Social bookmarking
Conservar e compartilhar o endereço de PC Seguro em seu site de social bookmarking
Conservar e compartilhar o endereço de Fórum PC Brasil em seu site de social bookmarking
Estatísticas
Temos 14810 usuários registradosO último membro registrado é Josevinil
Os nossos membros postaram um total de 36047 mensagens em 3685 assuntos
Quem está conectado?
Há 2 usuários online :: 0 registrados, 0 invisíveis e 2 visitantes Nenhum
O recorde de usuários online foi de 301 em Ter 26 Out 2021, 15:28
Procurar
Top dos mais postadores
Power Max | ||||
joram | ||||
Wings [In Memoriam] | ||||
caedurodrigues | ||||
Amigo Brasileiro | ||||
luizvilarinho | ||||
Danii | ||||
Admin | ||||
Danilo Marsaro | ||||
Andreata |
Malware olhrwef.exe não sai!
3 participantes
Página 1 de 1
Malware olhrwef.exe não sai!
Salve galera, sou novo aqui, não achei nenhum tópico relacionado a isso, por favor se eu estiver errado em alguma coisa me avisem e me desculpe!
E ai galera, eu baixei um programa por indicação chamado Malwarebytes' Anti-Malware.
Eu tenho 2 HD's, um particionado então técnicamente fico com 3, então o Malwarebytes' Anti-Malware fez uma varredura e achou o maldito "olhrwef.exe" exclui, em 2 HD's (sistema e documentos) ele saiu, porém o outro (Programas Instalados) não saiu, e eu sei porque antes quando o vírus estava em todos, eu não podia mostrar arquivos ocultos, agora no HD de documentos e do sistema eu posso, menos no do Programas Instalados, sem contar, quando eu abro o HD do Programas..., no "msconfig" o olhrwef.exe ativa. É só abrir o HD que o vírus ativa, e então não consigo mais mostrar arquivos ocultos.
Alguém sabe como tirar ele?
o Malwarebytes' Anti-Malware não encontra mais ele no HD, mas tenho certeza que ele ainda está!
Por favor me ajudem agradeço desde já.
Até mais!]
E ai galera, eu baixei um programa por indicação chamado Malwarebytes' Anti-Malware.
Eu tenho 2 HD's, um particionado então técnicamente fico com 3, então o Malwarebytes' Anti-Malware fez uma varredura e achou o maldito "olhrwef.exe" exclui, em 2 HD's (sistema e documentos) ele saiu, porém o outro (Programas Instalados) não saiu, e eu sei porque antes quando o vírus estava em todos, eu não podia mostrar arquivos ocultos, agora no HD de documentos e do sistema eu posso, menos no do Programas Instalados, sem contar, quando eu abro o HD do Programas..., no "msconfig" o olhrwef.exe ativa. É só abrir o HD que o vírus ativa, e então não consigo mais mostrar arquivos ocultos.
Alguém sabe como tirar ele?
o Malwarebytes' Anti-Malware não encontra mais ele no HD, mas tenho certeza que ele ainda está!
Por favor me ajudem agradeço desde já.
Até mais!]
JoKer- Iniciante
- Mensagens : 8
Reputação : 0
Data de inscrição : 18/02/2009
Re: Malware olhrwef.exe não sai!
Olá Joker! Seja bem-vindo ao Fórum PC Brasil.
Siga este procedimento abaixo para que possamos orientá-lo na solução deste problema:
1) Crie uma pasta própria (como por exemplo C:\Arquivos de Programas\HijackThis).
Faça o download do [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e no momento de salvá-lo escolha a opção de salvá-lo nesta pasta que você acabou de criar e descompacte o hijackthis.zip dentro dela.
Dê um duplo clique no instalador do Hijackthis > clique na opção I Accept.
Clique no botão: Do a system scan and save a logfile. Depois será aberta uma tela com o log, então é só selecionar este Log (Clique no menu: Editar » Selecionar Tudo), depois disso volte novamente no menu: Editar » e clique na opção: Copiar).
Depois disso é só voltar aqui no fórum e postar este log do Hijackthis para que ele possa ser analizado.
Ficamos no aguardo de sua resposta.
Siga este procedimento abaixo para que possamos orientá-lo na solução deste problema:
1) Crie uma pasta própria (como por exemplo C:\Arquivos de Programas\HijackThis).
Faça o download do [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e no momento de salvá-lo escolha a opção de salvá-lo nesta pasta que você acabou de criar e descompacte o hijackthis.zip dentro dela.
Dê um duplo clique no instalador do Hijackthis > clique na opção I Accept.
Clique no botão: Do a system scan and save a logfile. Depois será aberta uma tela com o log, então é só selecionar este Log (Clique no menu: Editar » Selecionar Tudo), depois disso volte novamente no menu: Editar » e clique na opção: Copiar).
Depois disso é só voltar aqui no fórum e postar este log do Hijackthis para que ele possa ser analizado.
Ficamos no aguardo de sua resposta.
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Log HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:13:43, on 19/2/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
E:\Utilidades\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Arquivos de programas\uTorrent\uTorrent.exe
E:\Internet\DreaMule\emule.exe
E:\Multmídia\Winamp\winampa.exe
E:\Multmídia\Winamp\winamp.exe
D:\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Multmídia\Winamp\winampa.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [RocketDock] "E:\Utilidades\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O23 - Service: DF5Serv - Faronics Corporation - C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
--
End of file - 3623 bytes
Está ai cara, espero que consigo identificar e me ajudar a remover ele.
Até mais!
Scan saved at 16:13:43, on 19/2/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
E:\Utilidades\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Arquivos de programas\uTorrent\uTorrent.exe
E:\Internet\DreaMule\emule.exe
E:\Multmídia\Winamp\winampa.exe
E:\Multmídia\Winamp\winamp.exe
D:\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Multmídia\Winamp\winampa.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [RocketDock] "E:\Utilidades\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O23 - Service: DF5Serv - Faronics Corporation - C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
--
End of file - 3623 bytes
Está ai cara, espero que consigo identificar e me ajudar a remover ele.
Até mais!
JoKer- Iniciante
- Mensagens : 8
Reputação : 0
Data de inscrição : 18/02/2009
Re: Malware olhrwef.exe não sai!
Abra o HijackThis, clique em Do a system scan only, marque a entrada abaixo e clique em Fix checked:
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
________________________________________________________________________________________
Baixe o programa Avenger no link abaixo e extraia o conteúdo para o desktop (área de trabalho):
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
*Selecione e copie (Ctrl+C) todo o código dentro do CÓDIGO (caixa branca) abaixo:
*Execute o programa Avenger
*Clique em [Load Script] > [Paste from Clipboard]
*Clique em [Execute] > [OK]
*O PC será reiniciado
*Cole o relatório criado em C:\avenger.txt em sua próxima resposta juntamente com um novo log do Hijackthis e nos diga como está o PC depois disto.
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
________________________________________________________________________________________
Baixe o programa Avenger no link abaixo e extraia o conteúdo para o desktop (área de trabalho):
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
*Selecione e copie (Ctrl+C) todo o código dentro do CÓDIGO (caixa branca) abaixo:
- Código:
Files to delete:
C:\WINDOWS\system32\olhrwef.exe
*Execute o programa Avenger
*Clique em [Load Script] > [Paste from Clipboard]
*Clique em [Execute] > [OK]
*O PC será reiniciado
*Cole o relatório criado em C:\avenger.txt em sua próxima resposta juntamente com um novo log do Hijackthis e nos diga como está o PC depois disto.
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Não Saiu!
LOG DO AVANGER
Logfile of The Avenger Version 2.0, (c) by Swandog46
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\WINDOWS\system32\olhrwef.exe" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
OBS: Eu fiz isso umas 3x e o Vírus não saiu, ele ainda não deixa eu ver arquivos ocultos, e sempre fica ativo no "msnconfig".
LOG do hijackthis.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:39:04, on 19/2/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
E:\Utilidades\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
D:\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [RocketDock] "E:\Utilidades\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O23 - Service: DF5Serv - Faronics Corporation - C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
--
End of file - 3321 bytes
Ele ainda permanece, cara num sei mais oque fazer, o avanger sempre fala que ele foi deletado, mas nunca deleta
Logfile of The Avenger Version 2.0, (c) by Swandog46
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\WINDOWS\system32\olhrwef.exe" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
OBS: Eu fiz isso umas 3x e o Vírus não saiu, ele ainda não deixa eu ver arquivos ocultos, e sempre fica ativo no "msnconfig".
LOG do hijackthis.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:39:04, on 19/2/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
E:\Utilidades\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
D:\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [RocketDock] "E:\Utilidades\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O23 - Service: DF5Serv - Faronics Corporation - C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
--
End of file - 3321 bytes
Ele ainda permanece, cara num sei mais oque fazer, o avanger sempre fala que ele foi deletado, mas nunca deleta
JoKer- Iniciante
- Mensagens : 8
Reputação : 0
Data de inscrição : 18/02/2009
Re: Malware olhrwef.exe não sai!
Cara, notei um problema, eu passei um chamado Malwarebytes' Anti-Malware.
Esse programa achou 3 arquivos:
1 - cv22.cmd ( algo assim, pesquisei e não encontrei nada!)
2 - autorun.inf ( algo assim )
O outro não me recordo.
Notei, que esses dois arquivos estão no HD E: (programas instalados).
Eu executei o programa, ele achou e possívelmente excluiu.
O problema das pastas ocultas foi resolvido em dois HD's, C: e D; mas quando eu abro o HD E:
O olhrwef.exe é ativado no "msconfig", e até então não posso mais ver pastas ocultas.
Ou seja, um desses arquivos ai que eu citei, estão ativando o olhrwef.exe, e impedindo de ver pastas ocultas.
Oque devo fazer?
Formatar não adianta, o vírus ativa e se espalha quando entro no HD E:
Espero respostas e muito obrigado pela atenção!
Esse programa achou 3 arquivos:
1 - cv22.cmd ( algo assim, pesquisei e não encontrei nada!)
2 - autorun.inf ( algo assim )
O outro não me recordo.
Notei, que esses dois arquivos estão no HD E: (programas instalados).
Eu executei o programa, ele achou e possívelmente excluiu.
O problema das pastas ocultas foi resolvido em dois HD's, C: e D; mas quando eu abro o HD E:
O olhrwef.exe é ativado no "msconfig", e até então não posso mais ver pastas ocultas.
Ou seja, um desses arquivos ai que eu citei, estão ativando o olhrwef.exe, e impedindo de ver pastas ocultas.
Oque devo fazer?
Formatar não adianta, o vírus ativa e se espalha quando entro no HD E:
Espero respostas e muito obrigado pela atenção!
JoKer- Iniciante
- Mensagens : 8
Reputação : 0
Data de inscrição : 18/02/2009
Re: Malware olhrwef.exe não sai!
Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:
- Faça o download do ComboFix e salve-o no desktop (área de trabalho):
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
OBS: Para que a ferramenta seja executada é necessário que esteja no desktop (área de trabalho)
Se tiver um Pendrive ou um drive de MP3 ou MP4, conecte no PC (se tiver mais de um, tem de conectar todos). Não os tire até completar todas as instruções.
* Desative, temporariamente, o seu antivírus;
* Feche todas as janelas abertas;
* Dê um duplo clique no arquivo ComboFix;
* Na próxima janela clique em Executar, aceite o contrato e aguarde até que o relatório seja gerado;
OBS: Caso não queira que seja instalado o console de recuperação do Windows, clique em "Não" e depois concorde que a verificação prossiga.
Ao ser instalado o console, na inicialização do sistema será apresentada a tela para seleção dos sistemas operacionais.
Mais informações sobre o Console: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
* Caso ocorra algum erro, reinicie o computador em Modo Seguro (pressione a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização e escolha a opção Modo Seguro na tela que se apresenta) e repita o procedimento;
* O ComboFix "poderá" reiniciar o PC automaticamente para completar o processo de remoção.
* Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.
* Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
* Para parar ou sair do ComboFix, tecle "N".
* Se perder a conexão com a internet, reinicie o computador. Caso o problema persista, abra Conexões de Rede no Painel de Controle, clique com o botão direito do mouse sobre a sua conexão com a internet e em "Reparar";
Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC e o pendrive depois disto.
- Faça o download do ComboFix e salve-o no desktop (área de trabalho):
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
OBS: Para que a ferramenta seja executada é necessário que esteja no desktop (área de trabalho)
Se tiver um Pendrive ou um drive de MP3 ou MP4, conecte no PC (se tiver mais de um, tem de conectar todos). Não os tire até completar todas as instruções.
* Desative, temporariamente, o seu antivírus;
* Feche todas as janelas abertas;
* Dê um duplo clique no arquivo ComboFix;
* Na próxima janela clique em Executar, aceite o contrato e aguarde até que o relatório seja gerado;
OBS: Caso não queira que seja instalado o console de recuperação do Windows, clique em "Não" e depois concorde que a verificação prossiga.
Ao ser instalado o console, na inicialização do sistema será apresentada a tela para seleção dos sistemas operacionais.
Mais informações sobre o Console: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
* Caso ocorra algum erro, reinicie o computador em Modo Seguro (pressione a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização e escolha a opção Modo Seguro na tela que se apresenta) e repita o procedimento;
* O ComboFix "poderá" reiniciar o PC automaticamente para completar o processo de remoção.
* Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.
* Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
* Para parar ou sair do ComboFix, tecle "N".
* Se perder a conexão com a internet, reinicie o computador. Caso o problema persista, abra Conexões de Rede no Painel de Controle, clique com o botão direito do mouse sobre a sua conexão com a internet e em "Reparar";
Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC e o pendrive depois disto.
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Obrigado!
Esse programa é feito a mão direita de Deus? Na lata tirou ^^, Valeu mesmo cara.
Vou por os LOG pra você ver se está tudo normal, mas me responda duas coisas?
Esse programa tira qual quer vírus? ou só Malwares e Spywares? Trojans nem pensar né?
Outra coisa, no LOG e no "msconfig" tem uma entrada chamada "ctfmon" oque é isso e oque ele faz?
LOG COMBOFIX
ComboFix 09-02-19.01 - Luan 2009-02-21 14:06:36.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1046.18.959.724 [GMT 4.5:30]
Executando de: d:\downloads\tirando vírus\ComboFix.exe
* Criado um novo ponto de restauro
ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!
.
((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\logondll.dll
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
D:\Autorun.inf
D:\cv22.cmd
E:\Autorun.inf
E:\cv22.cmd
.
(((((((((((((((( Arquivos/Ficheiros criados de 2009-01-21 to 2009-02-21 ))))))))))))))))))))))))))))
.
2009-02-21 14:08 . 2009-02-21 14:08 <DIR> d-------- c:\windows\system32\xircom
2009-02-21 14:08 . 2009-02-21 14:08 <DIR> d-------- c:\arquivos de programas\microsoft frontpage
2009-02-20 16:30 . 2009-02-20 16:31 1,374 --a------ c:\windows\imsins.BAK
2009-02-19 22:44 . 2009-02-19 22:44 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\Winamp
2009-02-19 21:43 . 2008-08-14 15:04 138,496 --------- c:\windows\system32\dllcache\afd.sys
2009-02-19 21:27 . 2008-09-15 19:56 1,846,528 --------- c:\windows\system32\dllcache\win32k.sys
2009-02-19 21:26 . 2008-08-14 17:54 2,193,408 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,149,376 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,070,272 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,028,032 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-19 21:21 . 2008-10-24 15:51 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys
2009-02-19 21:20 . 2008-12-11 15:27 333,952 --------- c:\windows\system32\dllcache\srv.sys
2009-02-19 00:19 . 2009-02-19 00:19 <DIR> d-------- C:\LinhaDefensiva
2009-02-18 23:41 . 2009-02-18 08:22 <DIR> d--h----- c:\documents and settings\Administrador\Modelos
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d-------- c:\documents and settings\Administrador\Meus documentos
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> dr------- c:\documents and settings\Administrador\Menu Iniciar
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d-------- c:\documents and settings\Administrador\Favoritos
2009-02-18 23:41 . 2009-02-18 23:41 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\Malwarebytes
2009-02-18 23:41 . 2009-02-18 23:41 <DIR> dr-h----- c:\documents and settings\Administrador\Dados de aplicativos
2009-02-18 23:41 . 2009-02-18 23:41 <DIR> d--h----- c:\documents and settings\Administrador\Configurações locais
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de rede
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de impressão
2009-02-18 23:41 . 2009-02-19 00:13 <DIR> d-------- c:\documents and settings\Administrador
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\Malwarebytes
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware
2009-02-18 22:59 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-18 22:59 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-18 19:48 . 2008-10-15 21:06 337,408 --------- c:\windows\system32\dllcache\netapi32.dll
2009-02-18 19:48 . 2008-10-03 14:34 247,326 --------- c:\windows\system32\dllcache\strmdll.dll
2009-02-18 19:47 . 2008-09-04 21:46 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll
2009-02-18 19:44 . 2009-02-18 19:44 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\IObit
2009-02-18 19:37 . 2009-02-18 19:37 <DIR> d-------- c:\arquivos de programas\Faronics
2009-02-18 19:37 . 2009-02-18 19:37 16,299,862 --------- C:\$Persi0.sys
2009-02-18 19:36 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-02-18 19:36 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2009-02-18 19:36 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-02-18 09:16 . 2009-02-18 09:16 <DIR> d--h----- c:\windows\system32\GroupPolicy
2009-02-18 09:12 . 2005-08-24 08:38 3,495,808 -ra------ c:\windows\system32\vtdisp.dll
2009-02-18 09:12 . 2005-08-24 08:46 1,875,968 -ra------ c:\windows\system32\vticd.dll
2009-02-18 09:12 . 2005-08-24 08:38 237,312 -ra------ c:\windows\system32\drivers\vtmini.sys
2009-02-18 09:09 . 2009-02-18 09:15 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Macromedia
2009-02-18 09:07 . 2009-02-18 09:10 <DIR> d-------- c:\windows\Downloaded Installations
.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-18 04:29 --------- d-----w c:\arquivos de programas\Kaspersky Lab
2009-02-18 04:27 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information
2009-02-18 04:27 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield
2009-02-18 04:24 --------- d-----w c:\arquivos de programas\VIAudioi
2009-02-18 04:06 --------- d-----w c:\arquivos de programas\VIA
2009-02-18 03:54 --------- d-----w c:\arquivos de programas\Serviços on-line
2009-02-18 03:54 --------- d-----w c:\arquivos de programas\Arquivos comuns\Serviços
2009-02-18 03:52 --------- d-----w c:\arquivos de programas\Windows Media Connect 2
2009-02-17 22:32 --------- d-----w c:\arquivos de programas\DAEMON Tools Lite
2009-02-17 22:30 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-02-17 22:30 --------- d-----w c:\documents and settings\Luan\Dados de aplicativos\DAEMON Tools
2009-02-17 22:23 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Messenger Plus!
2009-02-17 22:19 --------- d-----w c:\arquivos de programas\Messenger Plus! Live
2009-02-17 22:16 --------- dcsh--w c:\arquivos de programas\Arquivos comuns\WindowsLiveInstaller
2009-02-17 22:16 --------- d-----w c:\arquivos de programas\Windows Live
2009-02-17 22:01 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\WLInstaller
2009-02-17 21:55 --------- d-----w c:\arquivos de programas\TaskSwitchXP
2009-02-17 21:53 --------- d-----w c:\arquivos de programas\No-IP
2009-02-15 21:45 106,803 --sh--r C:\qphdin.com
.
------- Sigcheck -------
2008-10-11 01:12 361600 e88631e21a9caca06104802f9e915115 c:\windows\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TaskSwitchXP"="c:\arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 62976]
"RocketDock"="e:\utilidades\RocketDock\RocketDock.exe" [2007-09-02 495616]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-07 c:\windows\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-03-11 c:\windows\system32\VTTrayp.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]
"_nltide_3"="advpack.dll" [2008-06-23 c:\windows\system32\advpack.dll]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"ForceStartMenuLogOff"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /k:C /k:D /k:E *
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VModes]
VModes AttachToDesktop [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
--a------ 2006-09-05 18:28 540672 c:\arquivos de programas\VIAudioi\SBADeck\ADeck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 15:30 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 14:09 486856 c:\arquivos de programas\DAEMON Tools Lite\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 03:32 36352 e:\multmídia\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\login-server.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\char-server.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\map-server.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=
R0 DeepFrz;DeepFrz;c:\windows\system32\drivers\DeepFrz.sys [2007-06-28 131472]
R0 ViBus;ViBus;c:\windows\system32\drivers\ViBus.sys [2009-02-18 16896]
R0 ViPrt;VIA SATA IDE Device Driver;c:\windows\system32\drivers\ViPrt.sys [2009-02-18 52224]
.
- - - - ORFÃOS REMOVIDOS - - - -
Notify-DfLogon - LogonDll.dll
MSConfigStartUp-cdoosoft - c:\windows\system32\olhrwef.exe
.
------- Scan Suplementar -------
.
uStart Page = about:blank
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Rootkit scan 2009-02-21 14:08:28
Windows 5.1.2600 Service Pack 3 NTFS
Procurando processos ocultos ...
Procurando entradas auto inicializáveis ocultas ...
Procurando ficheiros/arquivos ocultos ...
Varredura completada com sucesso
arquivos/ficheiros ocultos: 0
**************************************************************************
.
------------------------ Outros Processos em Execução ------------------------
.
c:\arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
c:\arquivos de programas\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Tempo para conclusão: 2009-02-21 14:09:43 - Máquina reiniciou
ComboFix-quarantined-files.txt 2009-02-21 09:39:40
Pré-execução: 9 pasta(s) 11.958.046.720 bytes disponíveis
Pós execução: 9 pasta(s) 11,951,370,240 bytes disponíveis
170 --- E O F --- 2009-02-21 09:29:55
LOG Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:13:34, on 21/2/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
E:\Utilidades\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [RocketDock] "E:\Utilidades\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O23 - Service: DF5Serv - Faronics Corporation - C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
--
End of file - 2704 bytes
Vou por os LOG pra você ver se está tudo normal, mas me responda duas coisas?
Esse programa tira qual quer vírus? ou só Malwares e Spywares? Trojans nem pensar né?
Outra coisa, no LOG e no "msconfig" tem uma entrada chamada "ctfmon" oque é isso e oque ele faz?
LOG COMBOFIX
ComboFix 09-02-19.01 - Luan 2009-02-21 14:06:36.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1046.18.959.724 [GMT 4.5:30]
Executando de: d:\downloads\tirando vírus\ComboFix.exe
* Criado um novo ponto de restauro
ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!
.
((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\logondll.dll
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
D:\Autorun.inf
D:\cv22.cmd
E:\Autorun.inf
E:\cv22.cmd
.
(((((((((((((((( Arquivos/Ficheiros criados de 2009-01-21 to 2009-02-21 ))))))))))))))))))))))))))))
.
2009-02-21 14:08 . 2009-02-21 14:08 <DIR> d-------- c:\windows\system32\xircom
2009-02-21 14:08 . 2009-02-21 14:08 <DIR> d-------- c:\arquivos de programas\microsoft frontpage
2009-02-20 16:30 . 2009-02-20 16:31 1,374 --a------ c:\windows\imsins.BAK
2009-02-19 22:44 . 2009-02-19 22:44 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\Winamp
2009-02-19 21:43 . 2008-08-14 15:04 138,496 --------- c:\windows\system32\dllcache\afd.sys
2009-02-19 21:27 . 2008-09-15 19:56 1,846,528 --------- c:\windows\system32\dllcache\win32k.sys
2009-02-19 21:26 . 2008-08-14 17:54 2,193,408 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,149,376 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,070,272 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,028,032 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-19 21:21 . 2008-10-24 15:51 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys
2009-02-19 21:20 . 2008-12-11 15:27 333,952 --------- c:\windows\system32\dllcache\srv.sys
2009-02-19 00:19 . 2009-02-19 00:19 <DIR> d-------- C:\LinhaDefensiva
2009-02-18 23:41 . 2009-02-18 08:22 <DIR> d--h----- c:\documents and settings\Administrador\Modelos
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d-------- c:\documents and settings\Administrador\Meus documentos
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> dr------- c:\documents and settings\Administrador\Menu Iniciar
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d-------- c:\documents and settings\Administrador\Favoritos
2009-02-18 23:41 . 2009-02-18 23:41 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\Malwarebytes
2009-02-18 23:41 . 2009-02-18 23:41 <DIR> dr-h----- c:\documents and settings\Administrador\Dados de aplicativos
2009-02-18 23:41 . 2009-02-18 23:41 <DIR> d--h----- c:\documents and settings\Administrador\Configurações locais
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de rede
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de impressão
2009-02-18 23:41 . 2009-02-19 00:13 <DIR> d-------- c:\documents and settings\Administrador
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\Malwarebytes
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware
2009-02-18 22:59 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-18 22:59 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-18 19:48 . 2008-10-15 21:06 337,408 --------- c:\windows\system32\dllcache\netapi32.dll
2009-02-18 19:48 . 2008-10-03 14:34 247,326 --------- c:\windows\system32\dllcache\strmdll.dll
2009-02-18 19:47 . 2008-09-04 21:46 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll
2009-02-18 19:44 . 2009-02-18 19:44 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\IObit
2009-02-18 19:37 . 2009-02-18 19:37 <DIR> d-------- c:\arquivos de programas\Faronics
2009-02-18 19:37 . 2009-02-18 19:37 16,299,862 --------- C:\$Persi0.sys
2009-02-18 19:36 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-02-18 19:36 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2009-02-18 19:36 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-02-18 09:16 . 2009-02-18 09:16 <DIR> d--h----- c:\windows\system32\GroupPolicy
2009-02-18 09:12 . 2005-08-24 08:38 3,495,808 -ra------ c:\windows\system32\vtdisp.dll
2009-02-18 09:12 . 2005-08-24 08:46 1,875,968 -ra------ c:\windows\system32\vticd.dll
2009-02-18 09:12 . 2005-08-24 08:38 237,312 -ra------ c:\windows\system32\drivers\vtmini.sys
2009-02-18 09:09 . 2009-02-18 09:15 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Macromedia
2009-02-18 09:07 . 2009-02-18 09:10 <DIR> d-------- c:\windows\Downloaded Installations
.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-18 04:29 --------- d-----w c:\arquivos de programas\Kaspersky Lab
2009-02-18 04:27 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information
2009-02-18 04:27 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield
2009-02-18 04:24 --------- d-----w c:\arquivos de programas\VIAudioi
2009-02-18 04:06 --------- d-----w c:\arquivos de programas\VIA
2009-02-18 03:54 --------- d-----w c:\arquivos de programas\Serviços on-line
2009-02-18 03:54 --------- d-----w c:\arquivos de programas\Arquivos comuns\Serviços
2009-02-18 03:52 --------- d-----w c:\arquivos de programas\Windows Media Connect 2
2009-02-17 22:32 --------- d-----w c:\arquivos de programas\DAEMON Tools Lite
2009-02-17 22:30 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-02-17 22:30 --------- d-----w c:\documents and settings\Luan\Dados de aplicativos\DAEMON Tools
2009-02-17 22:23 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Messenger Plus!
2009-02-17 22:19 --------- d-----w c:\arquivos de programas\Messenger Plus! Live
2009-02-17 22:16 --------- dcsh--w c:\arquivos de programas\Arquivos comuns\WindowsLiveInstaller
2009-02-17 22:16 --------- d-----w c:\arquivos de programas\Windows Live
2009-02-17 22:01 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\WLInstaller
2009-02-17 21:55 --------- d-----w c:\arquivos de programas\TaskSwitchXP
2009-02-17 21:53 --------- d-----w c:\arquivos de programas\No-IP
2009-02-15 21:45 106,803 --sh--r C:\qphdin.com
.
------- Sigcheck -------
2008-10-11 01:12 361600 e88631e21a9caca06104802f9e915115 c:\windows\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TaskSwitchXP"="c:\arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 62976]
"RocketDock"="e:\utilidades\RocketDock\RocketDock.exe" [2007-09-02 495616]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-07 c:\windows\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-03-11 c:\windows\system32\VTTrayp.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]
"_nltide_3"="advpack.dll" [2008-06-23 c:\windows\system32\advpack.dll]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"ForceStartMenuLogOff"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /k:C /k:D /k:E *
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VModes]
VModes AttachToDesktop [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
--a------ 2006-09-05 18:28 540672 c:\arquivos de programas\VIAudioi\SBADeck\ADeck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 15:30 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 14:09 486856 c:\arquivos de programas\DAEMON Tools Lite\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 03:32 36352 e:\multmídia\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\login-server.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\char-server.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\map-server.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=
R0 DeepFrz;DeepFrz;c:\windows\system32\drivers\DeepFrz.sys [2007-06-28 131472]
R0 ViBus;ViBus;c:\windows\system32\drivers\ViBus.sys [2009-02-18 16896]
R0 ViPrt;VIA SATA IDE Device Driver;c:\windows\system32\drivers\ViPrt.sys [2009-02-18 52224]
.
- - - - ORFÃOS REMOVIDOS - - - -
Notify-DfLogon - LogonDll.dll
MSConfigStartUp-cdoosoft - c:\windows\system32\olhrwef.exe
.
------- Scan Suplementar -------
.
uStart Page = about:blank
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Rootkit scan 2009-02-21 14:08:28
Windows 5.1.2600 Service Pack 3 NTFS
Procurando processos ocultos ...
Procurando entradas auto inicializáveis ocultas ...
Procurando ficheiros/arquivos ocultos ...
Varredura completada com sucesso
arquivos/ficheiros ocultos: 0
**************************************************************************
.
------------------------ Outros Processos em Execução ------------------------
.
c:\arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
c:\arquivos de programas\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Tempo para conclusão: 2009-02-21 14:09:43 - Máquina reiniciou
ComboFix-quarantined-files.txt 2009-02-21 09:39:40
Pré-execução: 9 pasta(s) 11.958.046.720 bytes disponíveis
Pós execução: 9 pasta(s) 11,951,370,240 bytes disponíveis
170 --- E O F --- 2009-02-21 09:29:55
LOG Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:13:34, on 21/2/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
E:\Utilidades\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [RocketDock] "E:\Utilidades\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O23 - Service: DF5Serv - Faronics Corporation - C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
--
End of file - 2704 bytes
JoKer- Iniciante
- Mensagens : 8
Reputação : 0
Data de inscrição : 18/02/2009
Re: Malware olhrwef.exe não sai!
Vários problemas foram removidos pelo Combofix.
Delete a pasta qoobox que está localizada em C:\, delete também o Log ComboFix.txt também localizado em C:\.
Nota: Se tiver um pen drive, MP3, MP4, ou qualquer tipo de mídia removível, conecte-o(s) ao computador.
Selecione e copie todo este conteúdo abaixo dentro do CÓDIGO (começando da palavra Registry). Cole-o no Bloco de Notas de seu PC e salve-o no desktop como CFScript.txt
Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;
● Não use o mouse nem o teclado quando o ComboFix estiver rodando;
● Quando terminar, será gerado um novo log que estará em C:\ComboFix.txt;
● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.
Na sua próxima resposta, cole o log que estará em C:\ComboFix.txt e nos diga como está o PC depois disto.
Ficamos no aguardo.
Delete a pasta qoobox que está localizada em C:\, delete também o Log ComboFix.txt também localizado em C:\.
Nota: Se tiver um pen drive, MP3, MP4, ou qualquer tipo de mídia removível, conecte-o(s) ao computador.
Selecione e copie todo este conteúdo abaixo dentro do CÓDIGO (começando da palavra Registry). Cole-o no Bloco de Notas de seu PC e salve-o no desktop como CFScript.txt
- Código:
File::
C:\qphdin.com
Folder::
C:\LinhaDefensiva
Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;
● Não use o mouse nem o teclado quando o ComboFix estiver rodando;
● Quando terminar, será gerado um novo log que estará em C:\ComboFix.txt;
● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.
Na sua próxima resposta, cole o log que estará em C:\ComboFix.txt e nos diga como está o PC depois disto.
Ficamos no aguardo.
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Re: Malware olhrwef.exe não sai!
ComboFix 09-02-19.01 - Luan 2009-02-22 12:07:08.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1046.18.959.730 [GMT 4.5:30]
Executando de: D:\ComboFix.exe
Comandos utilizados :: D:\CFScript.txt
* Criado um novo ponto de restauro
ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!
FILE ::
C:\qphdin.com
.
((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\LinhaDefensiva
c:\linhadefensiva\exec\download.exe
c:\linhadefensiva\exec\md5.exe
c:\linhadefensiva\exec\pv.exe
c:\linhadefensiva\exec\unzip.exe
c:\linhadefensiva\Iniciar-BankerFix.vbs
c:\linhadefensiva\lang\init\en.txt
c:\linhadefensiva\lang\init\ptb.txt
c:\linhadefensiva\leiame.txt
c:\linhadefensiva\readme.txt
c:\linhadefensiva\rotinas\update.vbs
c:\linhadefensiva\VERSION
c:\linhadefensiva\webversion.info
C:\qphdin.com
.
(((((((((((((((( Arquivos/Ficheiros criados de 2009-01-22 to 2009-02-22 ))))))))))))))))))))))))))))
.
2009-02-21 23:16 . 2006-10-03 21:35 17,972 --a------ c:\windows\system32\drivers\slnt.sys
2009-02-21 14:08 . 2009-02-21 14:08 <DIR> d-------- c:\windows\system32\xircom
2009-02-21 14:08 . 2009-02-21 14:08 <DIR> d-------- c:\arquivos de programas\microsoft frontpage
2009-02-20 16:30 . 2009-02-22 10:33 1,374 --a------ c:\windows\imsins.BAK
2009-02-19 22:44 . 2009-02-19 22:44 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\Winamp
2009-02-19 21:43 . 2008-08-14 15:04 138,496 --------- c:\windows\system32\dllcache\afd.sys
2009-02-19 21:27 . 2008-09-15 19:56 1,846,528 --------- c:\windows\system32\dllcache\win32k.sys
2009-02-19 21:26 . 2008-08-14 17:54 2,193,408 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,149,376 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,070,272 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,028,032 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-19 21:21 . 2008-10-24 15:51 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys
2009-02-19 21:20 . 2008-12-11 15:27 333,952 --------- c:\windows\system32\dllcache\srv.sys
2009-02-18 23:41 . 2009-02-18 08:22 <DIR> d--h----- c:\documents and settings\Administrador\Modelos
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d-------- c:\documents and settings\Administrador\Meus documentos
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> dr------- c:\documents and settings\Administrador\Menu Iniciar
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d-------- c:\documents and settings\Administrador\Favoritos
2009-02-18 23:41 . 2009-02-18 23:41 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\Malwarebytes
2009-02-18 23:41 . 2009-02-18 23:41 <DIR> dr-h----- c:\documents and settings\Administrador\Dados de aplicativos
2009-02-18 23:41 . 2009-02-22 12:07 <DIR> d--h----- c:\documents and settings\Administrador\Configurações locais
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de rede
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de impressão
2009-02-18 23:41 . 2009-02-19 00:13 <DIR> d-------- c:\documents and settings\Administrador
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\Malwarebytes
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware
2009-02-18 22:59 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-18 22:59 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-18 19:48 . 2008-10-15 21:06 337,408 --------- c:\windows\system32\dllcache\netapi32.dll
2009-02-18 19:48 . 2008-10-03 14:34 247,326 --------- c:\windows\system32\dllcache\strmdll.dll
2009-02-18 19:47 . 2008-09-04 21:46 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll
2009-02-18 19:44 . 2009-02-18 19:44 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\IObit
2009-02-18 19:37 . 2009-02-18 19:37 <DIR> d-------- c:\arquivos de programas\Faronics
2009-02-18 19:37 . 2009-02-18 19:37 16,299,862 --------- C:\$Persi0.sys
2009-02-18 19:36 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-02-18 19:36 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2009-02-18 19:36 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-02-18 09:16 . 2009-02-18 09:16 <DIR> d--h----- c:\windows\system32\GroupPolicy
2009-02-18 09:12 . 2005-08-24 08:38 3,495,808 -ra------ c:\windows\system32\vtdisp.dll
2009-02-18 09:12 . 2005-08-24 08:46 1,875,968 -ra------ c:\windows\system32\vticd.dll
2009-02-18 09:12 . 2005-08-24 08:38 237,312 -ra------ c:\windows\system32\drivers\vtmini.sys
2009-02-18 09:09 . 2009-02-18 09:15 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Macromedia
2009-02-18 09:07 . 2009-02-18 09:10 <DIR> d-------- c:\windows\Downloaded Installations
.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-18 04:29 --------- d-----w c:\arquivos de programas\Kaspersky Lab
2009-02-18 04:27 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information
2009-02-18 04:27 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield
2009-02-18 04:24 --------- d-----w c:\arquivos de programas\VIAudioi
2009-02-18 04:06 --------- d-----w c:\arquivos de programas\VIA
2009-02-18 03:54 --------- d-----w c:\arquivos de programas\Serviços on-line
2009-02-18 03:54 --------- d-----w c:\arquivos de programas\Arquivos comuns\Serviços
2009-02-18 03:52 --------- d-----w c:\arquivos de programas\Windows Media Connect 2
2009-02-17 22:32 --------- d-----w c:\arquivos de programas\DAEMON Tools Lite
2009-02-17 22:30 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-02-17 22:30 --------- d-----w c:\documents and settings\Luan\Dados de aplicativos\DAEMON Tools
2009-02-17 22:23 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Messenger Plus!
2009-02-17 22:19 --------- d-----w c:\arquivos de programas\Messenger Plus! Live
2009-02-17 22:16 --------- dcsh--w c:\arquivos de programas\Arquivos comuns\WindowsLiveInstaller
2009-02-17 22:16 --------- d-----w c:\arquivos de programas\Windows Live
2009-02-17 22:01 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\WLInstaller
2009-02-17 21:55 --------- d-----w c:\arquivos de programas\TaskSwitchXP
2009-02-17 21:53 --------- d-----w c:\arquivos de programas\No-IP
2009-01-16 16:46 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll
2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-20 22:47 826,368 ------w c:\windows\system32\dllcache\wininet.dll
2008-12-20 22:47 671,232 ------w c:\windows\system32\dllcache\mstime.dll
2008-12-20 22:47 477,696 ------w c:\windows\system32\dllcache\mshtmled.dll
2008-12-20 22:47 44,544 ------w c:\windows\system32\dllcache\pngfilt.dll
2008-12-20 22:47 233,472 ------w c:\windows\system32\dllcache\webcheck.dll
2008-12-20 22:47 193,024 ------w c:\windows\system32\dllcache\msrating.dll
2008-12-20 22:47 105,984 ------w c:\windows\system32\dllcache\url.dll
2008-12-20 22:47 102,912 ------w c:\windows\system32\dllcache\occache.dll
2008-12-20 22:47 1,160,192 ------w c:\windows\system32\dllcache\urlmon.dll
2008-12-19 09:14 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe
2008-12-19 09:10 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
2008-12-19 05:25 634,024 ------w c:\windows\system32\dllcache\iexplore.exe
2008-12-19 05:23 161,792 ------w c:\windows\system32\dllcache\ieakui.dll
.
------- Sigcheck -------
2008-10-11 01:12 361600 e88631e21a9caca06104802f9e915115 c:\windows\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TaskSwitchXP"="c:\arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 62976]
"RocketDock"="e:\utilidades\RocketDock\RocketDock.exe" [2007-09-02 495616]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-07 c:\windows\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-03-11 c:\windows\system32\VTTrayp.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]
"_nltide_3"="advpack.dll" [2008-12-21 c:\windows\system32\advpack.dll]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"ForceStartMenuLogOff"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /k:C /k:D /k:E *
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VModes]
VModes AttachToDesktop [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
--a------ 2006-09-05 18:28 540672 c:\arquivos de programas\VIAudioi\SBADeck\ADeck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 15:30 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 14:09 486856 c:\arquivos de programas\DAEMON Tools Lite\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 03:32 36352 e:\multmídia\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\login-server.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\char-server.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\map-server.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=
R0 DeepFrz;DeepFrz;c:\windows\system32\drivers\DeepFrz.sys [2007-06-28 131472]
R0 ViBus;ViBus;c:\windows\system32\drivers\ViBus.sys [2009-02-18 16896]
R0 ViPrt;VIA SATA IDE Device Driver;c:\windows\system32\drivers\ViPrt.sys [2009-02-18 52224]
R3 slnt;Kaiomy KM8139D 10/100Mbps PCI Fast Ethernet Adapter;c:\windows\system32\drivers\slnt.sys [2009-02-21 17972]
.
.
------- Scan Suplementar -------
.
uStart Page = about:blank
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Rootkit scan 2009-02-22 12:07:53
Windows 5.1.2600 Service Pack 3 NTFS
Procurando processos ocultos ...
Procurando entradas auto inicializáveis ocultas ...
Procurando ficheiros/arquivos ocultos ...
Varredura completada com sucesso
arquivos/ficheiros ocultos: 0
**************************************************************************
.
Tempo para conclusão: 2009-02-22 12:08:38
ComboFix-quarantined-files.txt 2009-02-22 07:38:36
Pré-execução: 9 pasta(s) 11.781.263.360 bytes disponíveis
Pós execução: 8 pasta(s) 11,777,523,712 bytes disponíveis
182 --- E O F --- 2009-02-22 06:08:17
[b]Está ai o LOG, acho que está tudo em ordem, valeu mesmo cara, esse foi o melhor fórum suporte que já encontrei, você realmente me ajudou.
Muito obrigado pela atenção e paciência.
Até mais!
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1046.18.959.730 [GMT 4.5:30]
Executando de: D:\ComboFix.exe
Comandos utilizados :: D:\CFScript.txt
* Criado um novo ponto de restauro
ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!
FILE ::
C:\qphdin.com
.
((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\LinhaDefensiva
c:\linhadefensiva\exec\download.exe
c:\linhadefensiva\exec\md5.exe
c:\linhadefensiva\exec\pv.exe
c:\linhadefensiva\exec\unzip.exe
c:\linhadefensiva\Iniciar-BankerFix.vbs
c:\linhadefensiva\lang\init\en.txt
c:\linhadefensiva\lang\init\ptb.txt
c:\linhadefensiva\leiame.txt
c:\linhadefensiva\readme.txt
c:\linhadefensiva\rotinas\update.vbs
c:\linhadefensiva\VERSION
c:\linhadefensiva\webversion.info
C:\qphdin.com
.
(((((((((((((((( Arquivos/Ficheiros criados de 2009-01-22 to 2009-02-22 ))))))))))))))))))))))))))))
.
2009-02-21 23:16 . 2006-10-03 21:35 17,972 --a------ c:\windows\system32\drivers\slnt.sys
2009-02-21 14:08 . 2009-02-21 14:08 <DIR> d-------- c:\windows\system32\xircom
2009-02-21 14:08 . 2009-02-21 14:08 <DIR> d-------- c:\arquivos de programas\microsoft frontpage
2009-02-20 16:30 . 2009-02-22 10:33 1,374 --a------ c:\windows\imsins.BAK
2009-02-19 22:44 . 2009-02-19 22:44 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\Winamp
2009-02-19 21:43 . 2008-08-14 15:04 138,496 --------- c:\windows\system32\dllcache\afd.sys
2009-02-19 21:27 . 2008-09-15 19:56 1,846,528 --------- c:\windows\system32\dllcache\win32k.sys
2009-02-19 21:26 . 2008-08-14 17:54 2,193,408 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,149,376 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,070,272 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-19 21:26 . 2008-08-14 17:54 2,028,032 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-19 21:21 . 2008-10-24 15:51 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys
2009-02-19 21:20 . 2008-12-11 15:27 333,952 --------- c:\windows\system32\dllcache\srv.sys
2009-02-18 23:41 . 2009-02-18 08:22 <DIR> d--h----- c:\documents and settings\Administrador\Modelos
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d-------- c:\documents and settings\Administrador\Meus documentos
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> dr------- c:\documents and settings\Administrador\Menu Iniciar
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d-------- c:\documents and settings\Administrador\Favoritos
2009-02-18 23:41 . 2009-02-18 23:41 <DIR> d-------- c:\documents and settings\Administrador\Dados de aplicativos\Malwarebytes
2009-02-18 23:41 . 2009-02-18 23:41 <DIR> dr-h----- c:\documents and settings\Administrador\Dados de aplicativos
2009-02-18 23:41 . 2009-02-22 12:07 <DIR> d--h----- c:\documents and settings\Administrador\Configurações locais
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de rede
2009-02-18 23:41 . 2009-02-18 05:18 <DIR> d--h----- c:\documents and settings\Administrador\Ambiente de impressão
2009-02-18 23:41 . 2009-02-19 00:13 <DIR> d-------- c:\documents and settings\Administrador
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\Malwarebytes
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes
2009-02-18 22:59 . 2009-02-18 22:59 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware
2009-02-18 22:59 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-18 22:59 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-18 19:48 . 2008-10-15 21:06 337,408 --------- c:\windows\system32\dllcache\netapi32.dll
2009-02-18 19:48 . 2008-10-03 14:34 247,326 --------- c:\windows\system32\dllcache\strmdll.dll
2009-02-18 19:47 . 2008-09-04 21:46 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll
2009-02-18 19:44 . 2009-02-18 19:44 <DIR> d-------- c:\documents and settings\Luan\Dados de aplicativos\IObit
2009-02-18 19:37 . 2009-02-18 19:37 <DIR> d-------- c:\arquivos de programas\Faronics
2009-02-18 19:37 . 2009-02-18 19:37 16,299,862 --------- C:\$Persi0.sys
2009-02-18 19:36 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-02-18 19:36 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2009-02-18 19:36 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-02-18 09:16 . 2009-02-18 09:16 <DIR> d--h----- c:\windows\system32\GroupPolicy
2009-02-18 09:12 . 2005-08-24 08:38 3,495,808 -ra------ c:\windows\system32\vtdisp.dll
2009-02-18 09:12 . 2005-08-24 08:46 1,875,968 -ra------ c:\windows\system32\vticd.dll
2009-02-18 09:12 . 2005-08-24 08:38 237,312 -ra------ c:\windows\system32\drivers\vtmini.sys
2009-02-18 09:09 . 2009-02-18 09:15 <DIR> d-------- c:\arquivos de programas\Arquivos comuns\Macromedia
2009-02-18 09:07 . 2009-02-18 09:10 <DIR> d-------- c:\windows\Downloaded Installations
.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-18 04:29 --------- d-----w c:\arquivos de programas\Kaspersky Lab
2009-02-18 04:27 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information
2009-02-18 04:27 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield
2009-02-18 04:24 --------- d-----w c:\arquivos de programas\VIAudioi
2009-02-18 04:06 --------- d-----w c:\arquivos de programas\VIA
2009-02-18 03:54 --------- d-----w c:\arquivos de programas\Serviços on-line
2009-02-18 03:54 --------- d-----w c:\arquivos de programas\Arquivos comuns\Serviços
2009-02-18 03:52 --------- d-----w c:\arquivos de programas\Windows Media Connect 2
2009-02-17 22:32 --------- d-----w c:\arquivos de programas\DAEMON Tools Lite
2009-02-17 22:30 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-02-17 22:30 --------- d-----w c:\documents and settings\Luan\Dados de aplicativos\DAEMON Tools
2009-02-17 22:23 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Messenger Plus!
2009-02-17 22:19 --------- d-----w c:\arquivos de programas\Messenger Plus! Live
2009-02-17 22:16 --------- dcsh--w c:\arquivos de programas\Arquivos comuns\WindowsLiveInstaller
2009-02-17 22:16 --------- d-----w c:\arquivos de programas\Windows Live
2009-02-17 22:01 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\WLInstaller
2009-02-17 21:55 --------- d-----w c:\arquivos de programas\TaskSwitchXP
2009-02-17 21:53 --------- d-----w c:\arquivos de programas\No-IP
2009-01-16 16:46 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll
2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-20 22:47 826,368 ------w c:\windows\system32\dllcache\wininet.dll
2008-12-20 22:47 671,232 ------w c:\windows\system32\dllcache\mstime.dll
2008-12-20 22:47 477,696 ------w c:\windows\system32\dllcache\mshtmled.dll
2008-12-20 22:47 44,544 ------w c:\windows\system32\dllcache\pngfilt.dll
2008-12-20 22:47 233,472 ------w c:\windows\system32\dllcache\webcheck.dll
2008-12-20 22:47 193,024 ------w c:\windows\system32\dllcache\msrating.dll
2008-12-20 22:47 105,984 ------w c:\windows\system32\dllcache\url.dll
2008-12-20 22:47 102,912 ------w c:\windows\system32\dllcache\occache.dll
2008-12-20 22:47 1,160,192 ------w c:\windows\system32\dllcache\urlmon.dll
2008-12-19 09:14 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe
2008-12-19 09:10 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
2008-12-19 05:25 634,024 ------w c:\windows\system32\dllcache\iexplore.exe
2008-12-19 05:23 161,792 ------w c:\windows\system32\dllcache\ieakui.dll
.
------- Sigcheck -------
2008-10-11 01:12 361600 e88631e21a9caca06104802f9e915115 c:\windows\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TaskSwitchXP"="c:\arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 62976]
"RocketDock"="e:\utilidades\RocketDock\RocketDock.exe" [2007-09-02 495616]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-07 c:\windows\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-03-11 c:\windows\system32\VTTrayp.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]
"_nltide_3"="advpack.dll" [2008-12-21 c:\windows\system32\advpack.dll]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"ForceStartMenuLogOff"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /k:C /k:D /k:E *
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VModes]
VModes AttachToDesktop [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
--a------ 2006-09-05 18:28 540672 c:\arquivos de programas\VIAudioi\SBADeck\ADeck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 15:30 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 14:09 486856 c:\arquivos de programas\DAEMON Tools Lite\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 03:32 36352 e:\multmídia\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\login-server.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\char-server.exe"=
"d:\\DarkBro\\DarkBRO Cronus\\map-server.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=
R0 DeepFrz;DeepFrz;c:\windows\system32\drivers\DeepFrz.sys [2007-06-28 131472]
R0 ViBus;ViBus;c:\windows\system32\drivers\ViBus.sys [2009-02-18 16896]
R0 ViPrt;VIA SATA IDE Device Driver;c:\windows\system32\drivers\ViPrt.sys [2009-02-18 52224]
R3 slnt;Kaiomy KM8139D 10/100Mbps PCI Fast Ethernet Adapter;c:\windows\system32\drivers\slnt.sys [2009-02-21 17972]
.
.
------- Scan Suplementar -------
.
uStart Page = about:blank
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Rootkit scan 2009-02-22 12:07:53
Windows 5.1.2600 Service Pack 3 NTFS
Procurando processos ocultos ...
Procurando entradas auto inicializáveis ocultas ...
Procurando ficheiros/arquivos ocultos ...
Varredura completada com sucesso
arquivos/ficheiros ocultos: 0
**************************************************************************
.
Tempo para conclusão: 2009-02-22 12:08:38
ComboFix-quarantined-files.txt 2009-02-22 07:38:36
Pré-execução: 9 pasta(s) 11.781.263.360 bytes disponíveis
Pós execução: 8 pasta(s) 11,777,523,712 bytes disponíveis
182 --- E O F --- 2009-02-22 06:08:17
[b]Está ai o LOG, acho que está tudo em ordem, valeu mesmo cara, esse foi o melhor fórum suporte que já encontrei, você realmente me ajudou.
Muito obrigado pela atenção e paciência.
Até mais!
JoKer- Iniciante
- Mensagens : 8
Reputação : 0
Data de inscrição : 18/02/2009
Re: Malware olhrwef.exe não sai!
Ficamos felizes que o nosso suporte está sendo útil.valeu mesmo cara, esse foi o melhor fórum suporte que já encontrei, você realmente me ajudou.
Muito obrigado pela atenção e paciência.
Vá no menu: Iniciar - Executar - digite (ou copie e cole este comando abaixo) para desinstalar o Combofix:
combofix /u
Tecle Enter.
__________________________________________________________________________________________
Siga, por gentileza, as dicas deste tutorial para fazer um escaneamento de seu PC pelo Nod32 Online:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Após o término do escaneamento será gerado um relatório (log) que estará no seguinte local do seu computador:
C:\Arquivos de programas\EsetOnlineScanner\log
Na sua próxima resposta poste este log do Nod32 Online juntamente com um novo log do Hijackthis e nos diga, por gentileza, como está o seu PC após seguir este procedimento.
Ficamos no aguardo de sua resposta.
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Desculpe a demora
Log NOD32
Detalhe: Ele não excluiu oque encontrou!
# version=4
# OnlineScanner.ocx=1.0.0.635
# OnlineScannerDLLA.dll=1, 0, 0, 79
# OnlineScannerDLLW.dll=1, 0, 0, 78
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3881 (20090223)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.066 (20070917)
# EOSSerial=8734bb5259bd894d80131f5ba7afe398
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2009-02-24 11:32:47
# local_time=2009-02-24 04:02:47 (+0430, Hora padrão do Afeganistão)
# country="Brazil"
# osver=5.1.2600 NT Service Pack 3
# scanned=430755
# found=10
# scan_time=2668
C:\Qoobox\Quarantine\C\qphdin.com.vir Win32/PSW.OnLineGames.NMY trojan (unable to clean - deleted) 00000000000000000000000000000000
D:\qphdin.com Win32/PSW.OnLineGames.NMY trojan (unable to clean - deleted) 00000000000000000000000000000000
D:\ur0.com Win32/PSW.OnLineGames.NMY trojan (unable to clean - deleted) 00000000000000000000000000000000
D:\Minhas músicas\Heavy Metal\snake in grass annihilator.mp3 a variant of WMA/TrojanDownloader.GetCodec.gen trojan (cleaned) 35D893695B25546AEB775C079283A471
D:\Não Usados\Programas\GameMenu.rar Win32/Drowor.NAB virus (deleted) 00000000000000000000000000000000
D:\Não Usados\Programas\GameMenu.rar »RAR »GameMenu\br\f.exe Win32/Drowor.NAB virus (error while cleaning - operation unavailable for this type of object - error while deleting - operation unavailable for this type of object - was a part of the deleted object) 00000000000000000000000000000000
D:\Não Usados\Programas\GameMenu.rar »RAR »GameMenu\cn\f.exe Win32/Drowor.NAB virus (error while cleaning - operation unavailable for this type of object - error while deleting - operation unavailable for this type of object - was a part of the deleted object) 00000000000000000000000000000000
E:\qphdin.com Win32/PSW.OnLineGames.NMY trojan (unable to clean - deleted) 00000000000000000000000000000000
E:\ur0.com Win32/PSW.OnLineGames.NMY trojan (unable to clean - deleted) 00000000000000000000000000000000
E:\Game Menu\f.exe Win32/Drowor.NAB virus (unable to clean - deleted) 00000000000000000000000000000000
LOG Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:09:39, on 24/2/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Stardock\ObjectDock\ObjectDock.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Não Usados\Programas\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Arquivos de programas\Stardock\ObjectDock\ObjectDock.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O23 - Service: DF5Serv - Faronics Corporation - C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
--
End of file - 2957 bytes
Detalhe: Ele não excluiu oque encontrou!
# version=4
# OnlineScanner.ocx=1.0.0.635
# OnlineScannerDLLA.dll=1, 0, 0, 79
# OnlineScannerDLLW.dll=1, 0, 0, 78
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3881 (20090223)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.066 (20070917)
# EOSSerial=8734bb5259bd894d80131f5ba7afe398
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2009-02-24 11:32:47
# local_time=2009-02-24 04:02:47 (+0430, Hora padrão do Afeganistão)
# country="Brazil"
# osver=5.1.2600 NT Service Pack 3
# scanned=430755
# found=10
# scan_time=2668
C:\Qoobox\Quarantine\C\qphdin.com.vir Win32/PSW.OnLineGames.NMY trojan (unable to clean - deleted) 00000000000000000000000000000000
D:\qphdin.com Win32/PSW.OnLineGames.NMY trojan (unable to clean - deleted) 00000000000000000000000000000000
D:\ur0.com Win32/PSW.OnLineGames.NMY trojan (unable to clean - deleted) 00000000000000000000000000000000
D:\Minhas músicas\Heavy Metal\snake in grass annihilator.mp3 a variant of WMA/TrojanDownloader.GetCodec.gen trojan (cleaned) 35D893695B25546AEB775C079283A471
D:\Não Usados\Programas\GameMenu.rar Win32/Drowor.NAB virus (deleted) 00000000000000000000000000000000
D:\Não Usados\Programas\GameMenu.rar »RAR »GameMenu\br\f.exe Win32/Drowor.NAB virus (error while cleaning - operation unavailable for this type of object - error while deleting - operation unavailable for this type of object - was a part of the deleted object) 00000000000000000000000000000000
D:\Não Usados\Programas\GameMenu.rar »RAR »GameMenu\cn\f.exe Win32/Drowor.NAB virus (error while cleaning - operation unavailable for this type of object - error while deleting - operation unavailable for this type of object - was a part of the deleted object) 00000000000000000000000000000000
E:\qphdin.com Win32/PSW.OnLineGames.NMY trojan (unable to clean - deleted) 00000000000000000000000000000000
E:\ur0.com Win32/PSW.OnLineGames.NMY trojan (unable to clean - deleted) 00000000000000000000000000000000
E:\Game Menu\f.exe Win32/Drowor.NAB virus (unable to clean - deleted) 00000000000000000000000000000000
LOG Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:09:39, on 24/2/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Stardock\ObjectDock\ObjectDock.exe
C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Não Usados\Programas\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Arquivos de programas\Stardock\ObjectDock\ObjectDock.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O23 - Service: DF5Serv - Faronics Corporation - C:\Arquivos de programas\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
--
End of file - 2957 bytes
JoKer- Iniciante
- Mensagens : 8
Reputação : 0
Data de inscrição : 18/02/2009
Re: Malware olhrwef.exe não sai!
* Exclua o relatório do Avenger que está em C:\avenger.txt
*Selecione e copie (Ctrl+C) todo o código dentro do CÓDIGO (caixa branca) abaixo:
*Execute o programa Avenger
*Clique em [Load Script] > [Paste from Clipboard]
*Clique em [Execute] > [OK]
*O PC será reiniciado
*Cole o novo relatório criado em C:\avenger.txt em sua próxima resposta e nos diga como está o PC depois disto.
*Selecione e copie (Ctrl+C) todo o código dentro do CÓDIGO (caixa branca) abaixo:
- Código:
Files to delete:
D:\qphdin.com
D:\ur0.com
D:\Minhas músicas\Heavy Metal\snake in grass annihilator.mp3
D:\Não Usados\Programas\GameMenu.rar
E:\qphdin.com
E:\ur0.com
E:\Game Menu\f.exe
Folders to delete:
C:\Qoobox
*Execute o programa Avenger
*Clique em [Load Script] > [Paste from Clipboard]
*Clique em [Execute] > [OK]
*O PC será reiniciado
*Cole o novo relatório criado em C:\avenger.txt em sua próxima resposta e nos diga como está o PC depois disto.
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Não Encontrou!!
Logfile of The Avenger Version 2.0, (c) by Swandog46
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "D:\qphdin.com" not found!
Deletion of file "D:\qphdin.com" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "D:\ur0.com" not found!
Deletion of file "D:\ur0.com" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "D:\Minhas músicas\Heavy Metal\snake in grass annihilator.mp3" not found!
Deletion of file "D:\Minhas músicas\Heavy Metal\snake in grass annihilator.mp3" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "E:\qphdin.com" not found!
Deletion of file "E:\qphdin.com" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "E:\ur0.com" not found!
Deletion of file "E:\ur0.com" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Folder "C:\Qoobox" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "D:\qphdin.com" not found!
Deletion of file "D:\qphdin.com" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "D:\ur0.com" not found!
Deletion of file "D:\ur0.com" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "D:\Minhas músicas\Heavy Metal\snake in grass annihilator.mp3" not found!
Deletion of file "D:\Minhas músicas\Heavy Metal\snake in grass annihilator.mp3" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "E:\qphdin.com" not found!
Deletion of file "E:\qphdin.com" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "E:\ur0.com" not found!
Deletion of file "E:\ur0.com" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Folder "C:\Qoobox" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
JoKer- Iniciante
- Mensagens : 8
Reputação : 0
Data de inscrição : 18/02/2009
Re: Malware olhrwef.exe não sai!
Certamente o Avenger não encontrou os arquivos porque eles já foram excluidos pelo Nod32 Online.Não Encontrou!!
_________________________
Faça o seguinte, por gentileza:
Siga, por gentileza as dicas deste tutorial para fazer uma limpeza de seu PC com o Spyware Doctor:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Na sua próxima resposta poste este log do Spyware Doctor juntamente com um novo log do Hijackthis e nos diga como está o seu Pc depois disto.
Ficamos no aguardo.
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Re: Malware olhrwef.exe não sai!
Tópico arquivado.
Como o autor não respondeu ao tópico por mais de 20 dias, o mesmo foi arquivado.
Caso você seja o autor do tópico e quer que o mesmo seja reaberto, envie uma mensagem privada para um membro da [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] com um link para este tópico e justifique porque você precisa dele reaberto.
Como o autor não respondeu ao tópico por mais de 20 dias, o mesmo foi arquivado.
Caso você seja o autor do tópico e quer que o mesmo seja reaberto, envie uma mensagem privada para um membro da [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] com um link para este tópico e justifique porque você precisa dele reaberto.
Tópicos semelhantes
» malware-gen
» Por favor, o que fazer quando o mouse esta desaparecendo?
» Remoção de Malware
» Problema com o alerta de Malware do avast!
» Malware Maldito rs..
» Por favor, o que fazer quando o mouse esta desaparecendo?
» Remoção de Malware
» Problema com o alerta de Malware do avast!
» Malware Maldito rs..
Página 1 de 1
Permissões neste sub-fórum
Não podes responder a tópicos
|
|