Social bookmarking
Conservar e compartilhar o endereço de PC Seguro em seu site de social bookmarking
Conservar e compartilhar o endereço de Fórum PC Brasil em seu site de social bookmarking
Estatísticas
Temos 14810 usuários registradosO último membro registrado é Josevinil
Os nossos membros postaram um total de 36047 mensagens em 3685 assuntos
Quem está conectado?
Há 13 usuários online :: 0 registrados, 0 invisíveis e 13 visitantes Nenhum
O recorde de usuários online foi de 301 em Ter 26 Out 2021, 15:28
Procurar
Top dos mais postadores
Power Max | ||||
joram | ||||
Wings [In Memoriam] | ||||
caedurodrigues | ||||
Amigo Brasileiro | ||||
luizvilarinho | ||||
Danii | ||||
Admin | ||||
Danilo Marsaro | ||||
Andreata |
trojan que resiste à remoção
3 participantes
Página 1 de 2
Página 1 de 2 • 1, 2
trojan que resiste à remoção
Prezados,
tenho tentado em vão deletar um trojan com o programa a-squared free, que ele detectou, denominado win32 spy.
sempre que termino a varredura e deleto, qdo faço nova varredura, ele aparece novamente. como posso resolver isto??
grato.
tenho tentado em vão deletar um trojan com o programa a-squared free, que ele detectou, denominado win32 spy.
sempre que termino a varredura e deleto, qdo faço nova varredura, ele aparece novamente. como posso resolver isto??
grato.
San- Iniciante
- Mensagens : 43
Reputação : 0
Data de inscrição : 05/02/2009
Re: trojan que resiste à remoção
Oi San! Seja bem-vindo ao Fórum PC Seguro.
1) Crie uma pasta própria (como por exemplo C:/HijackThis).
Faça o download do [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e no momento de salvá-lo escolha a opção de salvá-lo nesta pasta que você acabou de criar e descompacte o hijackthis.zip dentro dela.
Após concluir o download, execute-o.
Clique no botão: Do a system scan and save a logfile. Depois será aberta uma tela com o log, então é só selecionar este Log (Clique no menu: Editar » Selecionar Tudo), depois disso volte novamente no menu: Editar » e clique na opção: Copiar).
Depois disso é só voltar aqui no fórum e postar este log do Hijackthis para que ele possa ser analizado.
Ficamos no aguardo de sua resposta.
1) Crie uma pasta própria (como por exemplo C:/HijackThis).
Faça o download do [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e no momento de salvá-lo escolha a opção de salvá-lo nesta pasta que você acabou de criar e descompacte o hijackthis.zip dentro dela.
Após concluir o download, execute-o.
Clique no botão: Do a system scan and save a logfile. Depois será aberta uma tela com o log, então é só selecionar este Log (Clique no menu: Editar » Selecionar Tudo), depois disso volte novamente no menu: Editar » e clique na opção: Copiar).
Depois disso é só voltar aqui no fórum e postar este log do Hijackthis para que ele possa ser analizado.
Ficamos no aguardo de sua resposta.
Última edição por Alberto Nunes em Qui 12 Fev 2009, 17:14, editado 1 vez(es)
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Re: trojan que resiste à remoção
Após realizadas as etapas indicadas, estou postando aqui os resultados (da janela do bloco de notas que se abriu, após a execução do hijackthis). Espero que eu tenha copiado corretamente:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:59:19, on 6/2/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Lavasoft\Ad-Aware\AAWService.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\a-squared Free\a2service.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Arquivos de programas\Comodo\Firewall\cmdagent.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Arquivos de programas\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe
C:\Arquivos de programas\Comodo\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\Arquivos de programas\ATnotes\ATnotes.exe
C:\Arquivos de programas\RALINK\Common\RaUI.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\hijacki\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Arquivos de programas\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Arquivos de programas\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [Ad-Watch] C:\Arquivos de programas\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ATnotes.exe] C:\Arquivos de programas\ATnotes\ATnotes.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Arquivos de programas\RALINK\Common\RaUI.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 - HKLM\System\CCS\Services\Tcpip\..\{44530A9D-D17B-4E78-ADEF-8D43E6A0A3FE}: NameServer = 200.187.80.5 200.187.80.6
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: GbPluginAbn - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Arquivos de programas\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Arquivos de programas\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Arquivos de programas\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe
--
End of file - 8768 bytes
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:59:19, on 6/2/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Lavasoft\Ad-Aware\AAWService.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\a-squared Free\a2service.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Arquivos de programas\Comodo\Firewall\cmdagent.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Arquivos de programas\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe
C:\Arquivos de programas\Comodo\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\Arquivos de programas\ATnotes\ATnotes.exe
C:\Arquivos de programas\RALINK\Common\RaUI.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\hijacki\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Arquivos de programas\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Arquivos de programas\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [Ad-Watch] C:\Arquivos de programas\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ATnotes.exe] C:\Arquivos de programas\ATnotes\ATnotes.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Arquivos de programas\RALINK\Common\RaUI.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 - HKLM\System\CCS\Services\Tcpip\..\{44530A9D-D17B-4E78-ADEF-8D43E6A0A3FE}: NameServer = 200.187.80.5 200.187.80.6
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: GbPluginAbn - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Arquivos de programas\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Arquivos de programas\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Arquivos de programas\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe
--
End of file - 8768 bytes
San- Iniciante
- Mensagens : 43
Reputação : 0
Data de inscrição : 05/02/2009
Re: trojan que resiste à remoção
Abra o HijackThis, clique em Do a system scan only, marque a entrada abaixo e clique em Fix checked:
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
__________________________________________________________________________
Siga, por gentileza, as dicas deste tutorial para fazer uma limpeza de seu PC com o Malwarebytes:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
________________________________
Poste o log gerado pelo Malwarebytes Anti-Malware juntamente com um novo log do Hijackthis na sua próxima resposta e nos diga como está o seu computador depois de seguir este procedimento acima.
Ficamos no aguardo de sua resposta.
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
__________________________________________________________________________
Siga, por gentileza, as dicas deste tutorial para fazer uma limpeza de seu PC com o Malwarebytes:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
________________________________
Poste o log gerado pelo Malwarebytes Anti-Malware juntamente com um novo log do Hijackthis na sua próxima resposta e nos diga como está o seu computador depois de seguir este procedimento acima.
Ficamos no aguardo de sua resposta.
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Re: trojan que resiste à remoção
ok. realizarei as próximas indicações, e em breve posto os resultados.
obrigado.
obrigado.
San- Iniciante
- Mensagens : 43
Reputação : 0
Data de inscrição : 05/02/2009
Re: trojan que resiste à remoção
só para complementar a informação, o trojan que o a squared free acusa chama-se
spy.win32.Banbra!IK. a localização que ele dá é a seguinte: C: Arquiv~\Gbplugin\Gbpsv.exe
spy.win32.Banbra!IK. a localização que ele dá é a seguinte: C: Arquiv~\Gbplugin\Gbpsv.exe
San- Iniciante
- Mensagens : 43
Reputação : 0
Data de inscrição : 05/02/2009
Re: trojan que resiste à remoção
Tudo bem, San. Estamos no aguardo.
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Re: trojan que resiste à remoção
Olá! Após realizar as ações recomendadas, e aguardar uns dias (no caso 3), aparentemente sem problemas, estou postando os novos logs.
hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:29:49, on 10/2/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\a-squared Free\a2service.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Arquivos de programas\Comodo\Firewall\cmdagent.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe
C:\Arquivos de programas\Comodo\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\Arquivos de programas\ATnotes\ATnotes.exe
C:\Arquivos de programas\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\hijacki\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Arquivos de programas\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Arquivos de programas\Comodo\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ATnotes.exe] C:\Arquivos de programas\ATnotes\ATnotes.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Arquivos de programas\RALINK\Common\RaUI.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 - HKLM\System\CCS\Services\Tcpip\..\{44530A9D-D17B-4E78-ADEF-8D43E6A0A3FE}: NameServer = 200.187.80.5 200.187.80.6
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: GbPluginAbn - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Arquivos de programas\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Arquivos de programas\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe
--
End of file - 8633 bytes
Malware antimalware:
Malwarebytes' Anti-Malware 1.33
Versão do banco de dados: 1736
Windows 5.1.2600 Service Pack 2
10/2/2009 14:20:59
mbam-log-2009-02-10 (14-20-59).txt
Tipo de Verificação: Completa (C:\|D:\|)
Objetos verificados: 106976
Tempo decorrido: 19 minute(s), 37 second(s)
Processos da Memória infectados: 0
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 0
Valores do Registro infectados: 0
Ítens do Registro infectados: 0
Pastas infectadas: 0
Arquivos infectados: 1
Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)
Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)
Chaves do Registro infectadas:
(Nenhum ítem malicioso foi detectado)
Valores do Registro infectados:
(Nenhum ítem malicioso foi detectado)
Ítens do Registro infectados:
(Nenhum ítem malicioso foi detectado)
Pastas infectadas:
(Nenhum ítem malicioso foi detectado)
Arquivos infectados:
C:\System Volume Information\_restore{4257C4C8-30B9-4788-A553-00E0D7D01545}\RP190\A0094525.dll (Adware.AskSBAR) -> Quarantined and deleted successfully.
hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:29:49, on 10/2/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\a-squared Free\a2service.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Arquivos de programas\Comodo\Firewall\cmdagent.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe
C:\Arquivos de programas\Comodo\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\Arquivos de programas\ATnotes\ATnotes.exe
C:\Arquivos de programas\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\hijacki\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Arquivos de programas\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Arquivos de programas\Comodo\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ATnotes.exe] C:\Arquivos de programas\ATnotes\ATnotes.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Arquivos de programas\RALINK\Common\RaUI.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 - HKLM\System\CCS\Services\Tcpip\..\{44530A9D-D17B-4E78-ADEF-8D43E6A0A3FE}: NameServer = 200.187.80.5 200.187.80.6
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: GbPluginAbn - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Arquivos de programas\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Arquivos de programas\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe
--
End of file - 8633 bytes
Malware antimalware:
Malwarebytes' Anti-Malware 1.33
Versão do banco de dados: 1736
Windows 5.1.2600 Service Pack 2
10/2/2009 14:20:59
mbam-log-2009-02-10 (14-20-59).txt
Tipo de Verificação: Completa (C:\|D:\|)
Objetos verificados: 106976
Tempo decorrido: 19 minute(s), 37 second(s)
Processos da Memória infectados: 0
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 0
Valores do Registro infectados: 0
Ítens do Registro infectados: 0
Pastas infectadas: 0
Arquivos infectados: 1
Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)
Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)
Chaves do Registro infectadas:
(Nenhum ítem malicioso foi detectado)
Valores do Registro infectados:
(Nenhum ítem malicioso foi detectado)
Ítens do Registro infectados:
(Nenhum ítem malicioso foi detectado)
Pastas infectadas:
(Nenhum ítem malicioso foi detectado)
Arquivos infectados:
C:\System Volume Information\_restore{4257C4C8-30B9-4788-A553-00E0D7D01545}\RP190\A0094525.dll (Adware.AskSBAR) -> Quarantined and deleted successfully.
San- Iniciante
- Mensagens : 43
Reputação : 0
Data de inscrição : 05/02/2009
Re: trojan que resiste à remoção
Foi removido um problema pelo Malwarebytes, mas quanto à questão de esperar, não precisa esperar não, pode postar o log na hora que você terminar o procedimento.
Siga, por gentileza, as dicas deste tutorial para fazer um escaneamento de seu PC pelo Nod32 Online:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Após o término do escaneamento será gerado um relatório (log) que estará no seguinte local do seu computador:
C:\Arquivos de programas\EsetOnlineScanner\log
Na sua próxima resposta poste este log do Nod32 Online juntamente com um novo log do Hijackthis e nos diga, por gentileza, como está o seu PC após seguir este procedimento.
Ficamos no aguardo de sua resposta.
Siga, por gentileza, as dicas deste tutorial para fazer um escaneamento de seu PC pelo Nod32 Online:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Após o término do escaneamento será gerado um relatório (log) que estará no seguinte local do seu computador:
C:\Arquivos de programas\EsetOnlineScanner\log
Na sua próxima resposta poste este log do Nod32 Online juntamente com um novo log do Hijackthis e nos diga, por gentileza, como está o seu PC após seguir este procedimento.
Ficamos no aguardo de sua resposta.
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Re: trojan que resiste à remoção
Caro amigo,
após postar estes ultimos logs, executei novamente o primeiro programa no qual eu havia identificado trojan, o a squared. infelizmente, lá estava de novo o mesmo trojan detectado. percebi q tanto o antimalware quanto o a squared localizam-no numa pasta no arquivo de programas, denomidada GBplugin, q nao sei a qual programa se relaciona. ao tentar deleta-la manualmente, um dos arquivos impede a eliminaçao, um arquivo de nome abn.gpc (tipo arqivo GPC). o problema pode estar neste local? Observação que esqueci de dar: meu antivíros é o avira.
após postar estes ultimos logs, executei novamente o primeiro programa no qual eu havia identificado trojan, o a squared. infelizmente, lá estava de novo o mesmo trojan detectado. percebi q tanto o antimalware quanto o a squared localizam-no numa pasta no arquivo de programas, denomidada GBplugin, q nao sei a qual programa se relaciona. ao tentar deleta-la manualmente, um dos arquivos impede a eliminaçao, um arquivo de nome abn.gpc (tipo arqivo GPC). o problema pode estar neste local? Observação que esqueci de dar: meu antivíros é o avira.
San- Iniciante
- Mensagens : 43
Reputação : 0
Data de inscrição : 05/02/2009
Re: trojan que resiste à remoção
Você costuma acessar bancos online? Este GBplugin é instalado nos sites de bancos para evitar fraudes em transações bancárias. Mas faça o procedimento com o Nod32 Online conforme dito na resposta anterior e poste o resultado para analizarmos.San escreveu:Caro amigo,
após postar estes ultimos logs, executei novamente o primeiro programa no qual eu havia identificado trojan, o a squared. infelizmente, lá estava de novo o mesmo trojan detectado. percebi q tanto o antimalware quanto o a squared localizam-no numa pasta no arquivo de programas, denomidada GBplugin, q nao sei a qual programa se relaciona. ao tentar deleta-la manualmente, um dos arquivos impede a eliminaçao, um arquivo de nome abn.gpc (tipo arqivo GPC). o problema pode estar neste local? Observação que esqueci de dar: meu antivíros é o avira.
Ficamos no aguardo.
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Re: trojan que resiste à remoção
procedi ao escaneamento pelo nod32 mas o mesmo nao detectou arquivo algum, dando apenas uma tela verde no final
informando a ausencia de arquivos infectados.
informando a ausencia de arquivos infectados.
San- Iniciante
- Mensagens : 43
Reputação : 0
Data de inscrição : 05/02/2009
Re: trojan que resiste à remoção
Tudo bem, e como está o seu PC atualmente?San escreveu:procedi ao escaneamento pelo nod32 mas o mesmo nao detectou arquivo algum, dando apenas uma tela verde no final
informando a ausencia de arquivos infectados.
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Re: trojan que resiste à remoção
Bem, aparentemente nao estou tendo problemas. Houve um problema com ícones alterando-se mas acho q nao tem ligação.
nao tenho travamentos ou outro problema q pareça mais grave. executando o a squared novamente, após o nod32, reparei q ele
detecta o trojan no momento em que varre a memória. qdo um programa detecta e outro nao, como saber o qual está com a razão?
o tal squared continua apontando o mesmo nome, no mesmo lugar q citei, mas reparei q surge qdo ele verifica infecção na memória.
é isso, obrigado pelas ajudas q tem sido a mim dadas.
nao tenho travamentos ou outro problema q pareça mais grave. executando o a squared novamente, após o nod32, reparei q ele
detecta o trojan no momento em que varre a memória. qdo um programa detecta e outro nao, como saber o qual está com a razão?
o tal squared continua apontando o mesmo nome, no mesmo lugar q citei, mas reparei q surge qdo ele verifica infecção na memória.
é isso, obrigado pelas ajudas q tem sido a mim dadas.
San- Iniciante
- Mensagens : 43
Reputação : 0
Data de inscrição : 05/02/2009
Re: trojan que resiste à remoção
Em qual endereço exatamente fica este arquivo que o A-Squared aponta como sendo um problema?
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Re: trojan que resiste à remoção
Boa tarde prezado camarada Alberto.
pois bem. hoje, para levantar os dados completos da possível infecção,
atualizei o A Squared, e fiz o escaneamento. Quando ele inicia, em "analisando
a memória", a detecção e local sao os seguintes, respectivamente:
Trojan-SPy.Win32.Banbra!IK
Local: Processo: [1064] C:\ARQUIV~1\GbPlugin\GbpSv.exe
é isso.
pois bem. hoje, para levantar os dados completos da possível infecção,
atualizei o A Squared, e fiz o escaneamento. Quando ele inicia, em "analisando
a memória", a detecção e local sao os seguintes, respectivamente:
Trojan-SPy.Win32.Banbra!IK
Local: Processo: [1064] C:\ARQUIV~1\GbPlugin\GbpSv.exe
é isso.
San- Iniciante
- Mensagens : 43
Reputação : 0
Data de inscrição : 05/02/2009
Re: trojan que resiste à remoção
Este arquivo que você citou é instalado ao se usar sites de Bancos online. Não é virus, é um dispositivo de segurança instalado por eles.
Neste caso foi um falso-positivo do A-Squared (um engano por parte dele). O A-Squared é um bom programa, mas costuma ter realmente muitos falso-positivos. Sugiro que você desinstale o A-Squared e use o Malwarebytes para um escaneamento semanal juntamente os outros antispywares que você já tem.
___________________________________________________________________________________________
Instale estes programas e use-os semanalmente para deixar seu computador mais eficiente e otimizado:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
___________________________________________________________________________________________
Se o seu Windows for original, baixe e instale o Service Pack 3 no site abaixo:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
___________________________________________________________________________________________
Há programas desnecessários iniciando junto com o Windows, o que torna o seu PC mais lento. Para corrigir isto, siga as dicas deste tutorial:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
De preferência deixe apenas os programas de segurança (anti-vírus/anti-spywares/firewall) iniciarem junto com o Windows.
Use também o programa Ccleaner, indicado neste tutorial acima, para fazer uma limpeza e otimização do PC de tempos em tempos.
___________________________________________________________________________________________
Depois de seguir as dicas acima nos diga, por gentileza, como está o seu PC e se o problema foi resolvido. Ficamos no aguardo.
Neste caso foi um falso-positivo do A-Squared (um engano por parte dele). O A-Squared é um bom programa, mas costuma ter realmente muitos falso-positivos. Sugiro que você desinstale o A-Squared e use o Malwarebytes para um escaneamento semanal juntamente os outros antispywares que você já tem.
___________________________________________________________________________________________
Instale estes programas e use-os semanalmente para deixar seu computador mais eficiente e otimizado:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
___________________________________________________________________________________________
Se o seu Windows for original, baixe e instale o Service Pack 3 no site abaixo:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
___________________________________________________________________________________________
Há programas desnecessários iniciando junto com o Windows, o que torna o seu PC mais lento. Para corrigir isto, siga as dicas deste tutorial:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
De preferência deixe apenas os programas de segurança (anti-vírus/anti-spywares/firewall) iniciarem junto com o Windows.
Use também o programa Ccleaner, indicado neste tutorial acima, para fazer uma limpeza e otimização do PC de tempos em tempos.
___________________________________________________________________________________________
Depois de seguir as dicas acima nos diga, por gentileza, como está o seu PC e se o problema foi resolvido. Ficamos no aguardo.
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Re: trojan que resiste à remoção
Boa tarde. Instalarei os programas sugeridos e farei as mudanças
relativas a inicialização dos programas com o windows. uma dúvida:
meu sistema de segurança é feito pelo spyware terminator (com proteção residente),
comodo 3.5 como firewall. e avira antivirus. devo troca-los ou podem funcionar com os programas sugeridos?
detalhe: estou permanentemente conectado na net.
Obrigado pela ajuda. em breve posto os resultados do desempenho da máquina após as mudanças.
relativas a inicialização dos programas com o windows. uma dúvida:
meu sistema de segurança é feito pelo spyware terminator (com proteção residente),
comodo 3.5 como firewall. e avira antivirus. devo troca-los ou podem funcionar com os programas sugeridos?
detalhe: estou permanentemente conectado na net.
Obrigado pela ajuda. em breve posto os resultados do desempenho da máquina após as mudanças.
San- Iniciante
- Mensagens : 43
Reputação : 0
Data de inscrição : 05/02/2009
Re: trojan que resiste à remoção
Pode continuar a usar os seus programas de segurança. Todos estes que te indiquei são compatíveis com eles.San escreveu:Boa tarde. Instalarei os programas sugeridos e farei as mudanças
relativas a inicialização dos programas com o windows. uma dúvida:
meu sistema de segurança é feito pelo spyware terminator (com proteção residente),
comodo 3.5 como firewall. e avira antivirus. devo troca-los ou podem funcionar com os programas sugeridos?
detalhe: estou permanentemente conectado na net.
Obrigado pela ajuda. em breve posto os resultados do desempenho da máquina após as mudanças.
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Re: trojan que resiste à remoção
Já tenho ccleaner; li o tutorial para inicialização de programas, e apesar de sugerir deixar apenas programas de segurança,
nao faz mençao a desabilitar outros, como por exemplo: system32; arquivos do monitor;java, entre outros que desconheço a funçao.
Há problema em desabilitar todos estes, deixando só antivirus, antispy e firewall? Considerando que minha net é via radio, e quando o windows inicia, a conexao já é feita.
obrigado.
nao faz mençao a desabilitar outros, como por exemplo: system32; arquivos do monitor;java, entre outros que desconheço a funçao.
Há problema em desabilitar todos estes, deixando só antivirus, antispy e firewall? Considerando que minha net é via radio, e quando o windows inicia, a conexao já é feita.
obrigado.
San- Iniciante
- Mensagens : 43
Reputação : 0
Data de inscrição : 05/02/2009
Re: trojan que resiste à remoção
Esta questão dos programas que se iniciam com o Windows é uma questão de preferência da pessoa, mas há alguns programas que estão iniciando com o seu Windows que são desnecessários, como estes abaixo:San escreveu:Já tenho ccleaner; li o tutorial para inicialização de programas, e apesar de sugerir deixar apenas programas de segurança,
nao faz mençao a desabilitar outros, como por exemplo: system32; arquivos do monitor;java, entre outros que desconheço a funçao.
Há problema em desabilitar todos estes, deixando só antivirus, antispy e firewall? Considerando que minha net é via radio, e quando o windows inicia, a conexao já é feita.
obrigado.
[GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
[NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
Re: trojan que resiste à remoção
Prezados, desculpem minha inconveniencia em ficar fazendo perguntas, mas é q algumas coisas me intrigam quando se trata
de pequenos detalhes no uso cotidiano do computador; depois destes ultimos dias, quando fui gentilmente orientado sobre a questao
da possível infecção, percebi que mudou por algum motivo certos ícones no meu windows explorer; nao sei se tem relação com a questão
anterior ou se foi alguma bobagem que fiz; tenho o hd particionado, e a unidade que corresponde à letra D:, nao está mais representada
pelo ícone costumeiro, mas pelo simbolo do internet explorer; e quando aberto no Meu computador, fica representada por aquela bandeirinha do windows (qdo nao está associado a nenhum programa). Já tentei mudar mas nao consigo, quando se trata da letra da unidade, nao tem a opção de escolher um novo ícone, como nas pastas. Além disto, certos programas que eram representados pelos ícones dos respectivos programas que lhes executam, como arquivos de música com o ícone do media player, tbm mudaram a aparencia, além de outros como arquivos do mozilla, de imagem, que agora ficam com a tal bandeirinha. O que pode ter ocorrido?
obrigado.
de pequenos detalhes no uso cotidiano do computador; depois destes ultimos dias, quando fui gentilmente orientado sobre a questao
da possível infecção, percebi que mudou por algum motivo certos ícones no meu windows explorer; nao sei se tem relação com a questão
anterior ou se foi alguma bobagem que fiz; tenho o hd particionado, e a unidade que corresponde à letra D:, nao está mais representada
pelo ícone costumeiro, mas pelo simbolo do internet explorer; e quando aberto no Meu computador, fica representada por aquela bandeirinha do windows (qdo nao está associado a nenhum programa). Já tentei mudar mas nao consigo, quando se trata da letra da unidade, nao tem a opção de escolher um novo ícone, como nas pastas. Além disto, certos programas que eram representados pelos ícones dos respectivos programas que lhes executam, como arquivos de música com o ícone do media player, tbm mudaram a aparencia, além de outros como arquivos do mozilla, de imagem, que agora ficam com a tal bandeirinha. O que pode ter ocorrido?
obrigado.
San- Iniciante
- Mensagens : 43
Reputação : 0
Data de inscrição : 05/02/2009
Re: trojan que resiste à remoção
Vamos então fazer o escaneamento com este outro programa para vermos se resta algo de negativo em seu PC:
Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:
*Desative temporariamente seu antivírus
*Baixe o programa do link abaixo e salve-o no desktop (área de trabalho):
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
*Feche o Internet Explorer e o Windows Explorer
* Dê um duplo-clique no arquivo Combofix.exe e aguarde o início
*Leia o contrato, tecle [1] > [ENTER]
*Importante: enquanto o ComboFix estiver em execução, não use o mouse nem o teclado, pois seu desktop ficará em branco!!
*Ao final do procedimento, o programa será fechado automaticamente e será mostrado um relatório
*Cole o relatório criado em C:\combofix.txt em sua próxima resposta e nos diga como está o PC depois disto.
Ficamos no aguardo.
Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:
*Desative temporariamente seu antivírus
*Baixe o programa do link abaixo e salve-o no desktop (área de trabalho):
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
*Feche o Internet Explorer e o Windows Explorer
* Dê um duplo-clique no arquivo Combofix.exe e aguarde o início
*Leia o contrato, tecle [1] > [ENTER]
*Importante: enquanto o ComboFix estiver em execução, não use o mouse nem o teclado, pois seu desktop ficará em branco!!
*Ao final do procedimento, o programa será fechado automaticamente e será mostrado um relatório
*Cole o relatório criado em C:\combofix.txt em sua próxima resposta e nos diga como está o PC depois disto.
Ficamos no aguardo.
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Re: trojan que resiste à remoção
Relatório Combofix
ComboFix 09-02-12.03 - Sandro 2009-02-14 8:35:31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.1919.1451 [GMT -3:00]
Executando de: c:\documents and settings\Sandro\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: COMODO Firewall *enabled*
ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!
.
((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Sandro\Dados de aplicativos\inst.exe
D:\Autorun.inf
.
((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_GBPSV
-------\Service_GbpSv
(((((((((((((((( Arquivos/Ficheiros criados de 2009-01-14 to 2009-02-14 ))))))))))))))))))))))))))))
.
2009-02-13 15:35 . 2009-02-13 16:33 <DIR> d-------- c:\arquivos de programas\SpywareBlaster
2009-02-13 14:57 . 2009-02-13 15:33 <DIR> d-------- c:\arquivos de programas\Marcos Velasco Security
2009-02-12 13:44 . 2003-08-11 15:30 45,056 --a------ c:\windows\system32\StatusBarXP.ocx
2009-02-10 15:43 . 2009-02-10 16:52 <DIR> d-------- c:\arquivos de programas\EsetOnlineScanner
2009-02-10 09:05 . 2009-02-10 09:05 <DIR> d-------- c:\windows\Options
2009-02-10 09:05 . 2009-02-10 09:05 <DIR> d-------- c:\arquivos de programas\D-Link CIF Webcam
2009-02-10 09:05 . 2003-04-09 11:17 227,200 --a------ c:\windows\system32\drivers\cccp106.sys
2009-02-10 09:05 . 2003-03-08 16:02 192,512 --a------ c:\windows\select2.exe
2009-02-10 09:05 . 2003-03-19 13:01 15,542 --a------ c:\windows\cccp106.ini
2009-02-10 09:05 . 2003-03-19 13:01 13,023 --a------ c:\windows\cccp106.src
2009-02-10 09:05 . 2003-04-09 16:27 307 --a------ c:\windows\DC2110a.ini
2009-02-06 18:30 . 2009-02-06 18:30 <DIR> d-------- c:\documents and settings\Sandro\Dados de aplicativos\Malwarebytes
2009-02-06 18:30 . 2009-02-06 18:30 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes
2009-02-06 18:30 . 2009-02-13 18:44 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware
2009-02-06 18:30 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-06 18:30 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-06 14:55 . 2009-02-10 14:29 <DIR> d-------- C:\hijacki
2009-02-05 21:13 . 2009-02-10 14:24 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Lavasoft
2009-02-05 21:13 . 2009-02-10 14:24 <DIR> d-------- c:\arquivos de programas\Lavasoft
2009-01-14 08:56 . 2009-01-14 08:58 <DIR> d-------- c:\arquivos de programas\Paint.NET
.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-28 21:10 --------- d-----w c:\arquivos de programas\Messenger Plus! Live
2009-02-14 01:28 --------- d-----w c:\arquivos de programas\eMule
2009-02-13 19:35 --------- d---a-w c:\documents and settings\All Users\Dados de aplicativos\TEMP
2009-02-12 19:46 --------- d-----w c:\documents and settings\Sandro\Dados de aplicativos\Megacubo
2009-02-12 18:00 --------- d-----w c:\arquivos de programas\a-squared Free
2009-02-12 17:39 --------- d-----w c:\arquivos de programas\RALINK
2009-02-10 12:05 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information
2009-02-10 12:05 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield
2009-02-09 20:00 --------- d-----w c:\arquivos de programas\Spyware Terminator
2009-02-02 21:27 --------- d-----w c:\documents and settings\Sandro\Dados de aplicativos\Vso
2009-01-18 13:12 --------- d-----w c:\documents and settings\Sandro\Dados de aplicativos\Move Networks
2009-01-15 18:36 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\DVD Shrink
2009-01-13 15:40 --------- d-----w c:\arquivos de programas\GameVicio
2009-01-10 15:46 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Age of Empires 3
2009-01-10 14:20 --------- d-----w c:\arquivos de programas\Microsoft Games
2009-01-09 16:44 --------- d-----w c:\documents and settings\Sandro\Dados de aplicativos\Cabos
2009-01-06 17:31 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help
2009-01-05 19:27 --------- d-----w c:\documents and settings\Sandro\Dados de aplicativos\Media Player Classic
2008-12-28 14:43 --------- d-----w c:\documents and settings\Espaço público\Dados de aplicativos\Dealio
2008-12-25 13:22 --------- d-----w c:\arquivos de programas\FormatFactory
2008-12-22 20:19 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Spyware Terminator
2008-12-09 15:54 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-04 18:21 147,192 ----a-w c:\windows\system32\guard32.dll
2008-08-25 20:17 47,360 ----a-w c:\documents and settings\Sandro\Dados de aplicativos\pcouffin.sys
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SpywareTerminator"="c:\arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe" [2008-08-24 2834432]
"COMODO Firewall Pro"="c:\arquivos de programas\Comodo\Firewall\cfp.exe" [2008-12-04 1797880]
"COMODO Internet Security"="c:\arquivos de programas\Comodo\Firewall\cfp.exe" [2008-12-04 1797880]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{E37CB5F0-51F5-4395-A808-5FA49E399007}"= "c:\arquiv~1\GbPlugin\gbiehabn.dll" [2008-05-16 369064]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginAbn]
2008-05-16 15:01 369064 c:\arquiv~1\GbPlugin\gbiehabn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATnotes.exe]
--a------ 2005-01-05 15:45 1015808 c:\arquivos de programas\ATnotes\ATnotes.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-06-01 13:32 94208 c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-03 20:45 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2008-05-03 05:46 13529088 c:\windows\system32\nvcpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2008-05-03 05:46 86016 c:\windows\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-12-09 12:57 136600 c:\arquivos de programas\Java\jre6\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 18:43 69632 c:\windows\Alcmtr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2008-05-03 05:46 1630208 c:\windows\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2006-08-14 14:00 16050176 c:\windows\RTHDCPL.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Arquivos de programas\\Microsoft Games\\Age of Empires III\\age3x.exe"=
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [2008-11-18 101776]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [2008-11-18 31504]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2008-08-24 138752]
R3 CCCP106;D-Link CIF Webcam;c:\windows\system32\drivers\cccp106.sys [2009-02-10 227200]
R3 RMSPPPOE;FasterNet - Protocol (WAN Miniport);c:\windows\system32\drivers\RMSPPPOE.SYS [2008-08-24 31424]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6834e8b6-7141-11dd-afc0-806d6172696f}]
\Shell\AutoRun\command - E:\Run.exe
.
Conteúdo da pasta 'Tarefas Agendadas'
2009-02-13 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\arquivos de programas\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []
.
.
------- Scan Suplementar -------
.
uStart Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {18C0B53B-456E-4224-B109-5387BD8DF305} = 200.187.80.5,200.187.80.6
DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
FF - ProfilePath - c:\documents and settings\Sandro\Dados de aplicativos\Mozilla\Firefox\Profiles\jqarjglj.default\
FF - prefs.js: browser.startup.homepage - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
FF - component: c:\documents and settings\Sandro\Dados de aplicativos\Mozilla\Firefox\Profiles\jqarjglj.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E8874}\components\GbMzhAbn.dll
FF - plugin: c:\windows\system32\npmirage.dll
---- FIREFOX POLICIES ----
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Rootkit scan 2009-02-14 08:38:14
Windows 5.1.2600 Service Pack 2 NTFS
detected NTDLL code modification:
ZwClose
Procurando processos ocultos ...
Procurando entradas auto inicializáveis ocultas ...
Procurando ficheiros/arquivos ocultos ...
Varredura completada com sucesso
arquivos/ficheiros ocultos: 0
**************************************************************************
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------
- - - - - - - > 'winlogon.exe'(712)
c:\arquiv~1\GbPlugin\gbiehabn.dll
.
------------------------ Outros Processos em Execução ------------------------
.
c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\arquivos de programas\Comodo\Firewall\cmdagent.exe
c:\arquivos de programas\Java\jre6\bin\jqs.exe
c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\arquivos de programas\Spyware Terminator\sp_rsser.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Tempo para conclusão: 2009-02-14 8:39:40 - Máquina reiniciou [Sandro]
ComboFix-quarantined-files.txt 2009-02-14 11:39:38
Pré-execução: 11 pasta(s) 84,265,492,480 bytes disponíveis
Pós execução: 11 pasta(s) 84,227,649,536 bytes disponíveis
187 --- E O F --- 2008-08-24 15:57:01
Prezados amigos, aparentemente o pc após estas últimas verificações e varreduras
está funcionando bem, o ícone da unidade D voltou ao normal. Creio que os problemas foram
resolvidos.
Muito obrigado pela ajuda, pela gentileza e seriedade dedicadas. Atitudes como a de vcs é
que nos faz acreditar que na internet nao tem só vermes ocupados em prejudicar a vida alheia,
mas tbm pessoas nobres de espírito zeladoras da justiça e do bem comum. Valeu!
ComboFix 09-02-12.03 - Sandro 2009-02-14 8:35:31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.1919.1451 [GMT -3:00]
Executando de: c:\documents and settings\Sandro\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: COMODO Firewall *enabled*
ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!
.
((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Sandro\Dados de aplicativos\inst.exe
D:\Autorun.inf
.
((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_GBPSV
-------\Service_GbpSv
(((((((((((((((( Arquivos/Ficheiros criados de 2009-01-14 to 2009-02-14 ))))))))))))))))))))))))))))
.
2009-02-13 15:35 . 2009-02-13 16:33 <DIR> d-------- c:\arquivos de programas\SpywareBlaster
2009-02-13 14:57 . 2009-02-13 15:33 <DIR> d-------- c:\arquivos de programas\Marcos Velasco Security
2009-02-12 13:44 . 2003-08-11 15:30 45,056 --a------ c:\windows\system32\StatusBarXP.ocx
2009-02-10 15:43 . 2009-02-10 16:52 <DIR> d-------- c:\arquivos de programas\EsetOnlineScanner
2009-02-10 09:05 . 2009-02-10 09:05 <DIR> d-------- c:\windows\Options
2009-02-10 09:05 . 2009-02-10 09:05 <DIR> d-------- c:\arquivos de programas\D-Link CIF Webcam
2009-02-10 09:05 . 2003-04-09 11:17 227,200 --a------ c:\windows\system32\drivers\cccp106.sys
2009-02-10 09:05 . 2003-03-08 16:02 192,512 --a------ c:\windows\select2.exe
2009-02-10 09:05 . 2003-03-19 13:01 15,542 --a------ c:\windows\cccp106.ini
2009-02-10 09:05 . 2003-03-19 13:01 13,023 --a------ c:\windows\cccp106.src
2009-02-10 09:05 . 2003-04-09 16:27 307 --a------ c:\windows\DC2110a.ini
2009-02-06 18:30 . 2009-02-06 18:30 <DIR> d-------- c:\documents and settings\Sandro\Dados de aplicativos\Malwarebytes
2009-02-06 18:30 . 2009-02-06 18:30 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes
2009-02-06 18:30 . 2009-02-13 18:44 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware
2009-02-06 18:30 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-06 18:30 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-06 14:55 . 2009-02-10 14:29 <DIR> d-------- C:\hijacki
2009-02-05 21:13 . 2009-02-10 14:24 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Lavasoft
2009-02-05 21:13 . 2009-02-10 14:24 <DIR> d-------- c:\arquivos de programas\Lavasoft
2009-01-14 08:56 . 2009-01-14 08:58 <DIR> d-------- c:\arquivos de programas\Paint.NET
.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-28 21:10 --------- d-----w c:\arquivos de programas\Messenger Plus! Live
2009-02-14 01:28 --------- d-----w c:\arquivos de programas\eMule
2009-02-13 19:35 --------- d---a-w c:\documents and settings\All Users\Dados de aplicativos\TEMP
2009-02-12 19:46 --------- d-----w c:\documents and settings\Sandro\Dados de aplicativos\Megacubo
2009-02-12 18:00 --------- d-----w c:\arquivos de programas\a-squared Free
2009-02-12 17:39 --------- d-----w c:\arquivos de programas\RALINK
2009-02-10 12:05 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information
2009-02-10 12:05 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield
2009-02-09 20:00 --------- d-----w c:\arquivos de programas\Spyware Terminator
2009-02-02 21:27 --------- d-----w c:\documents and settings\Sandro\Dados de aplicativos\Vso
2009-01-18 13:12 --------- d-----w c:\documents and settings\Sandro\Dados de aplicativos\Move Networks
2009-01-15 18:36 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\DVD Shrink
2009-01-13 15:40 --------- d-----w c:\arquivos de programas\GameVicio
2009-01-10 15:46 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Age of Empires 3
2009-01-10 14:20 --------- d-----w c:\arquivos de programas\Microsoft Games
2009-01-09 16:44 --------- d-----w c:\documents and settings\Sandro\Dados de aplicativos\Cabos
2009-01-06 17:31 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help
2009-01-05 19:27 --------- d-----w c:\documents and settings\Sandro\Dados de aplicativos\Media Player Classic
2008-12-28 14:43 --------- d-----w c:\documents and settings\Espaço público\Dados de aplicativos\Dealio
2008-12-25 13:22 --------- d-----w c:\arquivos de programas\FormatFactory
2008-12-22 20:19 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Spyware Terminator
2008-12-09 15:54 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-04 18:21 147,192 ----a-w c:\windows\system32\guard32.dll
2008-08-25 20:17 47,360 ----a-w c:\documents and settings\Sandro\Dados de aplicativos\pcouffin.sys
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SpywareTerminator"="c:\arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe" [2008-08-24 2834432]
"COMODO Firewall Pro"="c:\arquivos de programas\Comodo\Firewall\cfp.exe" [2008-12-04 1797880]
"COMODO Internet Security"="c:\arquivos de programas\Comodo\Firewall\cfp.exe" [2008-12-04 1797880]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{E37CB5F0-51F5-4395-A808-5FA49E399007}"= "c:\arquiv~1\GbPlugin\gbiehabn.dll" [2008-05-16 369064]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginAbn]
2008-05-16 15:01 369064 c:\arquiv~1\GbPlugin\gbiehabn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATnotes.exe]
--a------ 2005-01-05 15:45 1015808 c:\arquivos de programas\ATnotes\ATnotes.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-06-01 13:32 94208 c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-03 20:45 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2008-05-03 05:46 13529088 c:\windows\system32\nvcpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2008-05-03 05:46 86016 c:\windows\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-12-09 12:57 136600 c:\arquivos de programas\Java\jre6\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 18:43 69632 c:\windows\Alcmtr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2008-05-03 05:46 1630208 c:\windows\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2006-08-14 14:00 16050176 c:\windows\RTHDCPL.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Arquivos de programas\\Microsoft Games\\Age of Empires III\\age3x.exe"=
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [2008-11-18 101776]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [2008-11-18 31504]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2008-08-24 138752]
R3 CCCP106;D-Link CIF Webcam;c:\windows\system32\drivers\cccp106.sys [2009-02-10 227200]
R3 RMSPPPOE;FasterNet - Protocol (WAN Miniport);c:\windows\system32\drivers\RMSPPPOE.SYS [2008-08-24 31424]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6834e8b6-7141-11dd-afc0-806d6172696f}]
\Shell\AutoRun\command - E:\Run.exe
.
Conteúdo da pasta 'Tarefas Agendadas'
2009-02-13 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\arquivos de programas\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []
.
.
------- Scan Suplementar -------
.
uStart Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {18C0B53B-456E-4224-B109-5387BD8DF305} = 200.187.80.5,200.187.80.6
DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
FF - ProfilePath - c:\documents and settings\Sandro\Dados de aplicativos\Mozilla\Firefox\Profiles\jqarjglj.default\
FF - prefs.js: browser.startup.homepage - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
FF - component: c:\documents and settings\Sandro\Dados de aplicativos\Mozilla\Firefox\Profiles\jqarjglj.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E8874}\components\GbMzhAbn.dll
FF - plugin: c:\windows\system32\npmirage.dll
---- FIREFOX POLICIES ----
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Rootkit scan 2009-02-14 08:38:14
Windows 5.1.2600 Service Pack 2 NTFS
detected NTDLL code modification:
ZwClose
Procurando processos ocultos ...
Procurando entradas auto inicializáveis ocultas ...
Procurando ficheiros/arquivos ocultos ...
Varredura completada com sucesso
arquivos/ficheiros ocultos: 0
**************************************************************************
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------
- - - - - - - > 'winlogon.exe'(712)
c:\arquiv~1\GbPlugin\gbiehabn.dll
.
------------------------ Outros Processos em Execução ------------------------
.
c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\arquivos de programas\Comodo\Firewall\cmdagent.exe
c:\arquivos de programas\Java\jre6\bin\jqs.exe
c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\arquivos de programas\Spyware Terminator\sp_rsser.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Tempo para conclusão: 2009-02-14 8:39:40 - Máquina reiniciou [Sandro]
ComboFix-quarantined-files.txt 2009-02-14 11:39:38
Pré-execução: 11 pasta(s) 84,265,492,480 bytes disponíveis
Pós execução: 11 pasta(s) 84,227,649,536 bytes disponíveis
187 --- E O F --- 2008-08-24 15:57:01
Prezados amigos, aparentemente o pc após estas últimas verificações e varreduras
está funcionando bem, o ícone da unidade D voltou ao normal. Creio que os problemas foram
resolvidos.
Muito obrigado pela ajuda, pela gentileza e seriedade dedicadas. Atitudes como a de vcs é
que nos faz acreditar que na internet nao tem só vermes ocupados em prejudicar a vida alheia,
mas tbm pessoas nobres de espírito zeladoras da justiça e do bem comum. Valeu!
San- Iniciante
- Mensagens : 43
Reputação : 0
Data de inscrição : 05/02/2009
Re: trojan que resiste à remoção
Olá San!
Ainda há mais um procedimento a ser feito:
Delete a pasta qoobox que está localizada em C:\, delete também o Log ComboFix.txt também localizado em C:\.
Nota: Se tiver um pen drive, MP3, MP4, ou qualquer tipo de mídia removível, conecte-o(s) ao computador.
Selecione e copie todo este conteúdo abaixo dentro do CÓDIGO (começando da palavra Registry). Cole-o no Bloco de Notas de seu PC e salve-o no desktop como CFScript.txt
Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;
● Não use o mouse nem o teclado quando o ComboFix estiver rodando;
● Quando terminar, será gerado um novo log que estará em C:\ComboFix.txt;
● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.
Na sua próxima resposta, cole o log que estará em C:\ComboFix.txt e nos diga como está o PC depois disto.
Ficamos no aguardo.
Ainda há mais um procedimento a ser feito:
Delete a pasta qoobox que está localizada em C:\, delete também o Log ComboFix.txt também localizado em C:\.
Nota: Se tiver um pen drive, MP3, MP4, ou qualquer tipo de mídia removível, conecte-o(s) ao computador.
Selecione e copie todo este conteúdo abaixo dentro do CÓDIGO (começando da palavra Registry). Cole-o no Bloco de Notas de seu PC e salve-o no desktop como CFScript.txt
- Código:
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6834e8b6-7141-11dd-afc0-806d6172696f}]
Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;
● Não use o mouse nem o teclado quando o ComboFix estiver rodando;
● Quando terminar, será gerado um novo log que estará em C:\ComboFix.txt;
● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.
Na sua próxima resposta, cole o log que estará em C:\ComboFix.txt e nos diga como está o PC depois disto.
Ficamos no aguardo.
Amigo Brasileiro- Membro Pleno
- Mensagens : 882
Reputação : 11
Data de inscrição : 16/12/2008
Página 1 de 2 • 1, 2
Tópicos semelhantes
» Trojan generic
» trojan persistente
» Trumlux a Trojan
» Trojan downloader andromeda
» TR/Crypt.XPACK.gen Trojan
» trojan persistente
» Trumlux a Trojan
» Trojan downloader andromeda
» TR/Crypt.XPACK.gen Trojan
Página 1 de 2
Permissões neste sub-fórum
Não podes responder a tópicos
|
|