Remoção de vírus

[ArllyBR]

Oi Mr.Wolf, como vai vc querido??

Faz tempo que eu não volto aqui, mas era porque meu pc tava bom desde o dia que vc me ajudou a ultima vez.

Mas hoje começou a dar um problema chato aqui e eu to achando que é virus mesmo, vc pode me ajudar?? Assim, vou explicar. =)

Hoje na hora que eu liguei o pc, meu anti-virus avast alertou um trojan aqui. Eu cliquei em remover para deletar ele. Mas minutos depois apareceu outros e outros alertas sem parar com o mesmo trojan. Nem pensei em tirar uma imagem pra vc, tambem nem lembrei disso porque tava assustada, to ainda né. =\

Reiniciei o pc e quando vê travou naquela tela azul. Dai tive que desligar a força e ligar dinovo, dai foi certinho. Mas quandi iniciou o avast apitou dinovo.

Que eu me lembre o trojan se chamava assim: Win32.Rotkit-gen [e aqui dentro tinha um outro nome que não lembro].

Isso é um virus mesmo ou é loucuras do avast Mr.Wolf?? hahaha

:cry:

Agradeço desde já sua resposta e ajuda se puder é claro

Beijos =)

Olá, Mariana Eu não sou o Mestre Wolf, mas posso ajudar. O Avast é cheio desses bugs mesmo, porém pode ser um alerta verdadeiro. Então, preciso que você faça um log com o Hijack this, seguindo os passos:

1. Faça o download do HijackThis http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

2. Execute o arquivo baixado. Aparecerá esta janela:

Deixe do jeito que está e clique em Install. Note que será criado um atalho na área de trabalho

3. Execute o HijackThis pelo atalho na área de trabalho. Irá surgir a seguinte janela:

Clique em "Do a system scan and save a logfile". O escaneamento não demora muito.

4. Com o escaneamento completo, uma janela do Bloco de Notas abrirá com os dados do log:

Copie tudo o que estiver e poste no tópico.

Beijos. Qualquer dúvida, pergunte.

 

[ArllyBR]

guizaniol Você poderia postar um log das 3 ameaças detectas pelo Avira?

Se o SafeBoot não funcionou, tente usar esse arquivo: http://www.didierstevens.com/files/data/SafeBoot.zip

é só executar, irá abrir uma janela perguntando se você deseja adicionar as informações do arquivo ao registro. É só aceitar.

Abraços.

 

[Mariana SMS]

Oi ArllyBR, tudo bom?? =)

Obrigado por responder. Agora que li em uma página atrás que o Mr.Wolf (Mestre Wolf ) tá um pouco sumido né? Não aconteceu nada com ele não né? hmy:

Eu tinha mesmo me esquecido de colocar o log do Hijackthis aqui, da outra vez o Mr.Wolf me pediu também, mas como sou muito avoada para essas coisas, principalmente quando tenho um vírus no meu pc. =/

Bom Arlly não sei se o vírus ainda tá aqui. Ontem conversei com uma amiga minha no msn e ela disse pra eu passar um programa chamado Malwarebytes Anti-Malware aqui e parece que ele deletou algumas coisas, não sei se já ouviu falar desse programa. Mas o avast parou de apitar aqui, então não sei removeu.

Vou postar o log do Hijackthis como vc pediu pra ver se tá tudo em ordem tá?

Aí vai ele:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:45:18, on 14/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\WINDOWS\sm56hlpr.exe
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Arquivos de programas\MagicTune Premium\MagicTuneEngine.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Windows Media Player\WMPNSCFG.exe
C:\Arquivos de programas\Oi Internet\discaoi.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Arquivos de programas\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Arquivos de programas\Total Video Converter\tvp.exe
C:\Arquivos de programas\Adobe\Adobe Photoshop CS2\Photoshop.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gllod.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.Microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.Microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.Microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.Microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HDAudDeck] C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Remover FirewallOnline] rundll32.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Mari Lopes\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [NBJ] "C:\Arquivos de programas\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NitroPC] "C:\Arquivos de programas\NitroPC\NitroPC.exe" -minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Arquivos de programas\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Jogar RagnaPRoject.lnk = C:\Documents and Settings\Mari Lopes\Meus documentos\Ragnarok Online\ROP.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Discador Oi Internet.lnk = C:\Arquivos de programas\Oi Internet\discaoi.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.Microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.Microsoft.com/windowsupd...b?1233450216899
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\..\{95840BA8-FA55-4480-8CE2-2FB7A647F321}: NameServer = 200.222.0.34 200.202.193.75
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! antivírus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: WSoft (WSoftGrowService) - E Service.com - C:\WINDOWS\system32\0.ias.exe

--
End of file - 8012 bytes

Muito obrigado

Beijos =)

 

[ArllyBR]

Mariana SMS

O seu log está limpo.

Malwarebytes Anti-Malware é um ótimo programa para detectar spywares, mas vírus não é a sua especialidade. Recomendo que você não use o Avast!, pois o mesmo é um programa ineficiente para o que se propõe a fazer. Recomendo Avira, desde que não tenha nada contra programas em inglês.

Beijos.

 

[Mariana SMS]

Oi Arlly

Que bom que está limpo então. Já me disseram mesmo pra trocar o avast. Não tenho nada contra programas em inglês não, apesar de eu não saber muito hihihi, só o básico mesmo. Vou instalar esse avira aqui e tirar o avast.

Meu pc tá um pouco lento pra iniciar ainda, será que é problema no windows mesmo? O que posso fazer nesse caso? Porque antes ele levava cerca de uns 5 segundinhos só pra iniciar, agora leva 1 minuto e pouco. =/

Tem alguma coisa que eu possa fazer?

Obrigada

Beijos

 

[ArllyBR]

Oi Arlly

Que bom que está limpo então. Já me disseram mesmo pra trocar o avast. Não tenho nada contra programas em inglês não, apesar de eu não saber muito hihihi, só o básico mesmo. Vou instalar esse avira aqui e tirar o avast.

Meu pc tá um pouco lento pra iniciar ainda, será que é problema no windows mesmo? O que posso fazer nesse caso? Porque antes ele levava cerca de uns 5 segundinhos só pra iniciar, agora leva 1 minuto e pouco. =/

Tem alguma coisa que eu possa fazer?

Obrigada

Beijos

Instale o MV RegClean, e deixe ele analisar o seu computador em busca de erros. Talvez possa melhorar.

http://superdownloads.uol.com.br/download/147/mv-regclean/

O problema de alguns vírus é que, mesmo removidos, causam danos irreversíveis ao Sistema Operacional, restando apenas uma formatação da máquina.

Beijos.

 

[Cauan]

Galera, tentei pegar o DR WEB x64 só que não encontrei. Existe algum programinha pra fazer um scan em minha máquina do mesmo nível do DR WEB ?

Eu passo o NOD e ele não acha nada !

 

[Megadeeth]

faala galera e faala Mariana tranquilo???

tipo eu to estudando bastante o hijack this,principalmente vendo os casos q o Mestre Wolf resolve aki e do material q ele me passou do linha defensiva um dia.

eu to tentando me aprimorar nao conseguirei ficar igual ao mestre pq ele eh o CARA

mas hj fiquei a tarde inteira tentando analisar o log da Mariana SMS e percebi essas 2 entradas aki

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [Windows Remover FirewallOnline] rundll32.exe

O23 - Service: WSoft (WSoftGrowService) - E Service.com - C:\WINDOWS\system32\0.ias.exe

principalmente essas 2 ultimas me parecem suspeitissimas !!!!!!! o q eh esse tal de Windows Remover FirewallOnline???? Oo

eu to errado ou pode ser virus nelas???

um abraçao ae galera

ps: espero q o Mestre Wolf volte logo !!!!!

 

[lyraal]

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

Essas entradas são:
a primeira é do windows quando ocorre erros criticos com programas
a segunda é do modem

 

[Megadeeth]

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

Essas entradas são:
a primeira é do windows quando ocorre erros criticos com programas
a segunda é do modem

faala ae lyraal :yes:

vlw por explicar pra gnt

mas e as outras 2 q eu fiquei encabulado??? :huh:

um abraçao broder

 

[ArllyBR]

faala ae lyraal :yes:

vlw por explicar pra gnt

mas e as outras 2 q eu fiquei encabulado??? :huh:

um abraçao broder

Você fez algum teste de firewall? O rundll32.exe, aparentemente, está executando uma função de Dll.

Sobre o outro. Procure o tal arquivo 0.ias.exe na pasta C:\WINDOWS\system32\ ,envie ele para o site "www.virustotal.com", espere o servidor fazer uma análise do arquivo, será gerado um link. Poste-o aqui.

por exemplo: http://www.virustotal.com/pt/analis...bafac80d5f303a8bffb24d7f7b78b786e6-1260832274

abraços.

 

[ExtremeGamerBR]

Olha, vai de você. O firewall do Windows é excelente no básico: te deixa protegido, com todas as portas em stealth. Isso é o que um firewall precisa fazer, e o do Windows faz bem.

Mas ele é simples, e não tem um monitoramento completo como um firewall standalone. Se você acha que necessita disso, principalmente se mais alguém usa o computador e não toma cuidado, vale a pena. É fato que com um firewall standalone você tem um controle muito maior sobre o que entra e sai no computador, além de ser amplo na configuração mas...
Eu, particularmente, não gosto e não acho necessário. Acho o firewall do Windows ótimo - simples e integrado com o SO. Eu tomo muito cuidado, e pra mim o firewall do Windows já basta.

Porém, só um aviso: se for usar um, não recomendo o Comodo. Como o Mr.Wolf já disse aqui pelo tópico, a empresa estava envolvida com algumas atividades ilicitas, ainda mais pelo fato que ela aceitou um contrato com a Ask, que tinha certas exigências.
Dê uma olhada nesse tópico se quiser saber mais: http://www.linhadefensiva.org/forum/index.php?act=ST&f=14&t=96881

Mas existem ótimas opções também, como o Online Armor.

Gostei muito da sua explicação. Parabéns!

Eu sou daqueles caras que não gosta de ficar enchendo o PC de Softwares, até agora o PC está limpinho sem nenhum tipo de vírus, pelo que ví na Internet esse Online Armor é muito bom, mas por enquanto vou usar só o MSE.


Muito Obrigado!

 

[cassianosmi]

Boa Tarde...
estou com um problema no pc.
qnd tento entrar em uma unidade de disco dando dois cliques ele nao entra, só entra se for em explorar.
passei anti virus já e ele nao detecta nda, vou te passar o log pra ver se tem algo..
Obrigado..


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:42:26, on 15/12/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Arquivos de programas\ESET\ESET Smart Security\ekrn.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\MSSQL7\binn\sqlservr.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\Explorer.EXE
C:\Arquivos de programas\ESET\ESET Smart Security\egui.exe
C:\MSSQL7\binn\sqlagent.exe
C:\Arquivos de programas\Nikon\PictureProject\NkbMonitor.exe
C:\MSSQL7\Binn\sqlmangr.exe
C:\WINNT\system32\wuauclt.exe
C:\Arquivos de programas\IObit\Advanced WindowsCare V2 Pro\Awc.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.brturbo.com.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: @msdxmLC.dll,-1@1046,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Arquivos de programas\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Arquivos de programas\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Service Manager.lnk = C:\MSSQL7\Binn\sqlmangr.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1259607942687
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - https://zyoncore.com.br/sigi/websigi2/ImageUploader3.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\..\{E52F5E25-D119-477A-9CE1-FF9821A559BC}: NameServer = 201.10.128.3,201.10.120.2
O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5516 bytes

 

[Mariana SMS]

Oi meninos =)

Gostaria de saber como fica minha situação então, o log tá realmente limpo ou tenho que fazer algo mais?

@ArllyBR

Oi Arlly, não encontrei o arquivo 0.ias.exe. Fui na pesquisa do windows e na própria pasta system32 e não achei ele. Será que ele sumiu?

Obrigada pela atenção rapazes =)

Beijos

 

[ArllyBR]

cassianosmi. Você tem grandes chances de ter sido vítima de um vírus.

Use o PenClean: http://penclean.softonic.com.br/
Escolha o disco "C". Se o PenClean achar alguma coisa, pedirá para reiniciar a máquina. Porém, pode acontecer que ele não encontre nada, então, para termos certeza, procure na pasta raiz do seu computador (C:\), pelo Explorer mesmo, se tem algum arquivo "Autorun.INF", caso encontrado, envie para o www.virustotal.com e poste o resultado aqui.

O seu log tem dois problemas:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm"
"O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm"

Abra o HijackThis e clique em Do a system scan only
Aguarde o exame acabar.
Cada entrada tem uma caixa do lado esquerdo.
Então marque apenas as caixas destas entradas:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm

Ficará com um sinal V dentro das 2 caixas.

Clique então em

. Dê o Ok para a pergunta e então feche o HijackThis.

 

[ArllyBR]

Oi meninos =)

Gostaria de saber como fica minha situação então, o log tá realmente limpo ou tenho que fazer algo mais?

@ArllyBR

Oi Arlly, não encontrei o arquivo 0.ias.exe. Fui na pesquisa do windows e na própria pasta system32 e não achei ele. Será que ele sumiu?

Obrigada pela atenção rapazes =)

Beijos

Certifique-se que o seu Windows esteja mostrando arquivos ocultos: https://www.microsoft.com/brasil/windowsxp/using/helpandsupport/learnmore/tips/hiddenfiles.mspx

Os ícones de arquivos ocultos possuem uma certa transparência. Se o seu Windows não estava configurado para mostrar arquivos ocultos, refaça a pesquisa, pois o processo ficou oculto.

Beijos.

 

[Mariana SMS]

Oi Arlly

Agora sim deu pra ver o arquivo =)

Mandei ele para o site que vc pediu e o resultado foi isto:

http://www.virustotal.com/pt/analis...286a8e66c30685411d131998e4499b5bd2-1260980792

É isso mesmo?

Beijos

 

[Megadeeth]

Oi Arlly

Agora sim deu pra ver o arquivo =)

Mandei ele para o site que vc pediu e o resultado foi isto:

http://www.virustotal.com/pt/analis...286a8e66c30685411d131998e4499b5bd2-1260980792

É isso mesmo?

Beijos

xeee Mariana pelo resultado o bixo é um virus

vc pode tenta usa o killbox e ve se remove

http://www.linhadefensiva.org/2005/04/killbox/

nao aconselho q vc use o combofix pq só o Mestre Wolf sabe mexe com ele aki :yes:

aki msm no topico teve um cara q usou o combofix sozinho e ferrou o pc dele dai o Mestre salvou o broder!!!!!!!!

um abraçao e boa sorte :yes:

 

[ArllyBR]

Mariana, preciso que você envie esse arquivo para mim. Eu irei analisá-lo.

Você pode usar os seguintes sites:

http://www.megaupload.com/
http://www.mediafire.com

Poste o link.

Beijos.

 

[Mariana SMS]

Arlly e Megadeeth

Hoje o meu avast detectou esse arquivo que a gente tava brigando 0.ias.exe hahaha

Dai ele não conseguiu remover. Então vi que ele é mesmo um vírus porque o avast detectou, e usei o programa killbox que o Megadeeth me orientou a usar. Vi no google como que usava ele que é facinho né e foi belezinha remover o vírus =)

Depois que removi ele, meu pc voltou a iniciar rápido como era antes e to mais sem nenhum problema.

Sendo assim, fecho meu caso aqui tá meninos?

Muito obrigada pela ajuda de todos vcs. O Mr.Wolf tem um grande time de ajuda aqui heim oO 8)

Beijos e um feliz natal e ano novo a todos gente

Xauzinhoo =*

 

[Megadeeth]

Arlly e Megadeeth

Hoje o meu avast detectou esse arquivo que a gente tava brigando 0.ias.exe hahaha

Dai ele não conseguiu remover. Então vi que ele é mesmo um vírus porque o avast detectou, e usei o programa killbox que o Megadeeth me orientou a usar. Vi no google como que usava ele que é facinho né e foi belezinha remover o vírus =)

Depois que removi ele, meu pc voltou a iniciar rápido como era antes e to mais sem nenhum problema.

Sendo assim, fecho meu caso aqui tá meninos?

Muito obrigada pela ajuda de todos vcs. O Mr.Wolf tem um grande time de ajuda aqui heim oO 8)

Beijos e um feliz natal e ano novo a todos gente

Xauzinhoo =*

faala Mariana q bom q resolveu seu problema

fico feliz por ter ajudado a alguem a primeira vez com logs assim hauahauahau !!!!!!!

em relaçao ao time do Mestre Wolf,qm me dera ser do time dele. O Mestre manja mto dessa parada,nossa se eu soubesse um poukinho só do q ele sabe eu tava contentasso!!!!!! :lol:

qq coisa posta ae dinovo Mariana

feliz natal e ano novo pra vc tbm e pra tdos aki do topico :yes:

um abraçao

 

[guizaniol]

guizaniol Você poderia postar um log das 3 ameaças detectas pelo Avira?

Se o SafeBoot não funcionou, tente usar esse arquivo: http://www.didierstevens.com/files/data/SafeBoot.zip

é só executar, irá abrir uma janela perguntando se você deseja adicionar as informações do arquivo ao registro. É só aceitar.

Abraços.

Log do Avira = Delphi

Spoiler

Virus or unwanted program 'DR/Delphi.Gen [dropper]'
detected in file 'C:\WINDOWS\temp\fmrx.tmp\svchost.exe.
Action performed: Deny access

Log do Avira = Crypt

Spoiler

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\WINDOWS\temp\iebn.tmp\svchost.exe.
Action performed: Deny access

O outro sumiu, com algum dos programas que usei.

Mas esses persistem.

O arquivo que me passou tambem nao funcionou pra entrar em Modo de Seguranca.. Ele reinicia quando dou a opcao...

Obg.

 

[Johnn Y]

Mr. Wolf, dá uma olhada no meu log?

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:38:48, on 18/12/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18319)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\AVerMedia\AVerQuick\AVerHIDReceiver.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Windows\tsnp325.exe
C:\Windows\vsnp325.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Positivo Informática\SW_Cadastro\Monitor.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Raxco\PerfectDisk10\PDAgentS1.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Last.fm\LastFM.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Users\ALADIA\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.positivoinformatica.com.br
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2233703
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.positivoinformatica.com.br
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [tsnp325] C:\Windows\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\Windows\vsnp325.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIÇO DE REDE')
O4 - Global Startup: AVer HID Receiver.lnk = C:\Program Files\Common Files\AVerMedia\AVerQuick\AVerHIDReceiver.exe
O4 - Global Startup: Monitor.lnk = ?
O8 - Extra context menu item: Baixar com o Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Baixar tudo com o Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Baixar vídeo com o Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download selecionado pelo Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Estatísticas do Antivírus da Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\progra~1\kasper~1\kasper~1.0\r3hook.dll
O23 - Service: Dispositivo Celular da Apple (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVerRemote - AVerMedia - C:\Program Files\Common Files\AVerMedia\Service\AVerRemote.exe
O23 - Service: AVerScheduleService - Unknown owner - C:\Program Files\Common Files\AVerMedia\Service\AVerScheduleService.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk10\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk10\PDEngine.exe

--
End of file - 9086 bytes

 

[Rodrimack]

Mr Wolf pode dar uma analisada? Já passei o malwarebytes e n encontrou n virus mas acho q tem alguns arquivos s suspeitos

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:53:16, on 18/12/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\HP\Digital Imaging\bin\HpqSRmon.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10d.exe
C:\Program Files\BraZip\BraZip.exe
C:\Users\JOSCND~1\AppData\Local\Temp\SZ5311\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=pt_br&c=81&bd=Presario&pf=laptop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=pt_br&c=81&bd=Presario&pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=pt_br&c=81&bd=Presario&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O1 - Hosts: ::1 localhost
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 7914 bytes

 

[lyraal]

Oi Arlly

Agora sim deu pra ver o arquivo =)

Mandei ele para o site que vc pediu e o resultado foi isto:

http://www.virustotal.com/pt/analis...286a8e66c30685411d131998e4499b5bd2-1260980792

É isso mesmo?

Beijos

você deve ter instalado o avira.
então mande o virus para:

virus_malware@avira.com
virus@avira.com

coloque o virus em um arquivo zipado com senha infected para não ser bloqueado pelo servidor de email.

Assunto: virus
Corpo do Texto:
virus in attachment
password: infected