19 respostas a este tópico

[Cinthia Valença]

Olá! Não sou de clicar nestes emails com links suspeitos, mas de um tempo prá cá, meu email do hotmail anda disparando mensagens de vírus para minha lista de contatos e estou com medo de estar infectada com algum vírus. Meu email já enviou para minha lista de contatos emails com o título "Que Mentira!", "Jose Roberto Arruda ex-governador do Distrito Federal, PRESO em suite presidencial com mulheres." e o último esta semana foi "Terror na capital do Chile, Santiago de Chile entra para os recordes." todos enviam um link que deve conter vírus. Gostaria que vcs me ajudassem a saber se estou infectada com algum vírus e em caso positivo como devo proceder para extingui-lo. Estou preocupada pois utilizo muito este computador para comprar na internet e internet banking. Abaixo posto o log do Hijack this. Desde já agradeço muito pela ajuda.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:46:17, on 15/02/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe
C:\Program Files\lg_swupdate\GiljabiStart.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\CyberLink\Power2Go\Power2GoExpress.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\NitroPC\NitroPC.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lge.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lge.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O1 - Hosts: ::1 localhost
O1 - Hosts: 200.201.169.111 imagem.caixa.gov.br # GbPlugin
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Program Files\Scpad\scpsssh2.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Program Files\GbPlugin\gbiehcef.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [LG Intelligent Update] "C:\Program Files\lg_swupdate\giljabistart.exe" Gilautouc
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [LGSR] "%ProgramFiles%\LG Software\LG Smart Recovery\MUITransfer\MUIStartMenu.exe" "%ProgramFiles%\LG Software\LG Smart Recovery" UpdateWithCreateOnce "Software\CyberLink\PowerRecover"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Power2GoExpress] "C:\Program Files\CyberLink\Power2Go\Power2GoExpress.exe" /Startup
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [NitroPC] "C:\Program Files\NitroPC\NitroPC.exe" -minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIÇO DE REDE')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Program Files\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O13 - Gopher Prefix:
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.syma...bin/AvSniff.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.aka...vex-2.2.5.0.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.syma...n/bin/cabsa.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://imagem.caixa...cab/gbpdist.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: GbPluginCef - C:\Program Files\GbPlugin\gbiehCef.dll
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Program Files\Scpad\scpLIB.dll
O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Program Files\Scpad\scpLIB.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Gbp Service (GbpSv) - - C:\PROGRA~1\GbPlugin\GbpSv.exe
O23 - Service: Evil Driver Daemon (NishService) - Unknown owner - C:\Program Files\LG Software\System Control Manager\edd.exe
O23 - Service: NitroPC Service (NitroPCSrv) - Intelliclick Informática - C:\Program Files\NitroPC\NitroPCService.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: scpVista - Scopus Tecnologia Ltda - C:\Program Files\Scpad\scpVista.exe

--
End of file - 9124 bytes

[Silas Martins]

Olá Cinthia,
Você já iniciou outro tópico nesta seção e não deu sequencia peço que por favor dê sequencia a este pois estou dispondo de meu tempo para poder lhe auxiliar.


Vou dar as mesmas orientações que havia dado anteriormente, segue abaixo:
Baixe o vacina_SM.bat desative seu antivirus antes de utilizar o arquivo, após baixa-lo clique duas vezes sobre o arquivo, irá surgir uma tela preta e rapidamente irá desaparecer.
Feito isto reinicie o computador e siga as instruções a seguir.....

Faça download do Norman Malware Cleaner clicando na imagem a seguir:

Salve ele exatamente com o nome Norman_Malware_Cleaner em sua área de trabalho (desktop)

Atenção: O programa possui em torno de 51 MB e poderá levar muito tempo em conexões com baixa taxa de transferência. Caso não consiga fazer o download, nos informe, providenciaremos outra forma de resolver seu problema.

• Clique duas vezes no arquivo Norman_Malware_Cleaner.exe para iniciar o instalador.
  
• Por padrão, o programa será instalado numa pasta de nome Norman_Malware_Cleaner em sua área de trabalho. Não altere sua localização.
  
• Durante a instalação vai ser exibido a EULA, clique em Accept e prossiga com a instalação.
  
• Depois de instalado, execute o programa.
  
• Na interface principal, clique no botão ADD
  
• Selecione todas as unidades físicas e removíveis de seu micro (Exemplo: C: , D: , E: , F: e outras se existirem)
  
• Então, clique em StartScan e aguarde até o término do processo.
  Poderá levar um tempo dependendo do tamanho dos arquivos analisados e até mesmo o nível de infecção.
  
• Se for detectado algo, o programa irá solicitar que reinicie seu sistema, clique em Sim e reinicie.
  
• Após isso, vai ser gerado um relatório no mesmo diretório onde este programa foi instalado.
  
• Localize este relatório que aparecerá neste formato:
  NFix_2009-xx-xx_yy-yy-yy.log (onde xx-xx é a data e yy-yy-yy é o horário em que ocorreu o scan)
  
• Copie integralmente o conteúdo dele e cole em sua próxima resposta.

---

Favor alterar sua senha do hotmail e de preferencia uma senha que seja forte (combinando números e letras).

[Cinthia Valença]

Olá Silas! Realmente eu abri ouro tópico, mas por alguns problemas particulares fiquei sem acesso a internet e só consegui retornar ao tópico hoje, porém ele estava fechado. Estou executando o Norman e posto o log dele ainda hoje. Agradeço muito pela sua ajuda.

[Cinthia Valença]

Silas, Estou tentando postar o log no corpo do post mas não estou conseguindo, fica pensando, pensando e não processa. Anexei o arquivo neste post, por gentileza veja se consegue abrir. Desde já agradeço.

[Cinthia Valença]

Silas, não estou conseguindo postar o log do Normam, sendo assim estou anexando o arquivo zipado, se não conseguir visualizar peço me sinalizar. Muito Obrigada!

[Silas Martins]

O anexo não apareceu para mim, peço que se não conseguir anexar envie o arquivo para o http://rapidshare.com/ e me forneça em seguida o link para download do log.

Aguardo retorno

[Cinthia Valença]

Silas,

Segue o link onde está o arquivo:

http://rapidshare.co...-49-44.log.html

Obrigada!

[Silas Martins]

Olá Cinthia,
Por favor me diga se alterou sua senha do hotmail.

Quanto ao log do norman consta que os arquivos presentes na pasta ADOBECS4 são suspeitos porém o Norman não tinha permissão para scaneia-los.

Peço que me diga se utilizou keygen ou crack para instalar este ADOBECS4.
Também me diga se foi você quem criou a pasta C:\Users\Cinthia\Documents\ADBEPHSPCS4_LS1.7z

Me responda essas questões para darmos continuidade.

Aguardo retorno.

[Cinthia Valença]

Olá Silas.

Eu alterei sim a minha senha do hotmail ontem, assim que vc me orientou.

Peguei o cd do photoshop emprestado para instalar em meu computador. Quando abri o cd para fazer a instalação veio uma pasta com um programinha (acho que é esse keygen) para gerar a chave para colocar no programa.
Não fui eu quem criou esta pasta não. Vc acha melhor excluir o programa do computador?

Obrigada!

[Silas Martins]

Aconselho remover o programa Photoshop, pois todo keygen é um trojan.
Siga as instruções a seguir:

Faça o download do programa Bankerfix (by LinhaDefensiva) e salve-o em sua área de trabalho (desktop)

• Salve o seu trabalho e encerre todas as janelas abertas (Navegadores, Players, Jogos, etc...)
  
• Desative temporariamente a proteção residente de seu antivírus e antispyware para evitar conflitos.
  
• Execute o arquivo Bankerfix.exe (um executável SFX feito a partir do WiNRAR)
  
• Primeiro, o programa irá se conectar à internet para buscar atualizações. Aparecerá uma mensagem assim:
  "O bankerfix vai ser agora baixado da internet. Certifique-se que sua conexão está funcionando completamente e clique em OK"
  
  
• Assegure-se que sua conexão com a internet esteja ativa e funcionando.
  
• Se ocorrer alguma notificação, permita a operação.
  
• Aguarde um pouco até o programa ser atualizado.
  
• Depois disso, o programa será executado.
  
  Atenção: o programa se encarregará de fechar incondicionalmente qualquer janela aberta. Caso a etapa inicial não tenha sido seguida, todas as janelas serão encerradas sem qualquer confirmação ou notificação.
  
  
• Na janela de MS-DOS, vai aparecer uma mensagem "Pressione qualquer tecla para continuar..."
  
• Tecle Enter (<¬) e espere todo processo ser concluído.
  
• Ao término desta operação, vai surgir um arquivo chamado relatorio.txt
  
• Copie todo o conteúdo dele e traga para sua próxima resposta.
  
• Caso não tenha acessado ele, abra menu INICIAR e escolha Executar
  
• Digite exatamente o comando C:\LinhaDefensiva\relatorio.txt e clique em OK.

---

[Cinthia Valença]

Silas,

Segue abaixo o relatório do bankerfix. Desde já agradeço.

BankerFix 3.1 VALKYRIE - Removedor de Bankers
Linha Defensiva | http://www.linhadefensiva.org
http://www.linhadefe....org/bankerfix/
-------------------------------------------------------
Data: 2010-03-14 - 17:18
-------------------------------------------------------
Lista de Definição: 2010-01-14-1 | CORE: 2010-01-14-1
=======================================================

IP malicioso encontrado no hosts: caixa.gov.br



----- Fim -------------------------

[Silas Martins]

1° Passo: Baixe e execute o HostsXpert.

→Execute o HostsXpert, por meio do arquivo HostsXpert.exe,
→clique em Restore Microsoft's Hosts File e aperte em OK.
→Depois disso, finalize o programa.

2º Passo
Baixe o Malwarebytes Anti-Malware

• Inicie a instalação clique em "mbam-setup.exe";
  
• Marque "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em concluir.
  
• Marque "Verificação Rápida" e depois clique em Verificar.
  
• Quando o scan terminar, clique em Ok e em "Mostrar Resultados" para ver o log;
  
• Se algo for detectado, veja se tudo está marcado e clique em "Remover";
  
• O log é automaticamente gravado e pode ser consultado clicando em "Logs" do menu principal;
  
• Copie e cole esse log, juntamente com o novo log do hijacktihis na sua

próxima resposta.

---

Aguado o retorno.

[Cinthia Valença]

Olá Silas, segue abaixo o log do Malwarebytes. Já já posto novo log do hijackthis. Obrigada!

Malwarebytes' Anti-Malware 1.44
Versão do banco de dados: 3868
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

14/03/2010 22:00:46
mbam-log-2010-03-14 (22-00-46).txt

Tipo de Verificação: Rápida
Objetos verificados: 108904
Tempo decorrido: 22 minute(s), 42 second(s)

Processos da Memória infectados: 0
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 0
Valores do Registro infectados: 0
Ítens do Registro infectados: 0
Pastas infectadas: 0
Arquivos infectados: 0

Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)

Chaves do Registro infectadas:
(Nenhum ítem malicioso foi detectado)

Valores do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Ítens do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Pastas infectadas:
(Nenhum ítem malicioso foi detectado)

Arquivos infectados:
(Nenhum ítem malicioso foi detectado)

[Cinthia Valença]

Silas, segue abaixo novo log do hijackthis. Obrigada.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:46:17, on 15/02/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe
C:\Program Files\lg_swupdate\GiljabiStart.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\CyberLink\Power2Go\Power2GoExpress.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\NitroPC\NitroPC.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lge.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lge.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O1 - Hosts: ::1 localhost
O1 - Hosts: 200.201.169.111 imagem.caixa.gov.br # GbPlugin
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Program Files\Scpad\scpsssh2.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Program Files\GbPlugin\gbiehcef.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [LG Intelligent Update] "C:\Program Files\lg_swupdate\giljabistart.exe" Gilautouc
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [LGSR] "%ProgramFiles%\LG Software\LG Smart Recovery\MUITransfer\MUIStartMenu.exe" "%ProgramFiles%\LG Software\LG Smart Recovery" UpdateWithCreateOnce "Software\CyberLink\PowerRecover"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Power2GoExpress] "C:\Program Files\CyberLink\Power2Go\Power2GoExpress.exe" /Startup
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [NitroPC] "C:\Program Files\NitroPC\NitroPC.exe" -minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIÇO DE REDE')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Program Files\MP3 Player Utilities 4.00\AMVConverter\grab.html
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.00\MediaManager\grab.html
O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O13 - Gopher Prefix:
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.syma...bin/AvSniff.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.aka...vex-2.2.5.0.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.syma...n/bin/cabsa.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://imagem.caixa...cab/gbpdist.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: GbPluginCef - C:\Program Files\GbPlugin\gbiehCef.dll
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Program Files\Scpad\scpLIB.dll
O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Program Files\Scpad\scpLIB.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Gbp Service (GbpSv) - - C:\PROGRA~1\GbPlugin\GbpSv.exe
O23 - Service: Evil Driver Daemon (NishService) - Unknown owner - C:\Program Files\LG Software\System Control Manager\edd.exe
O23 - Service: NitroPC Service (NitroPCSrv) - Intelliclick Informática - C:\Program Files\NitroPC\NitroPCService.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: scpVista - Scopus Tecnologia Ltda - C:\Program Files\Scpad\scpVista.exe

--
End of file - 9124 bytes

[Silas Martins]

Olá Cinthia,
Seus logs estão limpos, deixarei o tópico aberto para você verificar durante esta semana se algum contato seu receberá e-mails maliciosos de você.

Aguardo seu retorno em no máximo uma semana.

Atenciosamente

Silas Martins

[Cinthia Valença]

Silas, muito obrigada pela sua ajuda.
Até domingo que vem lhe informo se meus contatos voltaram a receber estas mensagens.
Obrigada!

[Paulo Gurgel]

Colegas, gostaria de acrescentar uma informação relacionada.

Um colega seu que tenha sido infectado por algum malware (seja o mesmo ou não) poderia enviar um email usando seu remetente para a lista de contatos dele, sendo que seu computador está limpo. É a mesma técnica que alguns spams sofisticados usam para mandar email como se fosse de algum banco e o email realmente parece vindo do banco olhando no outlook/thunderbird/gmail.. mas se você olha os headers vê que o servidor smtp usado para o envio é outro.... a maioria destes emails hoje já são filtrados pelos antispams, mas mesmo assim pode acontecer de algum estar a tal nível de sofisticação que vai passar.

[]'s

[Silas Martins]

Realmente Paulo existe e é muito usada essa técnica que você descreveu mas neste caso eu analisei o virus que vem no e-mail que mentira! e capta o password do usuário, dai o motivo dos contatos dela estarem recebendo os e-mails, e também o motivo pelo qual eu pedi para que alterasse a senha

[Cinthia Valença]

Silas,
Meu hotmail por enquanto não mandou mais essas mensagens para lista de contatos.
Mais uma vez deixo o meu agradecimento pela sua boa vontade aqui!
Abraços!

[Silas Martins]

Caso Resolvido.

Caso o autor desejar reabri-lo, favor entrar em contato conosco explicando o motivo.