Chaves bloqueadas - Java plugi-ns

Boa  tarde !


Conforme MP .  Achei  intrigante estas  subchaves .  HKEY_USERS\S-1-5-21-1783420540-2071620594-760296276-1000_Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}]

Combofix pegou centenas de chaves bloqueadas do java - plug-ins .

As mesmas não existem nos pc´s de outros usuários do java . Interessante não ? Outro detalhe ; as subchaves são ocultas pelo/no sistema/editor de registro !  Dê seu  repúdio !

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Log do  combofix :

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Removi  todas as  subchaves bloqueadas do log no link .

Abraços

/!\ Bom Dia! Textech /!\

> No momento,encontro-me impossibilitado de lhe conceder larga assistência ou atenção.
> Devido ao exposto,recomendo a pesquisa por alguma versão Java,que seja imprópria à sua máquina ou de antigas versões que ficaram no Registro.

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Descompacte-o ao desktop!
> Execute: JavaRa.exe >> Clique em "Search For Updates". 
> Selecione a opção "Update Using jucheck.exe" >> Clique no botão "Search".
> Se estiver atualizado,receberá um aviso confirmando a última versão. Caso contrário,aguarde a nova versão do Java ser baixada e instalada. 
> Clique no botão "Remove Older Versions" << Aguarde!
> Maiores informações: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] ou [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Agora,vá ao Painel de controle e clique direito no ícone do java.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Clique em "Abrir".

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Abra a guia "Avançado" >> Painel de Controle Java.
> Nas Definições,expanda "Java Default para browsers" e escolha "Microsoft Internet Explorer".
> Clique em "Aplicar" >> OK.
> Reinicie o computador e abra o Internet Explorer,já integrado ao Java.
> Acesse o Banco por ele,já que este navegador é aceito pela maioria das Instituições financeiras. 
> Caso queira,pode integrá-lo à Família Mozilla.

Abs!

Bom dia !  joram

Então toda vez que acessar o IB ; vai constar chave do java plug-in bloqueada no log do combofix ?  Pergunto ; embora vou confirmar rodando o combofix após usar o banco na web .

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Versão 8 up 40 já algum tempo aqui .


Por enquanto não !    Apenas consta a chave de todas as subchaves bloqueadas cfe. no log do link acima ;  até o  fim do  caminho <<  CLSID;  sendo  a  HKEY_USERS\S-1-5-21-1783420540-2071620594-760296276-1000_Classes\CLSID
; que já  vai  para o lixo  também ; pois tem um valor o   @DACL=(02 0000) .  Que é o mesmo  de todas as subchaves aqui mencionadas e oculto no regedit !

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

ComboFix 15-03-14.03 - EDSON 22/03/2015  10:55:25.1.2 - x86 MINIMAL
Microsoft Windows 7 Home Basic   6.1.7601.1.1252.55.1046.18.1981.1325 [GMT -3]
Executando de: c:\users\EDSON\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Enabled/Updated* {B7ECF8CD-0188-6703-DBA4-AA65C6ACFB0A}
SP: Microsoft Security Essentials *Enabled/Updated* {0C8D1929-27B2-688D-E114-9117BD2BB1B7}
* Criado um novo ponto de restauração
.
ADS - drivers: deleted 208 bytes in 1 streams.
.
((((((((((((((((   Arquivos/Ficheiros criados de 2015-02-22 to 2015-03-22  ))))))))))))))))))))))))))))
.
.
2015-03-22 13:59 . 2015-03-22 13:59 -------- d-----w- c:\users\Public\AppData\Local\temp
2015-03-22 13:59 . 2015-03-22 13:59 -------- d-----w- c:\users\Default\AppData\Local\temp
2015-03-22 12:42 . 2015-01-29 03:49 9041640 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{6DE185F7-AB52-4902-BC69-EE8201FFCE12}\mpengine.dll
2015-03-21 20:38 . 2015-01-29 03:49 9041640 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2015-03-21 14:59 . 2015-03-21 14:59 -------- d-----w- C:\GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}
2015-03-20 23:35 . 2015-03-20 23:37 -------- d-----w- c:\program files\Opera developer
2015-03-20 15:19 . 2015-03-21 02:41 -------- d-----w- c:\program files\Firefox Developer Edition
2015-03-20 00:08 . 2015-03-20 00:08 -------- d-----w- c:\windows\CheckSur
2015-03-18 20:54 . 2015-03-18 20:54 -------- d-----w- c:\users\EDSON\AppData\Local\Macromedia
2015-03-18 18:33 . 2015-03-20 23:36 -------- d-----w- c:\users\EDSON\AppData\Local\Opera Software
2015-03-18 18:33 . 2015-03-20 23:36 -------- d-----w- c:\users\EDSON\AppData\Roaming\Opera Software
2015-03-18 18:32 . 2015-03-18 18:35 -------- d-----w- c:\program files\Opera
2015-03-18 12:41 . 2015-03-18 17:53 -------- d-----w- c:\users\EDSON\AppData\Local\Google
2015-03-14 17:23 . 2015-03-19 22:40 -------- d-----w- c:\users\EDSON\AppData\Roaming\Runscanner.net
2015-03-12 23:39 . 2015-03-13 13:50 -------- d-----w- c:\program files\Intel
2015-03-12 20:11 . 2015-03-12 20:11 -------- d-----w- c:\users\EDSON\AppData\Local\Intel
2015-03-10 22:37 . 2015-03-10 22:37 13368 ----a-w- c:\windows\system32\drivers\SWDUMon.sys
2015-03-10 19:58 . 2015-02-20 02:06 64000 ----a-w- c:\windows\system32\MshtmlDac.dll
2015-03-10 19:57 . 2015-02-04 02:54 417792 ----a-w- c:\windows\system32\WMPhoto.dll
2015-03-09 20:56 . 2015-03-18 21:26 778928 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2015-03-09 20:56 . 2015-03-18 21:26 142512 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2015-02-27 14:04 . 2015-02-27 14:04 -------- d-----w- c:\windows\system32\Macromed
2015-02-25 13:52 . 2015-03-22 13:51 -------- d-----w- c:\windows\system32\wbem\repository
2015-02-21 19:42 . 2015-02-18 22:15 908840 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2015-02-21 19:42 . 2015-02-18 22:15 908840 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{B7BD42A4-209E-4383-9FFE-C3A1B8E1705E}\gapaengine.dll
2015-02-21 17:31 . 2015-02-21 18:26 -------- d-----w- c:\users\EDSON\AppData\Local\Microsoft Games
.
.
.
(((((((((((((((((((((((((((((((((((((   Relatório Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2015-03-08 12:11 . 2014-10-14 19:32 96680 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2015-02-24 21:38 . 2014-10-21 14:40 290304 ----a-w- c:\windows\system32\subinacl.exe
2015-02-24 07:23 . 2014-10-14 18:45 246920 ------w- c:\windows\system32\MpSigStub.exe
2015-02-16 15:30 . 2014-11-16 19:41 35064 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2015-02-12 13:00 . 2015-02-12 13:00 208856 ----a-w- c:\windows\system32\drivers\RapportKELL.sys
2015-02-09 16:32 . 2015-02-12 23:31 46552 ----a-w- c:\windows\system32\drivers\GbpKm.sys
2015-01-29 09:49 . 2015-02-17 10:55 9041640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{83BE9846-6943-41A0-8A93-9332376C3CC6}\mpengine.dll
2015-01-20 17:31 . 2015-01-20 17:31 56680 ----a-w- c:\windows\system32\drivers\ksapi64.sys
2015-01-20 17:31 . 2015-01-20 17:31 81768 ----a-w- c:\windows\system32\drivers\ksapi.sys
2015-01-15 07:43 . 2015-02-11 11:45 15872 ----a-w- c:\windows\system32\sspisrv(500).dll
2015-01-15 07:43 . 2015-02-11 11:45 100352 ----a-w- c:\windows\system32\sspicli(499).dll
2015-01-15 07:42 . 2015-02-11 11:45 22016 ----a-w- c:\windows\system32\secur32(476).dll
2015-01-15 07:42 . 2015-02-11 11:45 1061376 ----a-w- c:\windows\system32\lsasrv(399).dll
2015-01-15 07:42 . 2015-02-11 11:45 22528 ----a-w- c:\windows\system32\lsass(400).exe
2015-01-13 02:49 . 2015-02-11 11:43 1230336 ----a-w- c:\windows\system32\WindowsCodecs(551).dll
2015-01-12 02:02 . 2015-02-11 11:43 2277888 ----a-w- c:\windows\system32\iertutil(385).dll
2015-01-12 01:14 . 2015-02-11 11:43 12829184 ----a-w- c:\windows\system32\ieframe(384).dll
2015-01-12 01:00 . 2015-02-11 11:43 1888256 ----a-w- c:\windows\system32\wininet(553).dll
2015-01-12 00:56 . 2015-02-11 11:43 1307136 ----a-w- c:\windows\system32\urlmon(516).dll
2015-01-10 06:27 . 2015-02-11 11:44 172032 ----a-w- c:\windows\system32\wdigest(541).dll
2015-01-10 06:27 . 2015-02-11 11:44 65536 ----a-w- c:\windows\system32\TSpkg(510).dll
2015-01-10 06:27 . 2015-02-11 11:44 248832 ----a-w- c:\windows\system32\schannel(472).dll
2015-01-10 06:27 . 2015-02-11 11:44 221184 ----a-w- c:\windows\system32\ncrypt(419).dll
2015-01-10 06:27 . 2015-02-11 11:44 259584 ----a-w- c:\windows\system32\msv1_0(411).dll
2015-01-10 06:27 . 2015-02-11 11:44 550912 ----a-w- c:\windows\system32\kerberos(391).dll
2015-01-10 06:27 . 2015-02-11 11:44 17408 ----a-w- c:\windows\system32\credssp(342).dll
2015-01-09 02:48 . 2015-02-11 11:47 76800 ----a-w- c:\windows\system32\wdi.dll
2015-01-09 02:48 . 2015-02-11 11:47 76800 ----a-w- c:\windows\system32\wdi(540).dll
2015-01-09 02:48 . 2015-02-11 11:47 635904 ----a-w- c:\windows\system32\perftrack.dll
2015-01-09 02:48 . 2015-02-11 11:47 27136 ----a-w- c:\windows\system32\powertracker.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2011-02-26 . 0FB9C74046656D1579A64660AD67B746 . 2616320 . . [6.1.7601.21669] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_54149f9ef14031fc\explorer.exe
[-] 2011-02-25 . 2A780FF484E7533F35F285BB74A9C2EE . 2788864 . . [6.1.7600.16385] . . c:\windows\explorer.exe
[7] 2011-02-25 . 8B88EBBB05A0E56B7DCC708498C02B3E . 2616320 . . [6.1.7601.17567] . . c:\windows\UXBackup\explorer.exe
[7] 2011-02-25 . 8B88EBBB05A0E56B7DCC708498C02B3E . 2616320 . . [6.1.7601.17567] . . c:\windows\erdnt\cache\explorer.exe
[7] 2011-02-25 . 8B88EBBB05A0E56B7DCC708498C02B3E . 2616320 . . [6.1.7601.17567] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_5389023fd8245f84\explorer.exe
[7] 2010-11-20 . 40D777B7A95E00593EB1568C68514493 . 2616320 . . [6.1.7601.17514] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_53bc10fdd7fe87ca\explorer.exe
.
((((((((((((((((((((((((((   Pontos de Carregamento do Registro   )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por padrão não são apresentadas.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadwin PrintScreen Pro (32-bit)"="c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe" [2014-10-14 12553384]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UX Launcher"="c:\program files\UX Pack\uxlaunch.exe" [2014-07-22 203979]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"DelayedDesktopSwitchTimeout"= 5 (0x5)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
2015-03-10 13:37 1864576 ----a-w- c:\program files\GbPlugin\gbieh.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Speed Launcher]
1424136934 [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2014-11-20 18:13 1021128 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadwin PrintScreen Pro (32-bit)]
2014-10-14 08:12 12553384 ----a-w- c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSC]
2015-01-30 03:53 978520 ----a-w- c:\program files\Microsoft Security Client\msseces.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2015-02-11 01:26 335232 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
R0 RapportKELL;RapportKELL;c:\windows\System32\Drivers\RapportKELL.sys [2015-02-12 208856]
R1 kmlljkfc;kmlljkfc;c:\windows\system32\drivers\kmlljkfc.sys [x]
R1 ndisrd;GAS Tecnologia Filter Driver;c:\windows\system32\DRIVERS\gbpndisrdn.sys [2014-10-14 29400]
R1 RapportCerberus_80128;RapportCerberus_80128;c:\programdata\Trusteer\Rapport\store\exts\RapportCerberus\baseline\RapportCerberus32_80128.sys [2015-02-24 472152]
R1 RapportEI;RapportEI;c:\program files\Trusteer\Rapport\bin\RapportEI.sys [2015-02-12 251640]
R1 RapportPG;RapportPG;c:\program files\Trusteer\Rapport\bin\RapportPG.sys [2015-02-12 332696]
R2 GbpSv;Gbp Service;c:\progra~1\GbPlugin\GbpSv.exe [2015-01-20 565560]
R2 MetroServ;WinMetro Service;c:\program files\IObit\WinMetro\MetroSvc.exe [2013-01-25 314176]
R2 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2014-11-15 95408]
R2 RapportMgmtService;Rapport Management Service;c:\program files\Trusteer\Rapport\bin\RapportMgmtService.exe [2015-02-12 1919256]
R2 uxpatch;uxpatch;c:\windows\system32\drivers\uxpatch.sys [2009-07-13 25448]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2015-02-20 102912]
R3 NisSrv;Inspeção de Rede da Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [2015-01-30 284472]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 14848]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2000-01-01 716504]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2013-10-02 49152]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-20 27264]
S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [2015-02-09 46552]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ   SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc SensrSvc
.
Conteúdo da pasta 'Tarefas Agendadas'
.
2015-03-21 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2015-03-09 21:26]
.
.
------- Scan Suplementar -------
.
uStart Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
mStart Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
mSearch Bar = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Trusted Zone: bancobrasil.com.br\www
Trusted Zone: bancobrasil.com.br\www14
Trusted Zone: bancobrasil.com.br\www2
Trusted Zone: bb.com.br\seg
Trusted Zone: bb.com.br\www
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\EDSON\AppData\Roaming\Mozilla\Firefox\Profiles\v8df52b4.dev-edition-default\
FF - prefs.js: browser.startup.homepage - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
.
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
.
[HKEY_USERS\S-1-5-21-1783420540-2071620594-760296276-1000_Classes\CLSID]
@DACL=(02 0000)
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------
.
- - - - - - - > 'Explorer.exe'(1308)
c:\windows\system32\ieframe.dll
c:\windows\System32\hgcpl.dll
.
Tempo para conclusão: 2015-03-22  11:00:29
ComboFix-quarantined-files.txt  2015-03-22 14:00
.
Pré-execução: 482.318.368.768 bytes disponíveis
Pós execução: 482.197.929.984 bytes disponíveis
.
- - End Of File - - 5283AFC6D91D8422DD6EE2DC432566BA
A36C5E4F47E84449FF07ED3517B43A31

Abraços

/!\ Bom Dia! Textech /!\

> Utilizou o JavaRa?

---
---
R1 kmlljkfc;kmlljkfc;c:\windows\system32\drivers\kmlljkfc.sys [x]
---
---
> Não encontrei referências à este driver,mas pode ser referente à instalações do Kaspersky.


A+

Boa  tarde e bom domingo  !  joram

Meu java está atualizado .  Por isto não executei .  E um outro detalhe . Se eu remover manualmente; até  pelo revo uninstall o java atual ; mesmo que para ter um motivo para tanto e reinstalar;  quebra se leia bloqueia a minha senha do IB do bco. do Brasil .  Já aconteçeu isto aqui .  Aí tem que ir pessoalmente no interior da agência para criar outra senha .  Nem no caixa eletrônico  cria se outra senha ; nestas circunstância . Outras  sim .

Tem que aguardar mesmo  quando estiver disponivel  a nova versão do java no site . Usar o aplicativo direto do site java para atualizar e removendo as antigas .

Já  o kmlljkfc.sys  é do malware defender !


Abraços

/!\ Olá! Textech /!\

> Então está tudo ok?
> Provavelmente,novas versões do Java não terão chaves bloqueadas...é aguardar!

Abs!

Boa noite !

Creio que sim . Achei randômico o combofix pegar estas subchaves do  java e a principal ( HKEY_USERS\S-1-5-21-1783420540-2071620594-760296276-1000_Classes\CLSID ) como  rootkits !

Foi só remover as chaves do java  e   (  meu  8º  post no tópico abaixo )  :

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]


Warsawe e o/junto com C ++ 2013 Redistributable (x86) .

Programas indesejados . Adwares !

Editando 2 :

Na falta destes dois arquivos mencionados acima ; agora / toda vez ao acessar o internet banking do BB ; o software de dispositivo de segurança da gas tecnologia ; automáticamente instala - os no sistema e mesmo não tendo o dispositivo de segurança  (  já tinha removido o  mesmo ; antes de tudo  isto ); e mesmo tendo o IBM Security Trusteer Rapport .

Façamos o seguinte então . E dá  certo .   Removemos o dispositivo GBBD e o C ++ ; remanescendo o warsawe .


Já ao  log do combofix ; após dias e após acessar o IB do  BB ; sem  chaves bloqueadas do java :

ComboFix 15-03-29.01 - EDSON 30/03/2015  10:47:35.1.2 - x86 MINIMAL
Microsoft Windows 7 Home Basic   6.1.7601.1.1252.55.1046.18.1981.1274 [GMT -3]
Executando de: c:\users\EDSON\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Enabled/Updated* {B7ECF8CD-0188-6703-DBA4-AA65C6ACFB0A}
SP: Microsoft Security Essentials *Enabled/Updated* {0C8D1929-27B2-688D-E114-9117BD2BB1B7}
* Criado um novo ponto de restauração
.
ADS - drivers: deleted 208 bytes in 1 streams.
.
((((((((((((((((   Arquivos/Ficheiros criados de 2015-02-28 to 2015-03-30  ))))))))))))))))))))))))))))
.
.
2015-03-30 13:50 . 2015-03-30 13:50 -------- d-----w- c:\users\Public\AppData\Local\temp
2015-03-30 13:50 . 2015-03-30 13:50 -------- d-----w- c:\users\Default\AppData\Local\temp
2015-03-30 13:00 . 2015-03-30 13:27 -------- d-----w- c:\program files\Firefox Developer Edition
2015-03-29 14:37 . 2015-03-14 10:06 9119072 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{0688EE57-B6FE-42B0-B6A0-717EBF33BD36}\mpengine.dll
2015-03-29 13:16 . 2015-03-14 10:06 9119072 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2015-03-28 15:07 . 2015-03-28 15:07 -------- d-s---w- c:\windows\system32\GWX
2015-03-26 20:11 . 2015-03-26 20:11 -------- d-----w- c:\program files\Microsoft Silverlight
2015-03-26 00:27 . 2015-03-26 00:26 908832 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{6D235DAD-2A5B-4B8A-8769-7962E42FD288}\gapaengine.dll
2015-03-26 00:06 . 2015-02-13 18:47 30520 ----a-w- c:\windows\system32\WinDivert.dll
2015-03-26 00:06 . 2015-03-26 00:06 -------- d--h--w- c:\program files\GAS Tecnologia
2015-03-26 00:06 . 2015-03-26 00:06 -------- d-----w- c:\program files\Diebold
2015-03-26 00:06 . 2015-02-13 18:47 30936 ----a-w- c:\windows\system32\WinDivert32.sys
2015-03-24 18:40 . 2015-03-24 22:33 -------- d-----w- c:\users\EDSON\Docs. atuais proc. perícia material
2015-03-21 14:59 . 2015-03-21 14:59 -------- d-----w- C:\GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}
2015-03-20 23:35 . 2015-03-24 15:35 -------- d-----w- c:\program files\Opera developer
2015-03-20 00:08 . 2015-03-20 00:08 -------- d-----w- c:\windows\CheckSur
2015-03-18 20:54 . 2015-03-18 20:54 -------- d-----w- c:\users\EDSON\AppData\Local\Macromedia
2015-03-18 18:33 . 2015-03-20 23:36 -------- d-----w- c:\users\EDSON\AppData\Local\Opera Software
2015-03-18 18:33 . 2015-03-20 23:36 -------- d-----w- c:\users\EDSON\AppData\Roaming\Opera Software
2015-03-18 18:32 . 2015-03-18 18:35 -------- d-----w- c:\program files\Opera
2015-03-18 12:41 . 2015-03-18 17:53 -------- d-----w- c:\users\EDSON\AppData\Local\Google
2015-03-14 17:23 . 2015-03-19 22:40 -------- d-----w- c:\users\EDSON\AppData\Roaming\Runscanner.net
2015-03-12 23:39 . 2015-03-13 13:50 -------- d-----w- c:\program files\Intel
2015-03-12 20:11 . 2015-03-12 20:11 -------- d-----w- c:\users\EDSON\AppData\Local\Intel
2015-03-10 22:37 . 2015-03-10 22:37 13368 ----a-w- c:\windows\system32\drivers\SWDUMon.sys
2015-03-10 19:58 . 2015-02-20 02:06 64000 ----a-w- c:\windows\system32\MshtmlDac.dll
2015-03-10 19:57 . 2015-02-04 02:54 417792 ----a-w- c:\windows\system32\WMPhoto.dll
2015-03-09 20:56 . 2015-03-18 21:26 778928 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2015-03-09 20:56 . 2015-03-18 21:26 142512 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
.
(((((((((((((((((((((((((((((((((((((   Relatório Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2015-03-24 15:41 . 2014-11-16 19:41 35064 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2015-03-08 12:11 . 2014-10-14 19:32 96680 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2015-02-24 21:38 . 2014-10-21 14:40 290304 ----a-w- c:\windows\system32\subinacl.exe
2015-02-24 07:23 . 2014-10-14 18:45 246920 ------w- c:\windows\system32\MpSigStub.exe
2015-02-18 22:15 . 2015-02-21 19:42 908840 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2015-02-13 18:50 . 2015-03-23 15:51 1856 ----a-w- c:\windows\Fonts\Warsaw Bold.ttf
2015-02-12 13:00 . 2015-02-12 13:00 208856 ----a-w- c:\windows\system32\drivers\RapportKELL.sys
2015-02-09 16:32 . 2015-02-12 23:31 46552 ----a-w- c:\windows\system32\drivers\GbpKm.sys
2015-01-29 09:49 . 2015-02-17 10:55 9041640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{83BE9846-6943-41A0-8A93-9332376C3CC6}\mpengine.dll
2015-01-20 17:31 . 2015-01-20 17:31 56680 ----a-w- c:\windows\system32\drivers\ksapi64.sys
2015-01-20 17:31 . 2015-01-20 17:31 81768 ----a-w- c:\windows\system32\drivers\ksapi.sys
2015-01-15 07:43 . 2015-02-11 11:45 15872 ----a-w- c:\windows\system32\sspisrv(500).dll
2015-01-15 07:43 . 2015-02-11 11:45 100352 ----a-w- c:\windows\system32\sspicli(499).dll
2015-01-15 07:42 . 2015-02-11 11:45 22016 ----a-w- c:\windows\system32\secur32(476).dll
2015-01-15 07:42 . 2015-02-11 11:45 1061376 ----a-w- c:\windows\system32\lsasrv(399).dll
2015-01-15 07:42 . 2015-02-11 11:45 22528 ----a-w- c:\windows\system32\lsass(400).exe
2015-01-13 02:49 . 2015-02-11 11:43 1230336 ----a-w- c:\windows\system32\WindowsCodecs(551).dll
2015-01-12 02:02 . 2015-02-11 11:43 2277888 ----a-w- c:\windows\system32\iertutil(385).dll
2015-01-12 01:14 . 2015-02-11 11:43 12829184 ----a-w- c:\windows\system32\ieframe(384).dll
2015-01-12 01:00 . 2015-02-11 11:43 1888256 ----a-w- c:\windows\system32\wininet(553).dll
2015-01-12 00:56 . 2015-02-11 11:43 1307136 ----a-w- c:\windows\system32\urlmon(516).dll
2015-01-10 06:27 . 2015-02-11 11:44 172032 ----a-w- c:\windows\system32\wdigest(541).dll
2015-01-10 06:27 . 2015-02-11 11:44 65536 ----a-w- c:\windows\system32\TSpkg(510).dll
2015-01-10 06:27 . 2015-02-11 11:44 248832 ----a-w- c:\windows\system32\schannel(472).dll
2015-01-10 06:27 . 2015-02-11 11:44 221184 ----a-w- c:\windows\system32\ncrypt(419).dll
2015-01-10 06:27 . 2015-02-11 11:44 259584 ----a-w- c:\windows\system32\msv1_0(411).dll
2015-01-10 06:27 . 2015-02-11 11:44 550912 ----a-w- c:\windows\system32\kerberos(391).dll
2015-01-10 06:27 . 2015-02-11 11:44 17408 ----a-w- c:\windows\system32\credssp(342).dll
2015-01-09 02:48 . 2015-02-11 11:47 76800 ----a-w- c:\windows\system32\wdi.dll
2015-01-09 02:48 . 2015-02-11 11:47 76800 ----a-w- c:\windows\system32\wdi(540).dll
2015-01-09 02:48 . 2015-02-11 11:47 635904 ----a-w- c:\windows\system32\perftrack.dll
2015-01-09 02:48 . 2015-02-11 11:47 27136 ----a-w- c:\windows\system32\powertracker.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2011-02-26 . 0FB9C74046656D1579A64660AD67B746 . 2616320 . . [6.1.7601.21669] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_54149f9ef14031fc\explorer.exe
[-] 2011-02-25 . 2A780FF484E7533F35F285BB74A9C2EE . 2788864 . . [6.1.7600.16385] . . c:\windows\explorer.exe
[7] 2011-02-25 . 8B88EBBB05A0E56B7DCC708498C02B3E . 2616320 . . [6.1.7601.17567] . . c:\windows\UXBackup\explorer.exe
[7] 2011-02-25 . 8B88EBBB05A0E56B7DCC708498C02B3E . 2616320 . . [6.1.7601.17567] . . c:\windows\erdnt\cache\explorer.exe
[7] 2011-02-25 . 8B88EBBB05A0E56B7DCC708498C02B3E . 2616320 . . [6.1.7601.17567] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_5389023fd8245f84\explorer.exe
[7] 2010-11-20 . 40D777B7A95E00593EB1568C68514493 . 2616320 . . [6.1.7601.17514] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_53bc10fdd7fe87ca\explorer.exe
.
((((((((((((((((((((((((((   Pontos de Carregamento do Registro   )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por padrão não são apresentadas.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UX Launcher"="c:\program files\UX Pack\uxlaunch.exe" [2014-07-22 203979]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"DelayedDesktopSwitchTimeout"= 5 (0x5)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
2015-03-10 13:37 1864576 ------w- c:\program files\GbPlugin\gbieh.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Speed Launcher]
1427222010 [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2014-11-20 18:13 1021128 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Diebold - Warsaw]
2015-02-13 18:47 507704 ----a-w- c:\program files\Diebold\Warsaw\core.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadwin PrintScreen Pro (32-bit)]
2014-10-14 08:12 12553384 ----a-w- c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSC]
2015-01-30 03:53 978520 ----a-w- c:\program files\Microsoft Security Client\msseces.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2015-02-11 01:26 335232 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
R0 RapportKELL;RapportKELL;c:\windows\System32\Drivers\RapportKELL.sys [2015-02-12 208856]
R1 MpKsl4814ec51;MpKsl4814ec51;c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{0688EE57-B6FE-42B0-B6A0-717EBF33BD36}\MpKsl4814ec51.sys [x]
R1 ndisrd;GAS Tecnologia Filter Driver;c:\windows\system32\DRIVERS\gbpndisrdn.sys [2014-10-14 29400]
R1 RapportCerberus_80128;RapportCerberus_80128;c:\programdata\Trusteer\Rapport\store\exts\RapportCerberus\baseline\RapportCerberus32_80128.sys [2015-02-24 472152]
R1 RapportEI;RapportEI;c:\program files\Trusteer\Rapport\bin\RapportEI.sys [2015-02-12 251640]
R1 RapportPG;RapportPG;c:\program files\Trusteer\Rapport\bin\RapportPG.sys [2015-02-12 332696]
R2 GbpSv;Gbp Service;c:\progra~1\GbPlugin\GbpSv.exe [2015-01-20 565560]
R2 MetroServ;WinMetro Service;c:\program files\IObit\WinMetro\MetroSvc.exe [2013-01-25 314176]
R2 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2014-11-15 95408]
R2 RapportMgmtService;Rapport Management Service;c:\program files\Trusteer\Rapport\bin\RapportMgmtService.exe [2015-02-12 1919256]
R2 uxpatch;uxpatch;c:\windows\system32\drivers\uxpatch.sys [2009-07-13 25448]
R2 Warsaw Technology;Warsaw Technology;c:\program files\Diebold\Warsaw\core.exe [2015-02-13 507704]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2015-02-20 102912]
R3 NisSrv;Inspeção de Rede da Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [2015-01-30 284472]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 14848]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2000-01-01 716504]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2013-10-02 49152]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-20 27264]
S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [2015-02-09 46552]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ   SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc SensrSvc
.
Conteúdo da pasta 'Tarefas Agendadas'
.
2015-03-21 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2015-03-09 21:26]
.
.
------- Scan Suplementar -------
.
uStart Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
mStart Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
mSearch Bar = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Trusted Zone: bancobrasil.com.br\www
Trusted Zone: bancobrasil.com.br\www14
Trusted Zone: bancobrasil.com.br\www2
Trusted Zone: bb.com.br\seg
Trusted Zone: bb.com.br\www
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\EDSON\AppData\Roaming\Mozilla\Firefox\Profiles\v8df52b4.dev-edition-default\
FF - prefs.js: browser.startup.homepage - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
.
- - - - ORFÃOS REMOVIDOS - - - -
.
MSConfigStartUp-CCleaner Monitoring - c:\program files\CCleaner\CCleaner.exe
.
.
.
Tempo para conclusão: 2015-03-30  10:52:12
ComboFix-quarantined-files.txt  2015-03-30 13:52
.
Pré-execução: 482.255.822.848 bytes disponíveis
Pós execução: 482.005.381.120 bytes disponíveis
.
- - End Of File - - A16EAC8D9BAFB3503B4998E2952F0392
A36C5E4F47E84449FF07ED3517B43A31




Abraços

/!\ Olá! Textech /!\

Textech escreveu:Façamos o seguinte então . E dá  certo .   Removemos o dispositivo GBBD e o C ++ ; remanescendo o warsawe .

> Solução bem complexa! Como vc descobriu isso? 
> Sim! As entradas não foram bloqueadas pelo ComboFix.
> Mas cabe uma pergunta.
> Que efeito teve esse bloqueio às chaves?
> Vc ficou com problemas de acesso ao Banco?

A+

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > << Link!

> Leia as várias dicas que estão contidas na Cartilha de Segurança e fique livre de infecções!

< [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > << Link!

> Instale este complemento ao [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] ou [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e navegue tranquilamente!

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]  [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > << Link!

> Instale este complemento ao [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e navegue tranquilamente!



> Previna-se da instalação de PUPs com o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]. << Link!


> Necessitando nova verificação,para este computador,basta abrir "Novo Tópico" e relatar o problema.