))))
.

2009-07-11 12:46 . 2009-07-11 12:46 -------- d-----w- c:\documents and settings\azul\Dados de aplicativos\TeamViewer
2009-07-11 12:46 . 2009-07-11 12:46 -------- d-----w- c:\arquivos de programas\TeamViewer
2009-07-11 12:46 . 2009-07-11 12:46 -------- d-----w- c:\documents and settings\azul\temp
2009-07-10 17:59 . 2009-07-10 18:04 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-07-10 17:59 . 2009-07-10 18:04 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-07-10 17:59 . 2009-02-13 14:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-07-10 17:59 . 2009-02-13 14:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-07-10 17:59 . 2009-07-10 17:59 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dados de aplicativos\Avira
2009-07-10 17:59 . 2009-07-10 17:59 -------- d-----w- c:\arquivos de programas\Avira
2009-07-10 17:58 . 2009-07-10 17:58 -------- d-----w- C:\Avira Free
2009-07-10 14:35 . 2009-07-10 14:35 -------- d-----w- c:\arquivos de programas\CCleaner
2009-07-10 14:33 . 2009-07-10 14:34 3252640 ----a-w- C:\ccsetup221.exe
2009-07-10 14:30 . 2009-07-13 19:24 -------- d-----w- C:\HijackThis
2009-07-10 14:30 . 2009-07-10 14:30 812344 ----a-w- C:\HJTInstall.exe
2009-07-10 14:25 . 2009-07-10 14:38 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dados de aplicativos\NOS
2009-07-10 14:25 . 2009-07-10 14:38 -------- d-----w- c:\arquivos de programas\NOS
2009-07-10 13:49 . 2009-07-10 13:49 -------- d-----w- c:\documents and settings\azul\Dados de aplicativos\Malwarebytes
2009-07-10 13:23 . 2009-06-21 18:45 -------- d--h--w- c:\documents and settings\Administrador\Modelos
2009-07-10 13:23 . 2009-06-21 15:38 -------- d-----w- c:\documents and settings\Administrador\Meus documentos
2009-07-10 13:23 . 2009-06-21 15:38 -------- d-----w- c:\documents and settings\Administrador\Favoritos
2009-07-10 13:23 . 2009-06-21 15:38 -------- d-----r- c:\documents and settings\Administrador\Menu Iniciar
2009-06-25 12:21 . 2009-06-25 12:21 -------- d-----w- c:\documents and settings\azul\Dados de aplicativos\HP
2009-06-25 12:21 . 2009-06-25 12:21 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dados de aplicativos\HP
2009-06-25 12:17 . 2006-03-04 00:03 65536 ----a-w- c:\windows\system32\HPZinw12.exe
2009-06-25 12:17 . 2006-03-04 00:03 69632 ----a-w- c:\windows\system32\HPZipm12.exe
2009-06-25 12:17 . 2006-03-04 00:02 204800 ----a-w- c:\windows\system32\HPZipr12.dll
2009-06-25 12:17 . 2006-03-04 00:02 94208 ----a-w- c:\windows\system32\HPZipt12.dll
2009-06-25 12:17 . 2006-03-04 00:02 57344 ----a-w- c:\windows\system32\HPZisn12.dll
2009-06-25 12:17 . 2006-03-04 00:03 282680 ----a-w- c:\windows\system32\HPZidr12.dll
2009-06-25 12:15 . 2009-06-25 12:25 126123 ----a-w- c:\windows\HPHins12.dat
2009-06-25 12:15 . 2006-06-12 22:21 14916 ------w- c:\windows\hphmdl12.dat
2009-06-25 12:14 . 2006-05-16 06:25 77824 ----a-r- c:\windows\system32\hpzids01.dll
2009-06-25 12:14 . 2006-06-04 00:29 48640 ----a-w- c:\windows\system32\hpzll4pi.dll
2009-06-25 12:12 . 2004-08-04 02:01 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2009-06-25 12:12 . 2004-08-04 02:01 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2009-06-25 12:08 . 2001-03-08 21:30 24064 ------w- c:\windows\system32\msxml3a.dll
2009-06-25 12:07 . 2009-06-25 12:08 -------- d-----w- c:\arquivos de programas\CyberLink
2009-06-25 11:51 . 2009-06-25 12:52 -------- d-----w- c:\documents and settings\azul\Dados de aplicativos\Ahead
2009-06-25 11:47 . 2009-06-25 11:53 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Ahead
2009-06-25 11:47 . 2009-06-25 11:47 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dados de aplicativos\Nero
2009-06-25 11:47 . 2009-06-25 11:47 -------- d-----w- c:\arquivos de programas\Nero
2009-06-25 11:41 . 2002-11-05 20:15 1806 ----a-w- c:\windows\mHotkey.reg
2009-06-25 11:41 . 2001-12-26 17:12 472576 ----a-w- c:\windows\mHotkey.exe
2009-06-25 11:41 . 2001-07-02 23:36 24576 ----a-w- c:\windows\HKNTDLL.dll
2009-06-25 11:41 . 2000-09-01 23:21 294912 ----a-r- c:\windows\Record.exe
2009-06-25 11:40 . 2009-07-07 12:37 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dados de aplicativos\Bluetooth
2009-06-25 11:38 . 2009-06-25 11:38 -------- d-----w- c:\windows\BisonC07
2009-06-25 11:38 . 2007-09-11 22:49 810280 ----a-w- c:\windows\system32\drivers\BisonC07.sys
2009-06-25 11:38 . 2007-08-10 20:02 188416 ----a-w- c:\windows\system32\BisonR07.dll
2009-06-25 11:38 . 2007-07-23 22:35 106496 ----a-w- c:\windows\system\BisonV07.dll
2009-06-25 11:38 . 2007-07-23 22:35 172032 ----a-w- c:\windows\system\BisonC07.dll
2009-06-25 11:38 . 2005-01-14 00:47 180224 ----a-w- c:\windows\system\StillDrv.dll
2009-06-25 11:37 . 2009-06-25 11:38 -------- d-----w- c:\windows\BisonCam
2009-06-25 11:37 . 2009-06-25 11:37 -------- d-----w- c:\documents and settings\azul\Dados de aplicativos\InstallShield
2009-06-25 11:35 . 2004-08-04 03:45 54784 ----a-w- c:\windows\system32\drivers\vfwwdm32.dll
2009-06-25 11:33 . 2009-06-25 11:33 -------- d-----w- c:\arquivos de programas\DIFX
2009-06-25 11:32 . 2006-05-10 15:12 43520 ----a-w- c:\windows\system32\drivers\AmdK8.sys
2009-06-25 11:22 . 2005-07-28 10:26 69721 ----a-w- c:\windows\system32\SynTPFcs.dll
2009-06-25 11:22 . 2005-07-28 10:27 81920 ----a-w- c:\windows\system32\SynTPCo2.dll
2009-06-25 11:22 . 2005-07-28 10:16 90201 ----a-w- c:\windows\system32\SynTPAPI.dll
2009-06-25 11:22 . 2005-07-28 10:15 82012 ----a-w- c:\windows\system32\SynCOM.dll
2009-06-25 11:22 . 2005-07-28 10:15 114688 ----a-w- c:\windows\system32\SynCtrl.dll
2009-06-25 11:22 . 2005-07-28 10:13 190592 ----a-w- c:\windows\system32\drivers\SynTP.sys
2009-06-25 11:22 . 2009-06-25 11:22 -------- d-----w- c:\arquivos de programas\Synaptics
2009-06-24 17:03 . 2008-06-14 17:59 272384 -c----w- c:\windows\system32\dllcache\bthport.sys
2009-06-24 17:03 . 2008-06-14 17:59 272384 ------w- c:\windows\system32\drivers\bthport.sys
2009-06-24 17:01 . 2009-02-09 11:50 2019840 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2009-06-24 17:01 . 2009-02-09 11:50 2061952 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-06-24 17:01 . 2009-02-09 11:50 2184704 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe
2009-06-24 17:01 . 2009-02-09 11:50 2140160 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-06-24 16:35 . 2008-10-24 11:10 453632 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2009-06-24 15:44 . 2008-03-17 14:56 103168 ----a-w- c:\windows\system32\drivers\ewusbfake.sys
2009-06-24 15:44 . 2008-03-17 14:03 101376 ----a-w- c:\windows\system32\drivers\ewusbmdm.sys
2009-06-24 15:44 . 2008-03-16 17:47 872192 ----a-w- c:\windows\system32\drivers\mod7700.sys
2009-06-24 15:44 . 2008-01-22 18:09 100992 ----a-w- c:\windows\system32\drivers\ewusbnet.sys
2009-06-24 15:44 . 2007-08-09 07:13 24448 ----a-w- c:\windows\system32\drivers\ewdcsc.sys
2009-06-23 13:57 . 2001-09-06 02:20 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2009-06-23 13:57 . 2001-09-06 02:20 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2009-06-23 13:57 . 2001-08-18 01:02 9600 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2009-06-23 13:57 . 2001-08-18 01:02 9600 ----a-w- c:\windows\system32\drivers\hidusb.sys
2009-06-23 12:38 . 2009-07-07 13:11 2620 --sha-w- c:\windows\system32\KGyGaAvL.sys
2009-06-23 12:38 . 2009-06-23 12:38 -------- d-----w- c:\documents and settings\azul\Dados de aplicativos\Corel
2009-06-23 01:37 . 2009-06-23 12:31 65536 ----a-r- c:\documents and settings\azul\Dados de aplicativos\Microsoft\Installer\{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}\Shortcut0.C3A146F5_4B48_11D5_A819_00B0D0428C0C.exe
2009-06-23 01:37 . 2009-06-23 12:31 10134 ----a-r- c:\documents and settings\azul\Dados de aplicativos\Microsoft\Installer\{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}\ARPPRODUCTICON.exe
2009-06-23 01:37 . 2009-06-23 01:37 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dados de aplicativos\InstallShield
2009-06-23 01:19 . 2006-10-26 22:56 32592 ----a-w- c:\windows\system32\msonpmon.dll
2009-06-23 01:14 . 2009-07-06 13:33 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dados de aplicativos\Microsoft Help
2009-06-23 01:13 . 2003-03-18 21:20 1060864 ----a-w- c:\windows\system32\MFC71.dll
2009-06-23 01:13 . 2003-03-18 20:14 499712 ----a-w- c:\windows\system32\MSVCP71.dll
2009-06-23 01:13 . 2003-02-21 04:42 348160 ----a-w- c:\windows\system32\MSVCR71.dll
2009-06-23 01:10 . 2009-06-23 01:10 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dados de aplicativos\nView_Profiles
2009-06-23 01:07 . 2009-06-23 01:05 180224 ----a-w- c:\windows\system32\nvudisp.exe
2009-06-23 01:00 . 2009-06-23 00:59 180608 ----a-w- c:\windows\system32\drivers\RTL8187.sys
2009-06-23 00:48 . 2009-06-23 00:48 -------- d-----w- c:\arquivos de programas\Clevo
2009-06-23 00:48 . 2002-10-16 13:06 32768 ----a-w- c:\windows\system32\Fngkhlib.dll
2009-06-23 00:48 . 1998-04-24 18:09 28160 ----a-w- c:\windows\system32\Fngmhlib.dll
2009-06-23 00:48 . 1998-10-29 19:45 306688 ----a-w- c:\windows\IsUninst.exe
2009-06-23 00:48 . 2009-06-23 00:48 -------- d-----w- c:\documents and settings\azul\WINDOWS
2009-06-21 20:07 . 2004-08-04 02:08 60288 -c--a-w- c:\windows\system32\dllcache\drmk.sys
2009-06-21 20:07 . 2004-08-04 02:08 60288 ----a-w- c:\windows\system32\drivers\drmk.sys
2009-06-21 20:07 . 2008-07-09 07:34 26488 ----a-w- c:\windows\system32\spupdsvc.exe
2009-06-21 20:07 . 2009-06-21 19:36 487424 ----a-w- c:\windows\RtlExUpd.dll
2009-06-21 20:06 . 2008-03-26 15:30 442368 ----a-w- c:\windows\system32\NVUNINST.EXE
2009-06-21 20:06 . 2004-08-04 02:08 26496 -c--a-w- c:\windows\system32\dllcache\usbstor.sys
2009-06-21 20:03 . 2009-06-23 00:37 222592 ----a-w- c:\windows\system32\drivers\nvsnpu.sys
2009-06-21 18:54 . 2009-07-10 15:18 -------- d--h--w- c:\documents and settings\LocalService.AUTORIDADE NT\Configurações locais
2009-06-21 18:54 . 2009-06-21 18:54 -------- d-----w- c:\documents and settings\LocalService.AUTORIDADE NT\Dados de aplicativos
2009-06-21 18:54 . 2009-06-21 18:54 -------- d-sh--w- c:\documents and settings\LocalService.AUTORIDADE NT
2009-06-21 18:53 . 2009-07-10 15:18 -------- d--h--w- c:\documents and settings\NetworkService.AUTORIDADE NT\Configurações locais
2009-06-21 18:53 . 2009-06-21 18:53 -------- d-----w- c:\documents and settings\NetworkService.AUTORIDADE NT\Dados de aplicativos
2009-06-21 18:53 . 2009-06-21 18:53 -------- d-sh--w- c:\documents and settings\NetworkService.AUTORIDADE NT
2009-06-21 18:51 . 2001-10-28 18:07 111104 -c--a-w- c:\windows\system32\dllcache\mtstocom.exe
2009-06-21 18:50 . 2004-08-04 01:31 480256 -c--a-w- c:\windows\system32\dllcache\cintsetp.exe
2009-06-21 18:48 . 2009-06-25 11:46 -------- d-sh--w- c:\documents and settings\All Users.WINDOWS\DRM
2009-06-21 18:46 . 2009-06-21 18:46 21844 ----a-w- c:\windows\system32\emptyregdb.dat
2009-06-21 15:43 . 2004-08-03 22:58 5504 ----a-w- c:\windows\system32\drivers\MSTEE.sys
2009-06-21 15:42 . 2004-08-04 00:36 57984 ----a-w- c:\windows\system32\drivers\redbook.sys
2009-06-21 15:42 . 2001-08-17 21:46 6400 ----a-w- c:\windows\system32\drivers\enum1394.sys
2009-06-21 15:41 . 2004-08-04 00:45 76288 ----a-w- c:\windows\system32\usbui.dll
2009-06-21 15:41 . 2004-08-03 23:07 8832 ----a-w- c:\windows\system32\drivers\wmiacpi.sys
2009-06-21 15:41 . 2001-08-17 21:58 9344 ----a-w- c:\windows\system32\drivers\compbatt.sys
2009-06-21 15:41 . 2004-08-03 23:07 14080 ----a-w- c:\windows\system32\drivers\CmBatt.sys
2009-06-21 15:41 . 2001-08-17 21:57 14080 ----a-w- c:\windows\system32\drivers\battc.sys
2009-06-17 16:32 . 2009-06-17 16:32 -------- d-----w- c:\documents and settings\lincoln\Dados de aplicativos\Windows Search
2009-06-17 13:37 . 2009-06-17 13:37 -------- d-----w- c:\windows\system32\LogFiles

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-13 19:27 . 2001-10-28 18:07 49044 ----a-w- c:\windows\system32\perfc016.dat
2009-07-13 19:27 . 2001-10-28 18:07 344972 ----a-w- c:\windows\system32\perfh016.dat
2009-07-10 14:46 . 2008-09-30 11:31 -------- d-----w- c:\arquivos de programas\Alwil Software
2009-07-10 13:41 . 2009-07-10 13:41 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Malwarebytes
2009-07-10 13:41 . 2009-07-10 13:41 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware
2009-07-10 13:41 . 2009-07-10 13:41 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dados de aplicativos\Malwarebytes
2009-07-07 13:09 . 2004-08-04 02:14 212480 ----a-w- c:\windows\system32\drivers\ndis.sys
2009-06-25 12:17 . 2008-11-06 11:49 -------- d-----w- c:\arquivos de programas\HP
2009-06-25 12:08 . 2008-09-30 01:09 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information
2009-06-25 11:19 . 2008-09-30 01:33 -------- d-----w- c:\arquivos de programas\Ahead
2009-06-24 15:44 . 2009-02-27 21:03 -------- d-----w- c:\arquivos de programas\TIM Web Banda Larga
2009-06-23 14:17 . 2008-09-30 01:08 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield
2009-06-23 01:27 . 2008-09-30 10:52 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe
2009-06-23 00:37 . 2009-06-21 20:08 101632 ----a-w- c:\windows\system32\drivers\nvtcp.sys
2009-06-21 19:36 . 2008-09-30 01:10 86016 ----a-w- c:\windows\SoundMan.exe
2009-06-21 19:36 . 2008-09-30 01:10 2879488 ----a-w- c:\windows\SkyTel.exe
2009-06-21 19:36 . 2009-06-21 20:08 135168 ----a-w- c:\windows\system32\RtlCPAPI.dll
2009-06-21 19:36 . 2008-09-30 01:10 364544 ----a-w- c:\windows\RtlUpd.exe
2009-06-21 19:36 . 2008-09-30 01:10 4299264 ----a-w- c:\windows\system32\drivers\RtkHDAud.Sys
2009-06-21 19:36 . 2008-09-30 01:09 9709568 ----a-w- c:\windows\RTLCPL.exe
2009-06-21 19:36 . 2008-09-30 01:09 16239616 ----a-w- c:\windows\RTHDCPL.exe
2009-06-21 19:36 . 2008-09-30 01:09 2158592 ----a-w- c:\windows\MicCal.exe
2009-06-21 19:36 . 2008-09-30 01:09 69632 ----a-w- c:\windows\Alcmtr.exe
2009-06-21 19:36 . 2008-09-30 01:09 2808832 ----a-w- c:\windows\alcwzrd.exe
2009-06-21 19:35 . 2009-06-21 20:08 40960 ----a-w- c:\windows\system32\ChCfg.exe
2009-06-21 19:33 . 2009-06-21 18:49 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-06-21 19:20 . 2009-06-21 20:08 176128 ----a-w- c:\windows\system32\nvunrm.exe
2009-06-21 19:20 . 2009-06-21 20:02 35840 ----a-w- c:\windows\system32\nvconrm.dll
2009-06-21 19:20 . 2009-06-21 20:02 158720 ----a-w- c:\windows\system32\fdco_l1046.dll
2009-06-21 19:20 . 2009-06-21 20:02 9728 ----a-w- c:\windows\system32\bdco1.dll
2009-06-21 19:20 . 2009-06-21 20:02 204288 ----a-w- c:\windows\system32\fdco1.dll
2009-06-17 14:27 . 2009-07-10 13:41 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-17 14:27 . 2009-07-10 13:41 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-15 17:20 . 2008-10-18 18:44 -------- d-----w- c:\arquivos de programas\GbPlugin
2009-05-18 21:56 . 2008-10-01 11:31 -------- d-----w- c:\arquivos de programas\Windows Live Safety Center
2009-05-07 15:43 . 2004-08-04 03:45 345600 ----a-w- c:\windows\system32\localspl.dll
2009-04-29 04:45 . 2004-08-04 03:45 827392 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:45 . 2004-08-04 03:45 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-04-19 20:10 . 2004-08-04 03:38 1846784 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 15:17 . 2004-08-04 03:45 584192 ----a-w- c:\windows\system32\rpcrt4.dll
2008-10-06 13:36 . 2008-10-06 13:36 24543376 ----a-w- c:\arquivos de programas\AdbeRdr90_pt_BR.exe
.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Google Update"="c:\documents and settings\azul\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" [2009-06-24 133104]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 143360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AutoMailChecker"="c:\arquivos de programas\Clevo\AutoMailChkr\MailChkr.exe" [2002-11-22 847360]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-06-23 7561216]
"ISUSPM Startup"="c:\arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"SMSERIAL"="c:\windows\sm56hlpr.exe" [2009-06-24 565248]
"SynTPEnh"="c:\arquivos de programas\Synaptics\SynTP\SynTPEnh.exe" [2005-08-01 729177]
"BisonHK"="c:\windows\BisonCam\BisonHK.exe" [2007-10-03 77824]
"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"RemoteControl"="c:\arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\arquivos de programas\CyberLink\PowerDVD\Language\Language.exe" [2006-12-06 54832]
"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"avgnt"="c:\arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2009-06-21 16239616]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2009-06-21 2879488]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-06-23 1519616]
"CHotkey"="mHotkey.exe" - c:\windows\mHotkey.exe [2001-12-26 472576]

c:\documents and settings\lincoln\Menu Iniciar\Programas\Inicializar\
Adobe Gamma.lnk - c:\arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
Recorte de tela e Iniciador do OneNote 2007.lnk - c:\arquivos de programas\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\documents and settings\All Users.WINDOWS\Menu Iniciar\Programas\Inicializar\
BlueSoleil.lnk - c:\arquivos de programas\IVT Corporation\BlueSoleil\BlueSoleil.exe [2006-3-1 653312]
HP Digital Imaging Monitor.lnk - c:\arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]

[HKLM\~\startupfolder\C:^Documents and Settings^azul^Menu Iniciar^Programas^Inicializar^ihaupd32.exe]
path=c:\documents and settings\azul\Menu Iniciar\Programas\Inicializar\ihaupd32.exe
backup=c:\windows\pss\ihaupd32.exeStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Arquivos de programas\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Arquivos de programas\\TeamViewer\\Version4\\TeamViewer.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [10/7/2009 14:59 108289]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187.sys [22/6/2009 22:00 180608]
S1 4972d5c0;4972d5c0;c:\windows\system32\drivers\4972d5c0.sys --> c:\windows\system32\drivers\4972d5c0.sys [?]
.
Conteúdo da pasta 'Tarefas Agendadas'

2009-07-02 c:\windows\Tasks\WebReg Deskjet D1300 series.job
- c:\arquivos de programas\HP\Digital Imaging\bin\hpqwrg.exe [2006-02-19 07:09]
.
.
------- Scan Suplementar -------
.
uStart Page = hxxp://www.google.com.br/
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {e2883e8f-472f-4fb0-9522-ac9bf37916a7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-13 17:05
Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'explorer.exe'(3076)
c:\windows\system32\msi.dll
.
------------------------ Outros Processos em Execução ------------------------
.
c:\windows\system32\WgaTray.exe
c:\arquivos de programas\Avira\AntiVir Desktop\avguard.exe
c:\arquivos de programas\IVT Corporation\BlueSoleil\BTNtService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\arquivos de programas\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\wdfmgr.exe
c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe
c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
c:\windows\system32\wscntfy.exe
c:\arquivos de programas\HP\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Tempo para conclusão: 2009-07-13 17:08 - Máquina reiniciou
ComboFix-quarantined-files.txt 2009-07-13 20:08
ComboFix2.txt 2009-07-10 15:18

Pré-execução: 7 pasta(s) 14.481.399.808 bytes disponíveis
Pós execução: 7 pasta(s) 14.482.100.224 bytes disponíveis

280 --- E O F --- 2009-06-24 19:18
 
faaaaala Grande Mestre Wolf como ta irmaozin????? deu uma sumida!!!!!!!!!! :D

vlw msm por ixplicar sobre o ray-pc e as md5s Mestre agora fico tdo mais claro p mim!!!!! brigadao msm!!!!!!!!! ja ate colokei esse site de analisa as md5s aki nos favoritos kkkkk :D

mais Mestre sobe esse assunto do image shack eu tenho conta la sera q podem roubar minhas senhas e conta e talz????? faiz um tempao q eu tenho conta la e bateu um friu na espinha agora vendo esses *** rakear o site!!!!!!!

sera q podem robar minha conta????

obrigadao Mestre vc como sempre ajudabdo a tdos e manjando de tdo :D

um abraçao irmao Wolf
 
luisednardo, log limpo :)

Pergunte ao dono da máquina se ele terá problemas em utilizar a HP dele. Pois o vírus afetou alguns drivers da HP. Em caso afirmativo, será necessário reinstalar os drivers da impressora.

_____________________________________________


Megadeeth disse:
faaaaala Grande Mestre Wolf como ta irmaozin????? deu uma sumida!!!!!!!!!! :D

vlw msm por ixplicar sobre o ray-pc e as md5s Mestre agora fico tdo mais claro p mim!!!!! brigadao msm!!!!!!!!! ja ate colokei esse site de analisa as md5s aki nos favoritos kkkkk :D

mais Mestre sobe esse assunto do image shack eu tenho conta la sera q podem roubar minhas senhas e conta e talz????? faiz um tempao q eu tenho conta la e bateu um friu na espinha agora vendo esses *** rakear o site!!!!!!!

sera q podem robar minha conta????

obrigadao Mestre vc como sempre ajudabdo a tdos e manjando de tdo :D

um abraçao irmao Wolf
Clique para expandir...
Não Megadeeth.

As únicas coisas que foram alteradas e substituídas foram algumas imagens do site. Nada mais. As contas permanecem ináctas.

:thumbs_up
 
brigadao Mestre

um abraçao irmao

vlw por tudo msm e vlw vc tb victorm me ajudou mto ake!!!!!!! :D

um abraçao irmaos
 
Ola wolf nao me desse resposta sobre o log do runscaner aí vai um novo feito agora
Runscanner logfile

* = signed file
- = file not found

General info
------------
Computer name : USER-87DA080C3C
Creation time : 13/7/2009 18:33:17
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 7.0.5730.11
OS : Microsoft Windows XP
OS Build : 2600
OS SP : Service Pack 2
RunScanner Version : 1.8.1.0
User Language : Português (Brasil)
User rights : Administrator
Windows folder : C:\WINDOWS

Running processes
-----------------
* C:\Arquivos de programas\uTorrent\uTorrent.exe (BitTorrent, Inc.)
* C:\WINDOWS\system32\winlogon.exe (Microsoft Corporation)
* C:\WINDOWS\system32\services.exe (Microsoft Corporation)
* C:\WINDOWS\System32\alg.exe (Microsoft Corporation)
* C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe (ALWIL Software)
* C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe (ALWIL Software)
* C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe (ALWIL Software)
* C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe (ALWIL Software)
* C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe (ALWIL Software)
* C:\WINDOWS\system32\csrss.exe (Microsoft Corporation)
* C:\WINDOWS\system32\ctfmon.exe (Microsoft Corporation)
* C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe (DT Soft Ltd)
* C:\Arquivos de programas\Mozilla Firefox\firefox.exe (Mozilla Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* c:\windows\System32\smss.exe (Microsoft Corporation)
* C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
* C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe (Sun Microsystems, Inc.)
* C:\WINDOWS\system32\lsass.exe (Microsoft Corporation)
* C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
C:\Arquivos de programas\Orbitdownloader\orbitdm.exe (Orbitdownloader.com)
C:\Arquivos de programas\Orbitdownloader\orbitnet.exe (Orbitdownloader.com)
* C:\Documents and Settings\User\Desktop\runscanner.exe (Runscanner.net)
* C:\WINDOWS\System32\SCardSvr.exe (Microsoft Corporation)
* C:\WINDOWS\system32\spoolsv.exe (Microsoft Corporation)
C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (Rocket Division Software)
C:\WINDOWS\VM_STI.EXE (VM.)
* C:\Arquivos de programas\Winamp\Winamp.exe (Nullsoft)
C:\Arquivos de programas\Winamp\winampa.exe
* C:\WINDOWS\Explorer.EXE (Microsoft Corporation)
* C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe (Microsoft Corporation)
* C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe (Microsoft Corporation)
* C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe (Microsoft Corporation)
* C:\WINDOWS\system32\wscntfy.exe (Microsoft Corporation)
C:\Arquivos de programas\Sony Ericsson\Sony Ericsson Wireless Manager 5\WirelessManager.exe (Sony Ericsson United States (SEUS))

Unrated items
-------------
002 * C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe (ALWIL Software)
002 C:\WINDOWS\VM_STI.EXE (VM.)
002 C:\Arquivos de programas\Winamp\winampa.exe
003 * C:\Arquivos de programas\Alcohol Soft\Alcohol 120\axcmd.exe (Alcohol Soft Development Team)
003 * C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe (DT Soft Ltd)
005 C:\Arquivos de programas\Orbitdownloader\orbitdm.exe (Orbitdownloader.com)
010 * C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe (avast! Antivirus)
010 * C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe (avast! iAVS4 Control Service)
010 * C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe (avast! Mail Scanner)
010 * C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe (avast! Web Scanner)
010 C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe (InstallDriver Table Manager)
010 C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (StarWind AE Service)
011 * C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys (aswFsBlk)
011 * C:\WINDOWS\system32\drivers\aswRdr.sys (aswRdr)
011 * C:\WINDOWS\system32\DRIVERS\atksgt.sys (atksgt)
011 * C:\WINDOWS\system32\drivers\Aavmker4.sys (avast! Asynchronous Virus Monitor)
011 * C:\WINDOWS\system32\drivers\aswTdi.sys (avast! Network Shield Support)
011 * C:\WINDOWS\system32\drivers\aswSP.sys (avast! Self Protection)
011 * C:\WINDOWS\system32\drivers\aswMon2.sys (avast! Standard Shield Support)
011 c:\windows\System32\Drivers\avgtdi.sys (AVG Network Redirector)
011 c:\windows\System32\Drivers\avgclean.sys (AVG7 Clean Driver)
011 c:\windows\System32\Drivers\avg7core.sys (AVG7 Kernel)
011 c:\windows\System32\Drivers\avg7rsxp.sys (AVG7 Resident Driver XP)
011 c:\windows\System32\Drivers\avg7rsw.sys (AVG7 Wrap Driver)
011 C:\WINDOWS\System32\Drivers\usbvm302.sys (LG webpro2 Camera)
011 * C:\WINDOWS\system32\DRIVERS\lirsgt.sys (lirsgt)
011 C:\WINDOWS\system32\DRIVERS\secdrv.sys (Secdrv)
011 * C:\WINDOWS\system32\DRIVERS\sembbus.sys (SEMC WMC Composite Device driver (WDM))
011 * C:\WINDOWS\system32\DRIVERS\sembcard.sys (Sony Ericsson PC300 Mobile Broadband Command Interface Drivers (WDM))
011 * C:\WINDOWS\system32\DRIVERS\sembmgmt.sys (Sony Ericsson PC300 Mobile Broadband Device Management Drivers (WDM))
011 * C:\WINDOWS\system32\DRIVERS\sembwwan.sys (Sony Ericsson PC300 Mobile Broadband Ethernet Control Drivers (WDM))
011 * C:\WINDOWS\system32\DRIVERS\sembnd5.sys (Sony Ericsson PC300 Mobile Broadband Network Adapter SENECA (NDIS))
011 * C:\WINDOWS\system32\DRIVERS\sembunic.sys (Sony Ericsson PC300 Mobile Broadband Network Adapter SENECA (WDM))
011 * C:\WINDOWS\system32\DRIVERS\sembmdm2.sys (Sony Ericsson PC300 Wireless Modem Driver)
011 * C:\WINDOWS\system32\DRIVERS\sembmdfl2.sys (Sony Ericsson PC300 Wireless Modem Filter)
011 C:\WINDOWS\system32\DRIVERS\w200bus.sys (Sony Ericsson W200 driver (WDM))
011 C:\WINDOWS\system32\DRIVERS\w200mgmt.sys (Sony Ericsson W200 USB WMC Device Management Drivers (WDM))
011 C:\WINDOWS\system32\DRIVERS\w200mdm.sys (Sony Ericsson W200 USB WMC Modem Driver)
011 C:\WINDOWS\system32\DRIVERS\w200mdfl.sys (Sony Ericsson W200 USB WMC Modem Filter)
011 C:\WINDOWS\system32\DRIVERS\w200obex.sys (Sony Ericsson W200 USB WMC OBEX Interface)
011 C:\WINDOWS\System32\Drivers\sptd.sys (sptd)
030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
035 C:\WINDOWS\system32\mscories.dll (Microsoft Corporation) {89B4C1CD-B018-4511-B0A1-5476DBF70820}
041 C:\Arquivos de programas\Orbitdownloader\GrabPro.dll {C55BBCD6-41AD-48AD-9953-3609C48EACC7}
045 C:\Arquivos de programas\Orbitdownloader\GrabPro.dll {C55BBCD6-41AD-48AD-9953-3609C48EACC7}
052 GUID / CLSID not found {5C255C8A-E604-49b4-9D64-90988571CECB}
052 C:\Arquivos de programas\Megaupload\Mega Manager\MegaIEMn.dll (Megaupload Limited) {bf00e119-21a3-4fd1-b178-3b8537e75c92}
052 C:\Arquivos de programas\Orbitdownloader\orbitcth.dll (Orbitdownloader.com) {000123B4-9B42-4900-B3F7-F4B073EFC214}
061 C:\Arquivos de programas\7-Zip\7-zip.dll (Igor Pavlov) {23170F69-40C1-278A-1000-000100020000}
061 * C:\Arquivos de programas\Alwil Software\Avast4\ashShell.dll (ALWIL Software) {472083B0-C522-11CF-8763-00608CC02F24}
061 C:\Arquivos de programas\Grisoft\AVG7\avgse.dll (GRISOFT, s.r.o.) {9F97547E-460A-42C5-AE0C-81C61FFAEBC3}
061 C:\Arquivos de programas\Grisoft\AVG7\avgse.dll (GRISOFT, s.r.o.) {9F97547E-4609-42C5-AE0C-81C61FFAEBC3}
061 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1D2680C9-0E2A-469d-B787-065558BC7D43}
061 C:\WINDOWS\system32\dfshim.dll (Microsoft Corporation) {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}
061 C:\WINDOWS\system32\dfshim.dll (Microsoft Corporation) {e82a2d71-5b2f-43a0-97b8-81be15854de8}
061 C:\Arquivos de programas\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
062 C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}
069 C:\WINDOWS\system32\mdimon.dll (Microsoft Corporation)
100 Start Page HKCU : http://www.pesbrasil.org/
100 Start Page HKLM : http://www.msn.com/
102 GUID / CLSID not found {67FCEF90-073E-11DE-8C30-0800200C9A66}
104 C:\WINDOWS\Downloaded Program Files\npTVUAx.dll (TVU networks) {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0}
104 GUID / CLSID not found {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
105 &Download by Orbit : res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201
105 &Grab video by Orbit : res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204
105 Do&wnload selected by Orbit : res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203
105 Down&load all by Orbit : res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202
105 E&xportar para o Microsoft Excel : res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
173 GUID / CLSID not found
173 C:\Arquivos de programas\7-Zip\7-zip.dll (Igor Pavlov) {23170F69-40C1-278A-1000-000100020000}
173 * C:\Arquivos de programas\Alwil Software\Avast4\ashShell.dll (ALWIL Software) {472083B0-C522-11CF-8763-00608CC02F24}
173 C:\Arquivos de programas\Grisoft\AVG7\avgse.dll (GRISOFT, s.r.o.) {9F97547E-4609-42C5-AE0C-81C61FFAEBC3}
173 C:\Arquivos de programas\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
173 C:\Arquivos de programas\WinAVI Video Converter\SimpleExt.dll {18360AF9-2DA7-426F-8EDC-A60A637ABB40}
221 GUID / CLSID not found
221 C:\Arquivos de programas\7-Zip\7-zip.dll (Igor Pavlov) {23170F69-40C1-278A-1000-000100020000}
221 * C:\Arquivos de programas\Alwil Software\Avast4\ashShell.dll (ALWIL Software) {472083B0-C522-11CF-8763-00608CC02F24}
221 C:\Arquivos de programas\Grisoft\AVG7\avgse.dll (GRISOFT, s.r.o.) {9F97547E-4609-42C5-AE0C-81C61FFAEBC3}
221 C:\Arquivos de programas\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
221 C:\Arquivos de programas\WinAVI Video Converter\SimpleExt.dll {18360AF9-2DA7-426F-8EDC-A60A637ABB40}
223 * C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamext.dll (Malwarebytes Corporation) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
225 * C:\Arquivos de programas\Alwil Software\Avast4\ashShell.dll (ALWIL Software) {472083B0-C522-11CF-8763-00608CC02F24}
225 * C:\Arquivos de programas\Alwil Software\Avast4\ashShell.dll (ALWIL Software) {472083B0-C522-11CF-8763-00608CC02F24}
225 C:\Arquivos de programas\Grisoft\AVG7\avgse.dll (GRISOFT, s.r.o.) {9F97547E-4609-42C5-AE0C-81C61FFAEBC3}
225 C:\Arquivos de programas\Grisoft\AVG7\avgse.dll (GRISOFT, s.r.o.) {9F97547E-4609-42C5-AE0C-81C61FFAEBC3}
225 * C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamext.dll (Malwarebytes Corporation) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
225 * C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamext.dll (Malwarebytes Corporation) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
225 C:\Arquivos de programas\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
225 C:\Arquivos de programas\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
227 GUID / CLSID not found
227 C:\Arquivos de programas\7-Zip\7-zip.dll (Igor Pavlov) {23170F69-40C1-278A-1000-000100020000}
227 C:\Arquivos de programas\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
231 C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) PDF Column Info
251 C:\Arquivos de programas\7-Zip\7-zip.dll (Igor Pavlov) {23170F69-40C1-278A-1000-000100020000}
251 C:\Arquivos de programas\WinRAR\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
254 GUID / CLSID not found {3B153CB3-A551-4fe6-A68B-F5C96650FF39}

Missing files
-------------
010 C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe
010 C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe
010 C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe
011 C:\WINDOWS\system32\drivers\Abiosdsk.sys
011 C:\WINDOWS\system32\drivers\abp480n5.sys
011 C:\WINDOWS\system32\drivers\adpu160m.sys
011 C:\WINDOWS\system32\drivers\Aha154x.sys
011 C:\WINDOWS\system32\drivers\aic78u2.sys
011 C:\WINDOWS\system32\drivers\aic78xx.sys
011 C:\WINDOWS\system32\drivers\AliIde.sys
011 C:\WINDOWS\system32\drivers\amsint.sys
011 C:\WINDOWS\system32\drivers\asc.sys
011 C:\WINDOWS\system32\drivers\asc3350p.sys
011 C:\WINDOWS\system32\drivers\asc3550.sys
011 C:\WINDOWS\system32\drivers\Atdisk.sys
011 C:\ComboFix\catchme.sys
011 C:\WINDOWS\system32\drivers\cd20xrnt.sys
011 C:\WINDOWS\system32\drivers\Changer.sys
011 C:\WINDOWS\system32\drivers\CmdIde.sys
011 C:\WINDOWS\system32\drivers\Cpqarray.sys
011 C:\WINDOWS\system32\drivers\dac2w2k.sys
011 C:\WINDOWS\system32\drivers\dac960nt.sys
011 C:\WINDOWS\system32\drivers\dpti2o.sys
011 C:\WINDOWS\system32\drivers\EagleNT.sys
011 D:\INSTALL\GMSIPCI.SYS
011 C:\WINDOWS\system32\drivers\hpn.sys
011 C:\WINDOWS\system32\drivers\i2omgmt.sys
011 C:\WINDOWS\system32\drivers\i2omp.sys
011 C:\WINDOWS\system32\drivers\ini910u.sys
011 C:\WINDOWS\system32\drivers\IntelIde.sys
011 C:\WINDOWS\system32\drivers\lbrtfdc.sys
011 C:\WINDOWS\system32\drivers\mraid35x.sys
011 C:\WINDOWS\system32\drivers\PCIDump.sys
011 C:\WINDOWS\system32\drivers\PDCOMP.sys
011 C:\WINDOWS\system32\drivers\PDFRAME.sys
011 C:\WINDOWS\system32\drivers\PDRELI.sys
011 C:\WINDOWS\system32\drivers\PDRFRAME.sys
011 C:\WINDOWS\system32\drivers\perc2.sys
011 C:\WINDOWS\system32\drivers\perc2hib.sys
011 C:\WINDOWS\system32\drivers\ql1080.sys
011 C:\WINDOWS\system32\drivers\Ql10wnt.sys
011 C:\WINDOWS\system32\drivers\ql12160.sys
011 C:\WINDOWS\system32\drivers\ql1240.sys
011 C:\WINDOWS\system32\drivers\ql1280.sys
011 C:\WINDOWS\system32\drivers\Simbad.sys
011 C:\WINDOWS\system32\drivers\Sparrow.sys
011 C:\WINDOWS\system32\drivers\sym_hi.sys
011 C:\WINDOWS\system32\drivers\sym_u3.sys
011 C:\WINDOWS\system32\drivers\symc810.sys
011 C:\WINDOWS\system32\drivers\symc8xx.sys
011 C:\WINDOWS\system32\drivers\TosIde.sys
011 C:\WINDOWS\system32\drivers\ultra.sys
011 C:\WINDOWS\system32\drivers\ViaIde.sys
011 C:\WINDOWS\system32\drivers\WDICA.sys
061 deskpan.dll
214
 
Estou com um problema no meu computador, formatei ele a pouco tempo e agora direito aparece um erro b.exe poderiam estar me ajudando?

passei o Hijackthis para vocês estarem vendo.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:15, on 13/7/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\Arquivos de programas\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\Arquivos de programas\NETGATE\Spy Emergency 2009\SpyEmergency.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Ninja\ninja.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Arquivos de programas\CDBurnerXP\NMSAccessU.exe
C:\Arquivos de programas\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Arquivos de programas\NETGATE\Spy Emergency 2009\SpyEmergencySrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\msb.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\b.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Arquivos de programas\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Arquivos de programas\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [RaidTool] C:\Arquivos de programas\VIA\RAID\raid_t
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Arquivos de programas\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpyEmergency] C:\Arquivos de programas\NETGATE\Spy Emergency 2009\SpyEmergency.exe
O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ninja.lnk = C:\Arquivos de programas\Ninja\ninja.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1247200248375
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Arquivos de programas\CDBurnerXP\NMSAccessU.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Arquivos de programas\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spy Emergency Engine Service (SpyEmrgSrv) - NETGATE Technologies s.r.o. - C:\Arquivos de programas\NETGATE\Spy Emergency 2009\SpyEmergencySrv.exe

--
End of file - 6940 bytes
 
Estou com um problema no meu computador, formatei ele a pouco tempo e agora direito aparece um erro b.exe poderiam estar me ajudando?

passei o Hijackthis para vocês estarem vendo.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:15, on 13/7/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\Arquivos de programas\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\Arquivos de programas\NETGATE\Spy Emergency 2009\SpyEmergency.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Ninja\ninja.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Arquivos de programas\CDBurnerXP\NMSAccessU.exe
C:\Arquivos de programas\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Arquivos de programas\NETGATE\Spy Emergency 2009\SpyEmergencySrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\msb.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\b.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Arquivos de programas\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Arquivos de programas\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [RaidTool] C:\Arquivos de programas\VIA\RAID\raid_t
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Arquivos de programas\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpyEmergency] C:\Arquivos de programas\NETGATE\Spy Emergency 2009\SpyEmergency.exe
O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ninja.lnk = C:\Arquivos de programas\Ninja\ninja.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1247200248375
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Arquivos de programas\CDBurnerXP\NMSAccessU.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Arquivos de programas\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spy Emergency Engine Service (SpyEmrgSrv) - NETGATE Technologies s.r.o. - C:\Arquivos de programas\NETGATE\Spy Emergency 2009\SpyEmergencySrv.exe

--
End of file - 6940 bytes
 
Mr.Wolf, segue logs abaixo:

01) Esse é do hjtscanlist.bat

$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
º º
hjtscanlist v2.0
º º
$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$

Microsoft Windows XP [versÆo 5.1.2600]


C:

13/07/2009 15:25 C:\Config.Msi --------- 0
C:\pagefile.sys ---------
11/07/2009 13:22 C:\WINDOWS --------- 0
09/07/2009 10:52 C:\Arquivos de programas --------- 0
09/07/2009 10:47 C:\boot.ini --------- 223
11/05/2009 16:07 C:\tmp.xml --------- 0
01/05/2009 10:59 C:\Downloaded Installations --------- 0
26/04/2009 16:29 C:\VICTOR PROGRAMAS --------- 0
17/04/2009 20:39 C:\Viagem a Embu das Artes --------- 0
11/04/2009 12:37 C:\_Sid.txt --------- 2366
09/04/2009 16:13 C:\Yuri no coral mar09 --------- 0
15/03/2009 00:14 C:\Documents and Settings --------- 0
15/03/2009 00:00 C:\MSOCache --------- 0
14/03/2009 16:08 C:\RECYCLER --------- 0
14/03/2009 16:03 C:\CSB.LOG --------- 86
14/03/2009 16:02 C:\RHDSetup.log --------- 347
14/03/2009 15:54 C:\System Volume Information --------- 0
14/03/2009 15:50 C:\MSDOS.SYS --------- 0
14/03/2009 15:50 C:\CONFIG.SYS --------- 0
14/03/2009 15:50 C:\AUTOEXEC.BAT --------- 0
14/03/2009 15:50 C:\IO.SYS --------- 0
13/04/2008 11:31 C:\ntldr --------- 251696
13/04/2008 09:43 C:\NTDETECT.COM --------- 47564
07/02/2008 17:10 C:\ckis --------- 0
28/10/2001 09:06 C:\Bootfont.bin --------- 4952
----------------------------------------


C:\WINDOWS

13/07/2009 20:06 C:\WINDOWS\wmsetup.log --------- 41580
13/07/2009 19:57 C:\WINDOWS\NeroDigital.ini --------- 116
13/07/2009 15:13 C:\WINDOWS\0.log --------- 0
13/07/2009 15:13 C:\WINDOWS\WindowsUpdate.log --------- 860172
13/07/2009 15:13 C:\WINDOWS\wiaservc.log --------- 49
13/07/2009 15:13 C:\WINDOWS\wiadebug.log --------- 159
13/07/2009 15:12 C:\WINDOWS\bootstat.dat --------- 2048
12/07/2009 22:28 C:\WINDOWS\SchedLgU.Txt --------- 32272
11/07/2009 12:39 C:\WINDOWS\setupact.log --------- 180498
09/07/2009 10:47 C:\WINDOWS\setupapi.log --------- 468769
09/07/2009 10:47 C:\WINDOWS\win.ini --------- 512
09/07/2009 10:47 C:\WINDOWS\system.ini --------- 227
23/06/2009 20:08 C:\WINDOWS\ntbtlog.txt --------- 161440
09/06/2009 00:20 C:\WINDOWS\IE4 Error Log.txt --------- 1561
28/05/2009 17:27 C:\WINDOWS\ntdtcsetup.log --------- 53023
28/05/2009 17:27 C:\WINDOWS\comsetup.log --------- 87127
28/05/2009 17:27 C:\WINDOWS\imsins.log --------- 4696
28/05/2009 17:27 C:\WINDOWS\tsoc.log --------- 114598
28/05/2009 17:27 C:\WINDOWS\ocmsn.log --------- 14621
28/05/2009 17:27 C:\WINDOWS\tabletoc.log --------- 11515
28/05/2009 17:27 C:\WINDOWS\iis6.log --------- 335468
28/05/2009 17:27 C:\WINDOWS\ocgen.log --------- 136986
28/05/2009 17:27 C:\WINDOWS\MedCtrOC.log --------- 17076
28/05/2009 17:27 C:\WINDOWS\msgsocm.log --------- 12155
28/05/2009 17:27 C:\WINDOWS\FaxSetup.log --------- 225275
28/05/2009 17:27 C:\WINDOWS\netfxocm.log --------- 40685
28/05/2009 17:27 C:\WINDOWS\msmqinst.log --------- 88242
26/04/2009 00:30 C:\WINDOWS\imsins.BAK --------- 1374
26/04/2009 00:30 C:\WINDOWS\Wdf01007Inst.log --------- 4613
25/04/2009 23:01 C:\WINDOWS\DPINST.LOG --------- 29248
16/04/2009 08:26 C:\WINDOWS\FontData.fdb --------- 24040
11/04/2009 12:36 C:\WINDOWS\hpoins04.dat --------- 104670
09/04/2009 12:32 C:\WINDOWS\ODBC.INI --------- 421
28/03/2009 19:23 C:\WINDOWS\Thumbs.db --------- 6144
17/03/2009 03:03 C:\WINDOWS\KB951376-v2.log --------- 18659
17/03/2009 03:03 C:\WINDOWS\KB952954.log --------- 23757
17/03/2009 03:03 C:\WINDOWS\updspapi.log --------- 8968
17/03/2009 03:03 C:\WINDOWS\KB946648.log --------- 18333
17/03/2009 03:03 C:\WINDOWS\KB956803.log --------- 19022
17/03/2009 03:02 C:\WINDOWS\KB955839.log --------- 37402
17/03/2009 03:02 C:\WINDOWS\KB958215.log --------- 19637
17/03/2009 03:02 C:\WINDOWS\KB951978.log --------- 18790
17/03/2009 03:02 C:\WINDOWS\KB950974.log --------- 21257
17/03/2009 03:02 C:\WINDOWS\KB951698.log --------- 20769
17/03/2009 03:02 C:\WINDOWS\KB960225.log --------- 20079
17/03/2009 03:02 C:\WINDOWS\KB956841.log --------- 16494
17/03/2009 03:02 C:\WINDOWS\KB960714.log --------- 15555
17/03/2009 03:01 C:\WINDOWS\KB938464-v2.log --------- 12264
17/03/2009 03:01 C:\WINDOWS\KB950762.log --------- 14866
17/03/2009 03:01 C:\WINDOWS\KB957097.log --------- 14935
17/03/2009 03:01 C:\WINDOWS\KB960715.log --------- 14331
17/03/2009 03:01 C:\WINDOWS\KB958687.log --------- 14857
17/03/2009 03:01 C:\WINDOWS\KB952287.log --------- 14566
17/03/2009 03:01 C:\WINDOWS\KB967715.log --------- 19392
17/03/2009 03:01 C:\WINDOWS\KB950760.log --------- 13908
17/03/2009 03:01 C:\WINDOWS\KB951066.log --------- 14423
17/03/2009 03:01 C:\WINDOWS\KB958690.log --------- 18174
17/03/2009 03:01 C:\WINDOWS\KB954459.log --------- 17992
17/03/2009 03:00 C:\WINDOWS\KB952069.log --------- 14998
17/03/2009 03:00 C:\WINDOWS\KB951748.log --------- 17547
17/03/2009 03:00 C:\WINDOWS\KB954600.log --------- 8585
17/03/2009 03:00 C:\WINDOWS\KB958644.log --------- 8894
17/03/2009 03:00 C:\WINDOWS\KB955069.log --------- 8378
17/03/2009 03:00 C:\WINDOWS\KB956802.log --------- 12309
16/03/2009 02:57 C:\WINDOWS\KB898461.log --------- 8870
15/03/2009 12:19 C:\WINDOWS\WMSysPr9.prx --------- 316640
15/03/2009 01:14 C:\WINDOWS\nsreg.dat --------- 0
14/03/2009 16:00 C:\WINDOWS\KB888111.log --------- 693
14/03/2009 15:55 C:\WINDOWS\OEWABLog.txt --------- 841
14/03/2009 15:54 C:\WINDOWS\REGLOCS.OLD --------- 8192
14/03/2009 15:50 C:\WINDOWS\control.ini --------- 0
14/03/2009 15:50 C:\WINDOWS\ODBCINST.INI --------- 4205
14/03/2009 15:49 C:\WINDOWS\WindowsShell.Manifest --------- 749
14/03/2009 15:47 C:\WINDOWS\sessmgr.setup.log --------- 1022
14/03/2009 15:47 C:\WINDOWS\vbaddin.ini --------- 37
14/03/2009 15:47 C:\WINDOWS\vb.ini --------- 36
14/03/2009 15:46 C:\WINDOWS\DtcInstall.log --------- 130
14/03/2009 15:44 C:\WINDOWS\cmsetacl.log --------- 200
14/03/2009 12:43 C:\WINDOWS\regopt.log --------- 1830
14/03/2009 12:42 C:\WINDOWS\Sti_Trace.log --------- 0
13/04/2008 20:30 C:\WINDOWS\SET3.tmp --------- 1233746
13/04/2008 20:20 C:\WINDOWS\SET4.tmp --------- 1088840
13/04/2008 20:20 C:\WINDOWS\SET8.tmp --------- 16825
13/04/2008 19:21 C:\WINDOWS\winhlp32.exe --------- 287744
13/04/2008 19:21 C:\WINDOWS\regedit.exe --------- 150528
13/04/2008 19:21 C:\WINDOWS\NOTEPAD.EXE --------- 70144
13/04/2008 19:21 C:\WINDOWS\hh.exe --------- 10752
13/04/2008 19:21 C:\WINDOWS\explorer.exe --------- 1035776
13/04/2008 19:20 C:\WINDOWS\twain_32.dll --------- 50688
05/02/2007 21:05 C:\WINDOWS\AviSplitter.INI --------- 38
14/08/2006 14:00 C:\WINDOWS\RTHDCPL.exe --------- 16050176
21/07/2006 16:14 C:\WINDOWS\SoundMan.exe --------- 86016
28/06/2006 14:00 C:\WINDOWS\MicCal.exe --------- 2158592
16/05/2006 18:04 C:\WINDOWS\SkyTel.exe --------- 2879488
04/05/2006 16:35 C:\WINDOWS\RTLCPL.exe --------- 9709568
04/05/2006 16:26 C:\WINDOWS\alcwzrd.exe --------- 2808832
09/03/2006 17:45 C:\WINDOWS\RtlUpd.exe --------- 364544
03/05/2005 18:43 C:\WINDOWS\Alcmtr.exe --------- 69632
16/04/2005 22:20 C:\WINDOWS\RtlExUpd.dll --------- 487424
21/06/2004 14:40 C:\WINDOWS\hpomdl04.dat --------- 17176
28/10/2001 09:07 C:\WINDOWS\_default.pif --------- 707
28/10/2001 09:07 C:\WINDOWS\wmprfPTB.prx --------- 34666
28/10/2001 09:07 C:\WINDOWS\winhelp.exe --------- 304000
28/10/2001 09:07 C:\WINDOWS\winnt.bmp --------- 48680
28/10/2001 09:07 C:\WINDOWS\winnt256.bmp --------- 48680
28/10/2001 09:07 C:\WINDOWS\vmmreg32.dll --------- 18944
28/10/2001 09:07 C:\WINDOWS\twain.dll --------- 94832
28/10/2001 09:07 C:\WINDOWS\twunk_32.exe --------- 25600
28/10/2001 09:07 C:\WINDOWS\twunk_16.exe --------- 49680
28/10/2001 09:07 C:\WINDOWS\TASKMAN.EXE --------- 15360
28/10/2001 09:07 C:\WINDOWS\desktop.ini --------- 2
28/10/2001 09:07 C:\WINDOWS\msdfmap.ini --------- 1405
28/10/2001 09:06 C:\WINDOWS\explorer.scf --------- 80
28/10/2001 09:06 C:\WINDOWS\clock.avi --------- 82944
13/11/1998 12:18 C:\WINDOWS\IsUn0416.exe --------- 308224
29/10/1998 16:45 C:\WINDOWS\IsUninst.exe --------- 306688
----------------------------------------


C:\WINDOWS\System

13/04/2008 19:21 C:\WINDOWS\System\WINSPOOL.DRV --------- 146944
13/04/2008 18:50 C:\WINDOWS\System\MMSYSTEM.DLL --------- 70080
28/10/2001 09:07 C:\WINDOWS\System\WFWNET.DRV --------- 13600
28/10/2001 09:07 C:\WINDOWS\System\VER.DLL --------- 9072
28/10/2001 09:07 C:\WINDOWS\System\VGA.DRV --------- 2176
28/10/2001 09:07 C:\WINDOWS\System\TIMER.DRV --------- 4096
28/10/2001 09:07 C:\WINDOWS\System\TAPI.DLL --------- 19200
28/10/2001 09:07 C:\WINDOWS\System\SYSTEM.DRV --------- 3360
28/10/2001 09:07 C:\WINDOWS\System\stdole.tlb --------- 5532
28/10/2001 09:07 C:\WINDOWS\System\SOUND.DRV --------- 1744
28/10/2001 09:07 C:\WINDOWS\System\setup.inf --------- 59167
28/10/2001 09:07 C:\WINDOWS\System\SHELL.DLL --------- 5120
28/10/2001 09:07 C:\WINDOWS\System\OLESVR.DLL --------- 24064
28/10/2001 09:07 C:\WINDOWS\System\OLECLI.DLL --------- 83456
28/10/2001 09:07 C:\WINDOWS\System\MSVIDEO.DLL --------- 127120
28/10/2001 09:07 C:\WINDOWS\System\MOUSE.DRV --------- 2032
28/10/2001 09:07 C:\WINDOWS\System\MMTASK.TSK --------- 1152
28/10/2001 09:06 C:\WINDOWS\System\MCIAVI.DRV --------- 73632
28/10/2001 09:06 C:\WINDOWS\System\MCIWAVE.DRV --------- 28160
28/10/2001 09:06 C:\WINDOWS\System\MCISEQ.DRV --------- 25296
28/10/2001 09:06 C:\WINDOWS\System\LZEXPAND.DLL --------- 9936
28/10/2001 09:06 C:\WINDOWS\System\KEYBOARD.DRV --------- 2000
28/10/2001 09:06 C:\WINDOWS\System\COMMDLG.DLL --------- 33504
28/10/2001 09:06 C:\WINDOWS\System\AVICAP.DLL --------- 70144
28/10/2001 09:06 C:\WINDOWS\System\AVIFILE.DLL --------- 109536
----------------------------------------


C:\WINDOWS\System32

13/07/2009 15:13 C:\WINDOWS\system32\CatRoot2 --------- 0
13/07/2009 15:12 C:\WINDOWS\system32\nvapps.xml --------- 81191
13/07/2009 09:46 C:\WINDOWS\system32\wpa.dbl --------- 2206
11/07/2009 13:22 C:\WINDOWS\system32\dllcache --------- 0
28/05/2009 20:48 C:\WINDOWS\system32\Thumbs.db --------- 5120
28/05/2009 17:27 C:\WINDOWS\system32\perfc016.dat --------- 48846
28/05/2009 17:27 C:\WINDOWS\system32\perfh016.dat --------- 344734
28/05/2009 17:27 C:\WINDOWS\system32\perfc009.dat --------- 40128
28/05/2009 17:27 C:\WINDOWS\system32\perfh009.dat --------- 311740
28/05/2009 17:27 C:\WINDOWS\system32\PerfStringBackup.INI --------- 750646
25/05/2009 19:51 C:\WINDOWS\system32\drivers --------- 0
25/05/2009 19:51 C:\WINDOWS\system32\DRVSTORE --------- 0
22/03/2009 09:52 C:\WINDOWS\system32\Macromed --------- 0
17/03/2009 03:29 C:\WINDOWS\system32\FNTCACHE.DAT --------- 186608
17/03/2009 03:02 C:\WINDOWS\system32\TZLog.log --------- 212174
16/03/2009 02:57 C:\WINDOWS\system32\PreInstall --------- 0
15/03/2009 15:56 C:\WINDOWS\system32\SoftwareDistribution --------- 0
15/03/2009 09:45 C:\WINDOWS\system32\IOSUBSYS --------- 0
15/03/2009 01:06 C:\WINDOWS\system32\javaw.exe --------- 144792
15/03/2009 01:06 C:\WINDOWS\system32\javaws.exe --------- 148888
15/03/2009 01:06 C:\WINDOWS\system32\javacpl.cpl --------- 73728
15/03/2009 01:06 C:\WINDOWS\system32\java.exe --------- 144792
15/03/2009 01:06 C:\WINDOWS\system32\deploytk.dll --------- 410984
15/03/2009 00:36 C:\WINDOWS\system32\jupdate-1.5.0_04-b05.log --------- 3684
15/03/2009 00:25 C:\WINDOWS\system32\Adobe --------- 0
15/03/2009 00:06 C:\WINDOWS\system32\config --------- 0
14/03/2009 22:37 C:\WINDOWS\system32\LogFiles --------- 0
14/03/2009 16:04 C:\WINDOWS\system32\BuzzingBee.wav --------- 146650
14/03/2009 16:04 C:\WINDOWS\system32\LoopyMusic.wav --------- 940794
14/03/2009 16:04 C:\WINDOWS\system32\Lang --------- 0
14/03/2009 16:01 C:\WINDOWS\system32\RTCOM --------- 0
14/03/2009 16:00 C:\WINDOWS\system32\ReinstallBackups --------- 0
14/03/2009 15:54 C:\WINDOWS\system32\Restore --------- 0
14/03/2009 15:54 C:\WINDOWS\system32\Microsoft --------- 0
14/03/2009 15:53 C:\WINDOWS\system32\$winnt$.inf --------- 261
14/03/2009 15:51 C:\WINDOWS\system32\wbem --------- 0
14/03/2009 15:51 C:\WINDOWS\system32\xircom --------- 0
14/03/2009 15:50 C:\WINDOWS\system32\CONFIG.NT --------- 2969
14/03/2009 15:50 C:\WINDOWS\system32\amcompat.tlb --------- 16832
14/03/2009 15:50 C:\WINDOWS\system32\nscompat.tlb --------- 23392
14/03/2009 15:49 C:\WINDOWS\system32\logonui.exe.manifest --------- 488
14/03/2009 15:49 C:\WINDOWS\system32\WindowsLogon.manifest --------- 488
14/03/2009 15:49 C:\WINDOWS\system32\wuaucpl.cpl.manifest --------- 749
14/03/2009 15:49 C:\WINDOWS\system32\ncpa.cpl.manifest --------- 749
14/03/2009 15:49 C:\WINDOWS\system32\sapi.cpl.manifest --------- 749
14/03/2009 15:49 C:\WINDOWS\system32\nwc.cpl.manifest --------- 749
14/03/2009 15:49 C:\WINDOWS\system32\cdplayer.exe.manifest --------- 749
14/03/2009 15:49 C:\WINDOWS\system32\DirectX --------- 0
14/03/2009 15:48 C:\WINDOWS\system32\oobe --------- 0
14/03/2009 15:47 C:\WINDOWS\system32\Com --------- 0
14/03/2009 15:47 C:\WINDOWS\system32\emptyregdb.dat --------- 21844
14/03/2009 15:46 C:\WINDOWS\system32\MsDtc --------- 0
14/03/2009 15:46 C:\WINDOWS\system32\pt-BR --------- 0
14/03/2009 15:44 C:\WINDOWS\system32\spool --------- 0
14/03/2009 12:44 C:\WINDOWS\system32\h323log.txt --------- 0
14/03/2009 12:43 C:\WINDOWS\system32\pid.PNF --------- 4444
14/03/2009 12:39 C:\WINDOWS\system32\CatRoot --------- 0
14/03/2009 12:38 C:\WINDOWS\system32\Setup --------- 0
14/03/2009 12:37 C:\WINDOWS\system32\usmt --------- 0
14/03/2009 12:37 C:\WINDOWS\system32\1046 --------- 0
14/03/2009 12:37 C:\WINDOWS\system32\npp --------- 0
14/03/2009 12:35 C:\WINDOWS\system32\ras --------- 0
14/03/2009 12:35 C:\WINDOWS\system32\icsxml --------- 0
14/03/2009 12:34 C:\WINDOWS\system32\ias --------- 0
14/03/2009 12:34 C:\WINDOWS\system32\1033 --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\1031 --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\1025 --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\2052 --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\1037 --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\inetsrv --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\IME --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\1041 --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\3com_dmi --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\1042 --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\1054 --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\1028 --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\3076 --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\ShellExt --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\mui --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\dhcp --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\export --------- 0
14/03/2009 12:33 C:\WINDOWS\system32\wins --------- 0
09/02/2009 11:06 C:\WINDOWS\system32\win32k.sys --------- 1846912
06/02/2009 18:52 C:\WINDOWS\system32\sirenacm.dll --------- 49504
05/01/2009 19:33 C:\WINDOWS\system32\GPhotos.scr --------- 3751995
05/01/2009 16:18 C:\WINDOWS\system32\QuickTime.qts --------- 57344
05/01/2009 16:18 C:\WINDOWS\system32\QuickTimeVR.qtx --------- 90112
12/12/2008 14:02 C:\WINDOWS\system32\mshtml.dll --------- 3088896
12/12/2008 11:18 C:\WINDOWS\system32\dns-sd.exe --------- 87336
12/12/2008 11:11 C:\WINDOWS\system32\dnssd.dll --------- 61440
05/12/2008 03:58 C:\WINDOWS\system32\schannel.dll --------- 144896
07/11/2008 16:45 C:\WINDOWS\system32\WMVCore.dll --------- 2174976
23/10/2008 09:37 C:\WINDOWS\system32\gdi32.dll --------- 286720
23/10/2008 07:06 C:\WINDOWS\system32\tzchange.exe --------- 62976
16/10/2008 14:13 C:\WINDOWS\system32\wuaueng.dll --------- 1809944
16/10/2008 14:13 C:\WINDOWS\system32\wuweb.dll --------- 202776
16/10/2008 14:12 C:\WINDOWS\system32\wucltui.dll --------- 323608
16/10/2008 14:12 C:\WINDOWS\system32\wuaucpl.cpl --------- 213528
16/10/2008 14:12 C:\WINDOWS\system32\wuapi.dll --------- 561688
16/10/2008 14:09 C:\WINDOWS\system32\wups2.dll --------- 43544
----------------------------------------


C:\WINDOWS\Prefetch

13/07/2009 20:32 C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf --------- 39166
13/07/2009 20:19 C:\WINDOWS\Prefetch\WMPLAYER.EXE-0366FBE9.pf --------- 74778
13/07/2009 20:17 C:\WINDOWS\Prefetch\JQSNOTIFY.EXE-39AFFB8A.pf --------- 9342
13/07/2009 20:17 C:\WINDOWS\Prefetch\FIREFOX.EXE-1362643C.pf --------- 90894
13/07/2009 20:07 C:\WINDOWS\Prefetch\WLCOMM.EXE-0889FC35.pf --------- 32684
13/07/2009 20:07 C:\WINDOWS\Prefetch\MSNMSGR.EXE-304664B4.pf --------- 73222
13/07/2009 20:06 C:\WINDOWS\Prefetch\SETUP_WM.EXE-2685B83B.pf --------- 35082
13/07/2009 19:57 C:\WINDOWS\Prefetch\BSPLAYER.EXE-16CA5C4E.pf --------- 101204
13/07/2009 19:54 C:\WINDOWS\Prefetch\WINWORD.EXE-1A5B37AB.pf --------- 88020
13/07/2009 19:53 C:\WINDOWS\Prefetch\AVP.EXE-00ABA569.pf --------- 63102
13/07/2009 19:47 C:\WINDOWS\Prefetch\GOOGLEUPDATE.EXE-222DEF3E.pf --------- 31786
13/07/2009 19:31 C:\WINDOWS\Prefetch\PICASAUPDATER.EXE-01309C37.pf --------- 28680
13/07/2009 19:31 C:\WINDOWS\Prefetch\PICASAPHOTOVIEWER.EXE-17C65278.pf --------- 64956
13/07/2009 18:18 C:\WINDOWS\Prefetch\SOFTWAREUPDATE.EXE-10B35704.pf --------- 53230
13/07/2009 18:18 C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf --------- 60256
13/07/2009 18:18 C:\WINDOWS\Prefetch\DLLHOST.EXE-205D880D.pf --------- 20874
13/07/2009 18:12 C:\WINDOWS\Prefetch\SYSTRAY.EXE-345DCC1C.pf --------- 11084
13/07/2009 18:12 C:\WINDOWS\Prefetch\RUNDLL32.EXE-24DBE541.pf --------- 24058
13/07/2009 18:11 C:\WINDOWS\Prefetch\WMPLAYER.EXE-0366FBE4.pf --------- 72888
13/07/2009 17:24 C:\WINDOWS\Prefetch\CALC.EXE-02CD573A.pf --------- 14278
13/07/2009 17:22 C:\WINDOWS\Prefetch\IEXPLORE.EXE-2B53DE18.pf --------- 105006
13/07/2009 17:19 C:\WINDOWS\Prefetch\FIREWORKS.EXE-14481EE8.pf --------- 56914
13/07/2009 16:34 C:\WINDOWS\Prefetch\DREAMWEAVER.EXE-1099D998.pf --------- 61404
13/07/2009 16:07 C:\WINDOWS\Prefetch\ADOBEUPDATER.EXE-19E95BBA.pf --------- 36992
13/07/2009 15:51 C:\WINDOWS\Prefetch\CHROME.EXE-089F79EE.pf --------- 137566
13/07/2009 15:31 C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf --------- 18220
13/07/2009 15:27 C:\WINDOWS\Prefetch\FNPLICENSINGSERVICE.EXE-050C641D.pf --------- 67626
13/07/2009 15:25 C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf --------- 16708
13/07/2009 15:21 C:\WINDOWS\Prefetch\MSIEXEC.EXE-2F8A8CAE.pf --------- 95708
13/07/2009 15:19 C:\WINDOWS\Prefetch\DWWIN.EXE-30875ADC.pf --------- 50534
13/07/2009 15:19 C:\WINDOWS\Prefetch\DUMPREP.EXE-1B46F901.pf --------- 95176
13/07/2009 15:17 C:\WINDOWS\Prefetch\WMIADAP.EXE-2DF425B2.pf --------- 17736
13/07/2009 15:16 C:\WINDOWS\Prefetch\SETUP.EXE-01F33693.pf --------- 65870
13/07/2009 15:16 C:\WINDOWS\Prefetch\SETUP.EXE-35184972.pf --------- 51874
13/07/2009 15:14 C:\WINDOWS\Prefetch\ADOBE.DREAMWEAVER.CS3.EXE-35E69A0B.pf --------- 55756
13/07/2009 15:14 C:\WINDOWS\Prefetch\ACRORD32INFO.EXE-278F5F5E.pf --------- 57444
13/07/2009 15:14 C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf --------- 23682
13/07/2009 15:14 C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf --------- 55052
13/07/2009 15:14 C:\WINDOWS\Prefetch\ALG.EXE-0F138680.pf --------- 17586
13/07/2009 15:14 C:\WINDOWS\Prefetch\WMIAPSRV.EXE-1E2270A5.pf --------- 23884
13/07/2009 15:14 C:\WINDOWS\Prefetch\IMAPI.EXE-0BF740A4.pf --------- 21538
13/07/2009 15:14 C:\WINDOWS\Prefetch\RUNDLL32.EXE-35A483DA.pf --------- 19736
13/07/2009 11:42 C:\WINDOWS\Prefetch\HELPSVC.EXE-2878DDA2.pf --------- 275594
13/07/2009 10:44 C:\WINDOWS\Prefetch\Layout.ini --------- 377414
13/07/2009 10:39 C:\WINDOWS\Prefetch\LOGON.SCR-151EFAEA.pf --------- 8536
12/07/2009 21:47 C:\WINDOWS\Prefetch\GOOGLECRASHHANDLER.EXE-08F5282E.pf --------- 16320
12/07/2009 10:55 C:\WINDOWS\Prefetch\ADOBE_UPDATER.EXE-244C22BF.pf --------- 40294
11/07/2009 16:35 C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf --------- 14938
11/07/2009 14:05 C:\WINDOWS\Prefetch\DFRGNTFS.EXE-269967DF.pf --------- 80886
11/07/2009 14:05 C:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf --------- 18980
11/07/2009 12:39 C:\WINDOWS\Prefetch\CLEANMGR.EXE-1F86EA8E.pf --------- 64472
11/07/2009 11:50 C:\WINDOWS\Prefetch\GMAPMAKER.EXE-03D58193.pf --------- 1836
11/07/2009 11:49 C:\WINDOWS\Prefetch\FTPTE.EXE-34ADFAC2.pf --------- 39330
11/07/2009 11:49 C:\WINDOWS\Prefetch\CUTEFTPPRO.EXE-2CC7817C.pf --------- 54638
09/07/2009 21:47 C:\WINDOWS\Prefetch\CHROME_UPDATER.EXE-3ADA6B03.pf --------- 17322
09/07/2009 21:47 C:\WINDOWS\Prefetch\SETUP.EXE-2E75CF21.pf --------- 57554
09/07/2009 21:47 C:\WINDOWS\Prefetch\EXPAND.EXE-2490DB85.pf --------- 12336
09/07/2009 21:42 C:\WINDOWS\Prefetch\GOOGLEUPDATESETUP.EXE-11185EF3.pf --------- 12086
09/07/2009 21:42 C:\WINDOWS\Prefetch\GOOGLEUPDATE.EXE-25DD97B4.pf --------- 52008
09/07/2009 21:28 C:\WINDOWS\Prefetch\CTFMON.EXE-0E17969B.pf --------- 14996
09/07/2009 21:13 C:\WINDOWS\Prefetch\TASKLIST.EXE-10D94B23.pf --------- 19688
09/07/2009 21:13 C:\WINDOWS\Prefetch\WINRAR.EXE-09D6614C.pf --------- 65630
09/07/2009 10:59 C:\WINDOWS\Prefetch\HIJACKTHIS.EXE-288D169B.pf --------- 22736
09/07/2009 10:52 C:\WINDOWS\Prefetch\HJTINSTALL.EXE-315A0623.pf --------- 16362
09/07/2009 10:47 C:\WINDOWS\Prefetch\RUNDLL32.EXE-3FF8F0DE.pf --------- 16706
23/06/2009 08:27 C:\WINDOWS\Prefetch\RUNDLL32.EXE-19D91996.pf --------- 13954
22/06/2009 13:36 C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf --------- 45830
22/06/2009 13:36 C:\WINDOWS\Prefetch\NCLINSTALLER.EXE-396843E9.pf --------- 12010
22/06/2009 13:35 C:\WINDOWS\Prefetch\MSCONFIG.EXE-35E4DAE9.pf --------- 29952
22/06/2009 13:34 C:\WINDOWS\Prefetch\RUNDLL32.EXE-13044B30.pf --------- 14502
22/06/2009 13:34 C:\WINDOWS\Prefetch\SERVICELAYER.EXE-3B17A51B.pf --------- 13934
22/06/2009 13:34 C:\WINDOWS\Prefetch\IPODSERVICE.EXE-3ADF8F7D.pf --------- 15840
22/06/2009 13:34 C:\WINDOWS\Prefetch\HPZIPM12.EXE-145E7369.pf --------- 10832
22/06/2009 13:30 C:\WINDOWS\Prefetch\RUNDLL32.EXE-13619E8C.pf --------- 14502
22/06/2009 12:45 C:\WINDOWS\Prefetch\POWERPNT.EXE-0717A094.pf --------- 121302
22/06/2009 12:27 C:\WINDOWS\Prefetch\RUNDLL32.EXE-12E27DD0.pf --------- 19804
22/06/2009 10:38 C:\WINDOWS\Prefetch\HPTSKMGR.EXE-195BBCEF.pf --------- 28210
22/06/2009 10:38 C:\WINDOWS\Prefetch\HPOSM.EXE-13026CE2.pf --------- 20242
21/06/2009 23:31 C:\WINDOWS\Prefetch\WMPLAYER.EXE-0366FBE3.pf --------- 76818
21/06/2009 20:40 C:\WINDOWS\Prefetch\RUNDLL32.EXE-31610E45.pf --------- 15256
21/06/2009 19:51 C:\WINDOWS\Prefetch\PICASA3.EXE-33778019.pf --------- 83818
21/06/2009 16:32 C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf --------- 19610
21/06/2009 16:32 C:\WINDOWS\Prefetch\MOVIETHUMB.EXE-27E04EE4.pf --------- 94008
20/06/2009 10:45 C:\WINDOWS\Prefetch\JAVA.EXE-348EE6DF.pf --------- 65470
18/06/2009 16:12 C:\WINDOWS\Prefetch\ACRORD32.EXE-34A08EDB.pf --------- 57196
18/06/2009 15:37 C:\WINDOWS\Prefetch\RUNDLL32.EXE-149FA1CE.pf --------- 26220
18/06/2009 15:24 C:\WINDOWS\Prefetch\NERO.EXE-06482A47.pf --------- 54446
18/06/2009 15:24 C:\WINDOWS\Prefetch\NEROSTARTSMART.EXE-35EC4C61.pf --------- 61538
17/06/2009 21:22 C:\WINDOWS\Prefetch\_RIVA FLV PLAYER.EXE-000DE5AB.pf --------- 46580
17/06/2009 21:22 C:\WINDOWS\Prefetch\RIVA FLV PLAYER.EXE-1702CFFF.pf --------- 40128
17/06/2009 02:42 C:\WINDOWS\Prefetch\WISPTIS.EXE-0C21B942.pf --------- 18378
16/06/2009 22:22 C:\WINDOWS\Prefetch\WMPLAYER.EXE-0366FBE6.pf --------- 59032
16/06/2009 18:51 C:\WINDOWS\Prefetch\RUNDLL32.EXE-2A94BB85.pf --------- 17036
16/06/2009 18:51 C:\WINDOWS\Prefetch\RUNDLL32.EXE-2576181F.pf --------- 26934
15/06/2009 23:33 C:\WINDOWS\Prefetch\WIAACMGR.EXE-212ED878.pf --------- 28806
15/06/2009 22:53 C:\WINDOWS\Prefetch\WMPLAYER.EXE-0366FBE7.pf --------- 76666
15/06/2009 11:40 C:\WINDOWS\Prefetch\WLLOGINPROXY.EXE-29B1D69D.pf --------- 43654
14/06/2009 13:06 C:\WINDOWS\Prefetch\EMULE.EXE-03B5F510.pf --------- 62830
14/06/2009 13:05 C:\WINDOWS\Prefetch\DVD SHRINK 3.2.EXE-15C7A414.pf --------- 40608
13/06/2009 21:19 C:\WINDOWS\Prefetch\HELPER.EXE-3A31BCA1.pf --------- 24608
13/06/2009 21:19 C:\WINDOWS\Prefetch\UPDATER.EXE-058B0182.pf --------- 67224
13/06/2009 12:16 C:\WINDOWS\Prefetch\RUNDLL32.EXE-268BFF96.pf --------- 14938
13/06/2009 00:56 C:\WINDOWS\Prefetch\RUNDLL32.EXE-1D8D0669.pf --------- 16376
11/06/2009 15:11 C:\WINDOWS\Prefetch\CHROME_UPDATER.EXE-0164519C.pf --------- 16770
11/06/2009 15:11 C:\WINDOWS\Prefetch\SETUP.EXE-050D9890.pf --------- 57282
11/06/2009 11:15 C:\WINDOWS\Prefetch\WORDCONV.EXE-21F3A16E.pf --------- 31794
11/06/2009 05:57 C:\WINDOWS\Prefetch\HPDARC.EXE-273A136C.pf --------- 19454
09/06/2009 19:09 C:\WINDOWS\Prefetch\RUNDLL32.EXE-4187CE78.pf --------- 16376
09/06/2009 06:48 C:\WINDOWS\Prefetch\UTORRENT.EXE-2E4F315D.pf --------- 37794
09/06/2009 03:27 C:\WINDOWS\Prefetch\HELPCTR.EXE-3862B6F5.pf --------- 61064
09/06/2009 03:27 C:\WINDOWS\Prefetch\MSINFO32.EXE-12E04CEA.pf --------- 20282
09/06/2009 00:19 C:\WINDOWS\Prefetch\IEDW.EXE-1F8B34A1.pf --------- 45532
07/06/2009 19:07 C:\WINDOWS\Prefetch\RUNDLL32.EXE-37DB5E78.pf --------- 14502
07/06/2009 19:04 C:\WINDOWS\Prefetch\RUNDLL32.EXE-354CAFE9.pf --------- 55100
06/06/2009 02:35 C:\WINDOWS\Prefetch\QTTASK.EXE-2B3D6136.pf --------- 8758
05/06/2009 13:52 C:\WINDOWS\Prefetch\ITUNES.EXE-15C9F55B.pf --------- 97320
05/06/2009 13:41 C:\WINDOWS\Prefetch\RUNDLL32.EXE-1C975262.pf --------- 16376
05/06/2009 13:41 C:\WINDOWS\Prefetch\MSPVIEW.EXE-253EA186.pf --------- 56288
14/03/2009 19:28 C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf --------- 465088
----------------------------------------


C:\WINDOWS\Tasks

13/07/2009 19:47 C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1801674531-287218729-2147098553-1003UA.job --------- 1152
13/07/2009 18:18 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job --------- 300
13/07/2009 15:12 C:\WINDOWS\Tasks\SA.DAT --------- 6
12/07/2009 21:47 C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1801674531-287218729-2147098553-1003Core.job --------- 1100
28/10/2001 09:07 C:\WINDOWS\Tasks\desktop.ini --------- 65
----------------------------------------


C:\WINDOWS\Temp

13/07/2009 20:32 C:\WINDOWS\Temp\cch~1001f6e2b6.htp --------- 8192
13/07/2009 20:32 C:\WINDOWS\Temp\cch~1001f6e755.htp --------- 8192
13/07/2009 20:28 C:\WINDOWS\Temp\cch~fcd48e7f8.htp --------- 8192
13/07/2009 20:28 C:\WINDOWS\Temp\cch~fcd48e28f.htp --------- 8192
13/07/2009 20:15 C:\WINDOWS\Temp\PR14D.tmp --------- 30900224
13/07/2009 20:07 C:\WINDOWS\Temp\cch~ec1a958a7.htp --------- 8192
13/07/2009 20:07 C:\WINDOWS\Temp\cch~ec1a953d5.htp --------- 8192
13/07/2009 15:13 C:\WINDOWS\Temp\Perflib_Perfdata_1f0.dat --------- 16384
13/07/2009 09:47 C:\WINDOWS\Temp\Perflib_Perfdata_5f0.dat --------- 16384
11/07/2009 12:10 C:\WINDOWS\Temp\Perflib_Perfdata_c0.dat --------- 16384
11/07/2009 11:57 C:\WINDOWS\Temp\Perflib_Perfdata_3f8.dat --------- 16384
11/07/2009 11:52 C:\WINDOWS\Temp\cch~ea47d2d7.htp --------- 8192
11/07/2009 11:52 C:\WINDOWS\Temp\cch~ea47c54a.htp --------- 8192
11/07/2009 11:52 C:\WINDOWS\Temp\cch~e9531c31.htp --------- 8192
11/07/2009 11:52 C:\WINDOWS\Temp\cch~e95317e1.htp --------- 8192
11/07/2009 11:51 C:\WINDOWS\Temp\cch~d6c7fa14.htp --------- 8192
11/07/2009 11:51 C:\WINDOWS\Temp\cch~d6c7fee6.htp --------- 8192
11/07/2009 11:51 C:\WINDOWS\Temp\cch~d6c7c507.htp --------- 8192
11/07/2009 11:51 C:\WINDOWS\Temp\cch~d6c7bdca.htp --------- 8192
11/07/2009 11:51 C:\WINDOWS\Temp\cch~d6c7803c.htp --------- 8192
11/07/2009 11:51 C:\WINDOWS\Temp\cch~d6c75751.htp --------- 8192
11/07/2009 11:51 C:\WINDOWS\Temp\cch~d6c6ab79.htp --------- 8192
11/07/2009 11:51 C:\WINDOWS\Temp\cch~d6c6a6cf.htp --------- 8192
11/07/2009 11:51 C:\WINDOWS\Temp\cch~d62214a5.htp --------- 8192
11/07/2009 11:51 C:\WINDOWS\Temp\cch~d621e8e8.htp --------- 8192
11/07/2009 11:51 C:\WINDOWS\Temp\cch~d61fbfd0.htp --------- 8192
11/07/2009 11:51 C:\WINDOWS\Temp\cch~d61fc558.htp --------- 8192
23/06/2009 20:06 C:\WINDOWS\Temp\cch~10304768.htp --------- 8192
23/06/2009 20:06 C:\WINDOWS\Temp\cch~10304de4.htp --------- 8192
23/06/2009 20:05 C:\WINDOWS\Temp\Perflib_Perfdata_380.dat --------- 16384
22/06/2009 13:31 C:\WINDOWS\Temp\cch~98cb2eee4c.htp --------- 8192
22/06/2009 13:31 C:\WINDOWS\Temp\cch~98cb2ef2ae.htp --------- 8192
22/06/2009 13:26 C:\WINDOWS\Temp\cch~988b2af9ed.htp --------- 8192
22/06/2009 13:26 C:\WINDOWS\Temp\cch~988b2af498.htp --------- 8192
20/06/2009 10:37 C:\WINDOWS\Temp\Perflib_Perfdata_494.dat --------- 16384
25/05/2009 19:49 C:\WINDOWS\Temp\SetupAdminD30.log --------- 85
15/05/2009 10:13 C:\WINDOWS\Temp\Perflib_Perfdata_240.dat --------- 16384
11/05/2009 11:12 C:\WINDOWS\Temp\Perflib_Perfdata_3e8.dat --------- 16384
08/05/2009 10:47 C:\WINDOWS\Temp\cch~31a86b035e.htp --------- 8192
08/05/2009 10:47 C:\WINDOWS\Temp\cch~31a86b1814.htp --------- 8192
08/05/2009 10:44 C:\WINDOWS\Temp\cch~317758a4d2.htp --------- 8192
08/05/2009 10:44 C:\WINDOWS\Temp\cch~317758a949.htp --------- 8192
08/05/2009 10:44 C:\WINDOWS\Temp\cch~31774f3919.htp --------- 8192
08/05/2009 10:44 C:\WINDOWS\Temp\cch~31774f34bc.htp --------- 8192
08/05/2009 10:43 C:\WINDOWS\Temp\cch~317529e53c.htp --------- 8192
08/05/2009 10:43 C:\WINDOWS\Temp\cch~317529ea8a.htp --------- 8192
08/05/2009 10:43 C:\WINDOWS\Temp\cch~316e12e3cd.htp --------- 8192
08/05/2009 10:43 C:\WINDOWS\Temp\cch~316e12ea09.htp --------- 8192
07/05/2009 18:15 C:\WINDOWS\Temp\Perflib_Perfdata_3dc.dat --------- 16384
07/05/2009 14:35 C:\WINDOWS\Temp\cch~81d84ae34.htp --------- 8192
07/05/2009 14:35 C:\WINDOWS\Temp\cch~81d84c04a.htp --------- 8192
07/05/2009 11:53 C:\WINDOWS\Temp\Perflib_Perfdata_3f4.dat --------- 16384
27/04/2009 11:27 C:\WINDOWS\Temp\Perflib_Perfdata_3c0.dat --------- 16384
11/04/2009 19:02 C:\WINDOWS\Temp\~hpiscn0002.tif --------- 0
11/04/2009 18:56 C:\WINDOWS\Temp\~hpiscn0001.tif --------- 0
11/04/2009 12:34 C:\WINDOWS\Temp\hpzcoi07.log --------- 678
11/04/2009 12:34 C:\WINDOWS\Temp\hpzcoi06.log --------- 744
11/04/2009 12:34 C:\WINDOWS\Temp\hpzcoi05.log --------- 596
11/04/2009 12:34 C:\WINDOWS\Temp\hpzcoi04.log --------- 596
11/04/2009 12:34 C:\WINDOWS\Temp\servic003.log --------- 204
11/04/2009 12:34 C:\WINDOWS\Temp\servic002.log --------- 204
11/04/2009 12:28 C:\WINDOWS\Temp\~hpiscn0000.tif --------- 0
11/04/2009 12:19 C:\WINDOWS\Temp\hpzcoi03.log --------- 678
11/04/2009 12:19 C:\WINDOWS\Temp\hpzcoi02.log --------- 925
11/04/2009 12:19 C:\WINDOWS\Temp\hpzcoi01.log --------- 596
11/04/2009 12:19 C:\WINDOWS\Temp\hpzcoi00.log --------- 596
11/04/2009 12:19 C:\WINDOWS\Temp\servic001.log --------- 204
11/04/2009 12:18 C:\WINDOWS\Temp\servic000.log --------- 204
11/04/2009 12:17 C:\WINDOWS\Temp\CIO_NDCS.log --------- 480
02/04/2009 16:12 C:\WINDOWS\Temp\Perflib_Perfdata_2e4.dat --------- 16384
23/03/2009 18:18 C:\WINDOWS\Temp\Cookies --------- 0
23/03/2009 18:18 C:\WINDOWS\Temp\Hist¢rico --------- 0
23/03/2009 18:18 C:\WINDOWS\Temp\Temporary Internet Files --------- 0
17/03/2009 07:55 C:\WINDOWS\Temp\cch~d4dbaeacc.htp --------- 8192
17/03/2009 07:55 C:\WINDOWS\Temp\cch~d4dbaf052.htp --------- 8192
17/03/2009 03:30 C:\WINDOWS\Temp\Perflib_Perfdata_274.dat --------- 16384
----------------------------------------


C:\DOCUME~1\Detinha\CONFIG~1\Temp

13/07/2009 20:30 C:\DOCUME~1\Detinha\CONFIG~1\Temp\MessengerCache --------- 0
13/07/2009 20:06 C:\DOCUME~1\Detinha\CONFIG~1\Temp\control.xml --------- 12818
13/07/2009 20:04 C:\DOCUME~1\Detinha\CONFIG~1\Temp\plugtmp-1 --------- 0
13/07/2009 20:03 C:\DOCUME~1\Detinha\CONFIG~1\Temp\etilqs_8sZTZUuQtCdEWAnfSNXU --------- 24600
13/07/2009 17:57 C:\DOCUME~1\Detinha\CONFIG~1\Temp\amt.log --------- 10430
13/07/2009 17:57 C:\DOCUME~1\Detinha\CONFIG~1\Temp\alm.log --------- 4942
13/07/2009 16:15 C:\DOCUME~1\Detinha\CONFIG~1\Temp\Twain001.Mtx --------- 2
13/07/2009 16:07 C:\DOCUME~1\Detinha\CONFIG~1\Temp\TWAIN.LOG --------- 0
13/07/2009 15:51 C:\DOCUME~1\Detinha\CONFIG~1\Temp\chrome_shutdown_ms.txt --------- 4
13/07/2009 15:16 C:\DOCUME~1\Detinha\CONFIG~1\Temp\{E469E805-E012-4A29-A536-99AE33FE0C6D}estk_ribs_bgd.png --------- 93314
13/07/2009 15:16 C:\DOCUME~1\Detinha\CONFIG~1\Temp\{BCD30B43-9083-4441-9284-E528A1285042}Setup.ico --------- 45630
13/07/2009 15:16 C:\DOCUME~1\Detinha\CONFIG~1\Temp\{BCD30B43-9083-4441-9284-E528A1285042}background.png --------- 20376
13/07/2009 15:16 C:\DOCUME~1\Detinha\CONFIG~1\Temp\{762E17C8-C547-4B10-B053-F329F39A0D80}bridge.ico --------- 42014
13/07/2009 15:16 C:\DOCUME~1\Detinha\CONFIG~1\Temp\{045CFB2B-65A3-49C9-BABC-E4452254C7AF}Titan.ico --------- 41561
13/07/2009 15:16 C:\DOCUME~1\Detinha\CONFIG~1\Temp\{045CFB2B-65A3-49C9-BABC-E4452254C7AF}background.png --------- 74256
13/07/2009 15:15 C:\DOCUME~1\Detinha\CONFIG~1\Temp\_PASFX660 --------- 0
12/07/2009 20:55 C:\DOCUME~1\Detinha\CONFIG~1\Temp\plugtmp --------- 0
11/07/2009 11:49 C:\DOCUME~1\Detinha\CONFIG~1\Temp\gs_tmp0221_CuteFTP Pro_BuyNow_.gif --------- 2434
11/07/2009 11:49 C:\DOCUME~1\Detinha\CONFIG~1\Temp\gs_tmp0220_CuteFTP Pro_.gif --------- 40032
11/07/2009 11:49 C:\DOCUME~1\Detinha\CONFIG~1\Temp\gs_tmp0223_CuteFTP Professional_.html --------- 2009
11/07/2009 11:49 C:\DOCUME~1\Detinha\CONFIG~1\Temp\cisteDX_fm_100 --------- 65536
11/07/2009 11:40 C:\DOCUME~1\Detinha\CONFIG~1\Temp\etilqs_Gr3SLQOvgWcRcC4eQhyk --------- 12304
09/07/2009 21:47 C:\DOCUME~1\Detinha\CONFIG~1\Temp\chrome_installer.log --------- 0
11/07/2009 13:22 C:\DOCUME~1\Detinha\CONFIG~1\Temp\Cookies --------- 0
02/07/2009 17:08 C:\DOCUME~1\Detinha\CONFIG~1\Temp\Hist¢rico --------- 0
02/07/2009 17:08 C:\DOCUME~1\Detinha\CONFIG~1\Temp\Temporary Internet Files --------- 0
22/06/2009 13:36 C:\DOCUME~1\Detinha\CONFIG~1\Temp\hpodvd09.log --------- 288709
22/06/2009 13:03 C:\DOCUME~1\Detinha\CONFIG~1\Temp\etilqs_x5kfE3g23LvjiKJBxbep --------- 28700
08/05/2009 10:40 C:\DOCUME~1\Detinha\CONFIG~1\Temp\etilqs_Il0CuINrR0brdhsZc6QH --------- 12304
07/05/2009 14:25 C:\DOCUME~1\Detinha\CONFIG~1\Temp\etilqs_Tm8ziSiSpwFZLERVZNWr --------- 12304
23/04/2009 16:17 C:\DOCUME~1\Detinha\CONFIG~1\Temp\PicasaRestore.exe --------- 751096
27/10/2006 19:14 C:\DOCUME~1\Detinha\CONFIG~1\Temp\ose00000.exe --------- 145184
----------------------------------------


C:\Arquivos de programas

----------------------------------------


C:\Documents and Settings\All Users\..

Detinha
Default User
Administrador
LocalService
NetworkService
All Users
----------------------------------------


C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost

----------------------------------------



Nome da imagem Identi Nome da sessÆo SessÆo# Uso de mem¢r
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 28 K
System 4 Console 0 260 K
smss.exe 920 Console 0 716 K
csrss.exe 1028 Console 0 6.508 K
winlogon.exe 1052 Console 0 16.132 K
services.exe 1100 Console 0 4.536 K
lsass.exe 1112 Console 0 2.560 K
svchost.exe 1264 Console 0 6.060 K
svchost.exe 1340 Console 0 5.508 K
svchost.exe 1468 Console 0 32.732 K
svchost.exe 1524 Console 0 5.124 K
svchost.exe 1628 Console 0 8.392 K
spoolsv.exe 1888 Console 0 6.904 K
explorer.exe 2036 Console 0 37.148 K
avp.exe 500 Console 0 4.580 K
ctfmon.exe 192 Console 0 3.996 K
AppleMobileDeviceService. 176 Console 0 2.732 K
avp.exe 1768 Console 0 50.652 K
mDNSResponder.exe 252 Console 0 4.104 K
jqs.exe 496 Console 0 1.380 K
mdm.exe 736 Console 0 3.636 K
nvsvc32.exe 856 Console 0 3.804 K
svchost.exe 956 Console 0 4.840 K
wmiapsrv.exe 2632 Console 0 5.216 K
alg.exe 2648 Console 0 3.928 K
svchost.exe 3764 Console 0 3.776 K
wmplayer.exe 2948 Console 0 15.768 K
firefox.exe 3688 Console 0 87.848 K
msnmsgr.exe 2600 Console 0 19.140 K
wlcomm.exe 884 Console 0 29.676 K
cmd.exe 4020 Console 0 2.292 K
tasklist.exe 2220 Console 0 4.356 K
wmiprvse.exe 2192 Console 0 5.784 K


***** Ende des Scans seg 13/07/2009 um 20:32:48,82 ***

02) Esse é do HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:35:13, on 13/7/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Arquivos de programas\Bonjour\mDNSResponder.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Windows Media Player\wmplayer.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Detinha\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Adicionar ao Anti-Banner - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Estatísticas do Antivírus da Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O20 - AppInit_DLLs: C:\ARQUIV~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Dispositivo Celular da Apple (Apple Mobile Device) - Apple Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5574 bytes

Aguardo sua análise, muito obrigado!

Victor Paiva
 
Gustavo MPO disse:
Provavelmente o layout do teclado foi alterado.
Segure o ALT esquerdo e aperte o SHIFT. Esse é um atalho para alternar entre os idiomas configurados para o teclado.
Para remover o layout que não deseja, clique com o botão direito em cima da barra de idiomas (ao lado do relógio), clique em configurações, ali você consegue alternar/remover os idiomas.
Pelo que ví seu log está limpo.
Clique para expandir...


Gustavo, infelizmente o problema não é isso.... minha configurações de idiomas estão corretas.

o curioso é que os locais aonde aparece isso está aumento a cada dia... no começo era só nos programas do Office, agora até no ícones está assim...


alguém pode me ajudar?
 
Olá Mr. Wolf
Fui infectado por um Win32/Toolbar AskSBar potentially unwanted application
O Eset Smart Security não consegui limpar
Ele está an pasta temp (peguei em um cd)
Tirando isso o log está ok ou tem alguma outra anormalidade
Abraços =)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:21:13 PM, on 7/13/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1241241893078
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A47C57C-38A2-4CD4-9323-0C33746FB725}: NameServer = 200.175.89.139,200.175.182.139
O17 - HKLM\System\CS1\Services\Tcpip\..\{4A47C57C-38A2-4CD4-9323-0C33746FB725}: NameServer = 200.175.89.139,200.175.182.139
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 6395 bytes
 
Mr.Wolf disse:
Opa amigo Sonny (ou digo Subs), como vai? :)

Pois é Subs, este grupo Anti-Sec (Anti-Security) responsável por hackear o imageshack, é um dos principais rivais de empresas de segurança e de empresas antivirus desde 2006, incluindo ESET, Kaspersky, Alwil, ASAP, UNITE, Astalavista (que teve todos os seus sites hackeados pelo grupo), Force TEAM entre outras empresas.
Colocamos informações sobre o hack e sobre o grupo anti-sec nos artigos do Linha Defensiva, quem quiser conferir:

http://www.linhadefensiva.org/2009/07/imageshack-e-invadido-por-grupo-antisseguranca/

Este grupo é responsável também pela criação de vários exploits antigos e atuais, um deles e o mais conhecido é o Bloodhound.Exploit - para quem não conhece, este exploit é um dos mais perigosos que existem e o principal causador de brechas para a infecção do Worm Conficker e do Rootkit.Bagle. Este exploit possui a capacidade de, em menos de minutos, gerar falhas deixando vulnerável os controles ActiveX do navegador e em serviços cruciais ao Windows que devem obrigatoriamente permanecerem ativados como: Cliente DNS, Cliente Web e Inicializador de Processo de Servidor DCOM.

Sexta-feira passada mesmo, o dia em que ocorreu o hack, percebi que muitas imagens hospedadas há tempos até no imageshack, haviam sido substituídas por esta imagem que você postou Subs. Começando pela imagem do CFScript.txt do ComboFix que posto aqui às vezes em casos que necessitam de montagem de script do ComboFix.

Pra quem não sabe o que é a prática Full disclosure, citada na imagem do hack e no artigo do Linha Defensiva, recomendo a leitura do link abaixo:

http://en.wikipedia.org/wiki/Full_disclosure

Se lerem o link da Wikipedia acima até ao fim, observarão que a utilização deste método pelos “whitehats” está longe de ser pacífica.

Ou seja, basicamente o que está aqui em causa é um “movimento” que está contra todos aqueles que, como forma de forçarem os programadores a corrigirem falhas de segurança, publicam essas falhas, dando dados detalhados sobre a vulnerabilidade em causa, como a detectar e, mais importante, como a explorar. Para quem apoia o full disclosure, essa publicidade será a melhor forma de forçar os programadores a, atempadamente, suprirem as mais relevantes falhas de segurança no código.

Este movimento anti-sec não está de acordo com as notificações de vulnerabilidades/falhas e querem levar ao extremo a sua interpretação do assunto – ameaçando com hacks todos aqueles que usam dessa filosofia. Segundo o movimento, as empresas de segurança online utilizam o full disclosure como forma de assustar os consumidores, forçando-os a investir em firewalls, antivírus e outras soluções de segurança. Criticam também os “angélicos” whitehats visto que, de acordo com a sua forma de ver, se estivessem tão preocupados com a segurança, não publicavam esses exploits, ainda que com algumas edições idiotas (suficientes, pensam eles) para salvaguardar a possibilidade de blackhats ou scrip kiddies copiarem o exploit e fazerem uso dele sem demais. Acusam-nos de se aproveitarem dessa atividade, visto que, ao publicarem o exploit, multiplicam-no por mirrors, fazendo-os acompanhar de advertisements que redirecionam para a equipe ou website que descobriu a vulnerabilidade. Ou seja, entendem que é tudo uma questão de interesse – de dinheiro.

De qualquer forma o movimento, no meu entender, falha redondamente por não concluir com a indicação expressa daquilo que pretendem, isto é, se preferem um meio termo (”limited disclosure”) ou então precisamente o oposto (”closure” – creio que seja este o termo)! É que ser contra não chega. Acho que é preciso indicar uma solução alternativa – o que não acontece neste caso.

Até agora estes foram os hacks deste grupo anti-sec:

http://marcoramilli.blogspot.com/2009/06/anti-sec-group-destroyed-astalavista.html
http://romeo.copyandpaste.info/txt/nowayout.txt
http://hackingexpose.blogspot.com/2009/07/ssanz-server-systems-administration-nz.html

Apesar de terem razão acerca do mercantilismo todo de algumas indústrias de segurança, o full disclosure é, na minha opinião, o caminho a seguir, de forma a obrigar os fabricantes de antivirus, firewall, anti-spywares a melhorarem os seus produtos.

Força ainda a que as pessoas que não percebam muito de informática, tenham mais consciência naquilo que fazem com os seus computadores pessoais. Se estas pessoas fossem menos “happy joes click on everything that flashes or as tits” haveriam menos botnets a despejar spam em nossas mailboxes.

Mas, muitos exploit writers (autores de exploits) ganham dinheiro ao publicarem os exploits que desenvolveram independentemente e não são só as empresas de segurança a fazer dinheiro.

Este grupo na minha opinião apenas quer protagonismo na cena.

Desculpe não resumir meu texto, mas não consigo explicar ou responder coisas deste tipo pela metade. :)
Clique para expandir...

Fala Mr.Wolf, como vai ?

Belo texto, e explicou muito bem como e porque essas coisas acontecem e funcionam.

Não adianta né, tudo vai ser na base do interesse e "reconhecimento" por dinheiro. Uma coisa leva a outra, os hackers e as empresas. Mas a pior delas, na minha opinião, é a Micro$oft, que sabe de tudo isso e deixa rolar, porque ela sabe que se ela fizer alguma coisa, muitas empresas rompem contrato (dinheiro) com ela, e ai os "lucros" em relação a vírus e a brechas no sistema vai diminuir. Sem falar que o principal argumento de venda é exatamente isso, ou seja... usando o que os hackers fazem, e tudo isso vira uma bola de neve.

Mas mesmo assim, isso tudo é muito interessante. Parece um jogo, de quem ganha mais com maior invenção e genialidade (no mundo da ganância).
 
Boa Noite...
Estou com um problemao, o serviço Servidor la do services.msc ta parando de funcionar sozinho e nao consigo compartilhar nda... o firewall do windows tambem para de funcionar sozinho e só voltam de funcionar depois de reinicir pc e voltam a fechar depois de um tempo....
Creio que possa ser algum virus...
fiz um log.
da uma olhada se pudar..
vlw



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:59:22, on 14/7/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\Arquivos de programas\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
C:\Arquivos de programas\Witness 1400AS XP Pro\WitnessASPro.exe
C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe
C:\Arquivos de programas\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\clipsrv.exe
C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe
C:\GetoMan\Server\GetoDemo.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.compartilhando.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.compartilhando.org/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.compartilhando.org/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Arquivos de programas\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [WinampAgent] "C:\Arquivos de programas\Winamp\winampa.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [400ASPro] C:\Arquivos de programas\Witness 1400AS XP Pro\WitnessASPro.exe 12
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Steam] "C:\Arquivos de programas\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O14 - IERESET.INF: START_PAGE_URL=http://www.compartilhando.org/
O17 - HKLM\System\CCS\Services\Tcpip\..\{B430999B-E5A5-4260-B7E9-AC25F42CCFB3}: NameServer = 201.10.128.3,201.10.120.2
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

--
End of file - 6672 bytes
 
Olá Mr.Wolf.
Me responda uma coisa, esses codigos abaixo significam algo?
Código: 
Gbt+8FZ6gOwZqF7qxinrtZB5WrdfA6yrgjytLspHlQw=
Gbt+8FZ6gOwZqF7qxinrtZB5WrdfA6yrgjmtSchf+Et75j0=
Gbt+8FZ6gOwZqF7qxinrtZB5WrdfA6yrgjmtSchf+EiqgVI=
Gbt+8FZ6gPpE8b9FVql78X9e2QoS8enmjQjdH37AuTizRuMr/d+X8VJ3
Esse era o conteúdo de uma ADS da pasta system32\drivers
 
Você deve fazer login ou se registrar para responder aqui.

Users who are viewing this thread

Total: 3 (membros: 0, visitantes: 3)
Voltar
Topo