Fórum SecSecurity

Implementando Limpeza e Seguranca em seu computador!

Palavras chave

Últimos assuntos

» PW Clean 2.7 ( ... by Doutor PW )
Ter Maio 15, 2018 9:27 am por joram

» CKScanner ( ... by askey127 )
Sab Maio 05, 2018 1:12 pm por joram

» AdwCleaner ( ... by XPlode )
Seg Abr 16, 2018 8:47 am por joram

» ZHPDiag ( ... de Nicolas Coolman )
Sab Abr 14, 2018 8:56 am por joram

» Argente - Registry Cleaner ( ... by Argente Software )
Dom Nov 19, 2017 4:36 pm por joram

» ListChkdskResult ( ... by SleepyDude )
Dom Set 24, 2017 1:39 pm por joram

» Clean_DNS ( ... by g3n-h@ckm@n )
Dom Jul 16, 2017 6:00 pm por joram

»  MCShield ( ... by Borislav Šurbat and Boban Spasić )
Qua Jul 12, 2017 3:22 pm por joram

» CheckDiskGUI ( ... by Emiel Wieldraaijer )
Seg Jul 10, 2017 11:08 am por joram

Dezembro 2018

SegTerQuaQuiSexSabDom
     12
3456789
10111213141516
17181920212223
24252627282930
31      

Calendário Calendário

Parceiros

Fórum grátis

Os membros mais marcados


    Rootkits são mesmo sobras de vários softwares

    Compartilhe
    avatar
    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Seg Jul 28, 2014 4:49 pm

    Boa  tarde !

    Rootkits são  mesmo sobras de vários softwares  !!!


    Se não  vejamos .   Em uma otimização  ( seção windows ) do sistema :


    [Você precisa estar registrado e conectado para ver este link.]

    [Você precisa estar registrado e conectado para ver este link.]

    E :

    Desenvolveram sozinhos de ontem para hoje :

    c:\windows\system32\drivers\boecfccm.sys
    2014-07-28 17:55 . 2012-01-10 03:21 258392 ------w- c:\windows\system32\drivers\kfkagijf.sys

    No penúltimo log e recente não constava :


    [Você precisa estar registrado e conectado para ver este link.]


    [Você precisa estar registrado e conectado para ver este link.]

    Abraços


    Última edição por Agente da C&A em Seg Jul 28, 2014 5:41 pm, editado 1 vez(es)
    avatar
    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 623
    Data de inscrição : 14/08/2012
    Idade : 65
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Seg Jul 28, 2014 5:40 pm

    Boa Noite! Agente da C&A


    |- Rootkits não são sobras de softwares e geralmente vem como serviços ocultos,que possuem a função de proteger ou 'camuflar' objetos maliciosos,evitando que sejam detectados por antivírus
    Costuma-se comprimi-los em UPX,onde somente ferramentas especializadas podem detectá-los.

    RegLock::
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]

    |- Este script deverá ser rodado no CFScript para desbloquear as entradas.

    RegLockDel::
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]

    |- Este outro pode ser rodado,na tentativa de remoção.

    Registry::
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
    [-HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    [-HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]

    |- Ou este,após o desbloqueio.

    Abs!


    nn


    Última edição por joram em Seg Jul 28, 2014 6:56 pm, editado 2 vez(es)
    avatar
    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Seg Jul 28, 2014 5:57 pm

    Boa noite !


    Mas estes CFScript   com  combofix ?  OTM ?  OTL ?




    Abraços
    avatar
    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 623
    Data de inscrição : 14/08/2012
    Idade : 65
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Seg Jul 28, 2014 6:09 pm

    Agente da C&A escreveu:Boa noite !


    Mas estes CFScript   com  combofix ?  OTM ?  OTL ?




    Abraços
    Olá!

    |- São scripts para serem executados no ComboFix.

    Agente da C&A escreveu:Vc  leu  minha editação  sobre :

    c:\windows\system32\drivers\boecfccm.sys
    2014-07-28 17:55 . 2012-01-10 03:21 258392 ------w- c:\windows\system32\drivers\kfkagijf.sys

    |- Não! O que queres saber?

    Abs!
    avatar
    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Seg Jul 28, 2014 6:24 pm

    Boa  noite !


    Sobre estes dois  drivers não  constarem no log do combofix;  no de ontem .   E agora  constam !

    Irei de executar combofix com os devidos  scripts .


    Abraços
    avatar
    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 623
    Data de inscrição : 14/08/2012
    Idade : 65
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Seg Jul 28, 2014 6:32 pm

    Agente da C&A escreveu:Boa  noite !


    Sobre estes dois  drivers não  constarem no log do combofix;  no de ontem .   E agora  constam !

    Irei de executar combofix com os devidos  scripts .


    Abraços
    Olá!

    |- São suspeitos,já que não encontrei referências aos mesmos.

    rootkit::
    c\windows\system32\drivers\boecfccm.sys
    c:\windows\system32\drivers\kfkagijf.sys

    Driver::
    boecfccm
    kfkagijf


    |- Inclua,também,este outro.

    S2 MalwareDefenderService;Malware Defender Service;c:\program files\malware defender\mdservice.exe [2012-01-10 90968]

    |- Desinstale: Malware Defender <<
    |- Ps: Parece estar associado aos objetos.

    < http://systemexplorer.net/pt/file-database/file/mdservice-exe >



    |- Foi vc que o instalou?
    |- Ps: Editei erros de comando ao script no ComboFix. Portanto,refaça o scan caso a ferramenta não funcione adequadamente.

    Abs!
    avatar
    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Seg Jul 28, 2014 7:02 pm

    Sim ; instalei para remover as chaves bloqueadas . Ele  remove as  mesmas e até rootkits .   Com exceção das  do CIS . rsrsrs .


    Exato :

    c:\windows\system32\drivers\mjmjkodk.sys .   Este  constou no log gerado; o para desbloqueiar as chaves do CIS :


    [Você precisa estar registrado e conectado para ver este link.]


    Abraços
    avatar
    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 623
    Data de inscrição : 14/08/2012
    Idade : 65
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Seg Jul 28, 2014 7:18 pm

    Boa Noite! Agente da C&A

    RegLock::
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]


    Registry::
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
    [-HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    [-HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]


    rootkit::
    c:\windows\system32\drivers\mjmjkodk.sys


    Driver::
    mjmjkodk

    |- Execute este script ao ComboFix.
    |- Se possível,faça-o em Modo de Segurança.

    Abs!
    avatar
    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Seg Jul 28, 2014 7:48 pm

    Nada de remover as chaves :

    ComboFix 14-07-25.01 - EDSON 28/07/2014  20:18:06.2.2 - x86
    Microsoft Windows 7 Home Basic   6.1.7601.1.1252.55.1046.18.1981.782 [GMT -3]
    Executando de: c:\users\EDSON\Desktop\ComboFix.exe
    Comandos utilizados :: c:\users\EDSON\Desktop\CFScript.txt
    AV: avast! Antivirus *Enabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
    SP: avast! Antivirus *Enabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
    .
    ADS - drivers: deleted 208 bytes in 1 streams.
    .
    ((((((((((((((((   Arquivos/Ficheiros criados de 2014-06-28 to 2014-07-28  ))))))))))))))))))))))))))))
    .
    .
    2014-07-28 23:28 . 2014-07-28 23:28 -------- d-----w- c:\users\Default\AppData\Local\temp
    2014-07-28 17:55 . 2014-07-28 23:15 -------- d-----w- c:\program files\Malware Defender
    2014-07-28 17:53 . 2014-07-28 20:12 -------- d-----w- c:\users\EDSON\AppData\Local\CrashDumps
    2014-07-26 17:21 . 2014-07-26 17:27 -------- d-sh--w- c:\users\EDSON\AppData\Local\EmieUserList
    2014-07-26 17:21 . 2014-07-26 17:27 -------- d-sh--w- c:\users\EDSON\AppData\Local\EmieSiteList
    2014-07-25 00:04 . 2014-07-26 01:04 -------- d-----w- c:\users\EDSON\Governo da República Eslovaca - Controle anti-corrupção
    2014-07-23 14:58 . 2014-07-23 14:26 24064 ----a-w- c:\windows\zoek-delete.exe
    2014-07-23 14:58 . 2014-07-28 23:28 -------- d-----w- c:\users\EDSON\AppData\Local\Temp
    2014-07-18 21:03 . 2014-07-18 21:03 -------- d-----w- c:\users\EDSON\AppData\Local\Opera Software
    2014-07-18 16:08 . 2014-07-18 16:08 -------- d-----w- c:\program files\Common Files\Java
    2014-07-18 16:07 . 2014-07-18 16:07 96680 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
    2014-07-18 16:07 . 2014-07-18 16:07 -------- d-----w- c:\program files\Java
    2014-07-09 12:58 . 2014-06-18 01:52 399360 ----a-w- c:\program files\Common Files\Microsoft Shared\Ink\tabskb.dll
    2014-07-09 12:58 . 2014-06-18 01:51 646144 ----a-w- c:\windows\system32\osk.exe
    2014-07-09 12:58 . 2014-06-18 00:52 2350080 ----a-w- c:\windows\system32\win32k.sys
    2014-07-09 12:58 . 2014-05-30 07:52 247808 ----a-w- c:\windows\system32\schannel.dll
    2014-07-09 12:58 . 2014-05-30 07:52 550912 ----a-w- c:\windows\system32\kerberos.dll
    2014-07-09 12:58 . 2014-05-30 07:52 220160 ----a-w- c:\windows\system32\ncrypt.dll
    2014-07-09 12:58 . 2014-05-30 07:52 259584 ----a-w- c:\windows\system32\msv1_0.dll
    2014-07-09 12:58 . 2014-05-30 07:52 172032 ----a-w- c:\windows\system32\wdigest.dll
    2014-07-09 12:58 . 2014-05-30 07:52 65536 ----a-w- c:\windows\system32\TSpkg.dll
    2014-07-09 12:57 . 2014-05-30 07:52 17408 ----a-w- c:\windows\system32\credssp.dll
    2014-07-09 12:57 . 2014-05-30 06:36 338944 ----a-w- c:\windows\system32\drivers\afd.sys
    2014-07-09 12:57 . 2014-06-06 09:44 509440 ----a-w- c:\windows\system32\qedit.dll
    2014-07-09 12:57 . 2014-06-05 14:26 1059840 ----a-w- c:\windows\system32\lsasrv.dll
    2014-07-07 16:27 . 2014-07-07 16:27 -------- d-----w- c:\users\EDSON\AppData\Local\Programs
    2014-07-02 22:32 . 2014-07-02 22:32 -------- d-----w- c:\users\EDSON\AppData\Local\Gadwin
    2014-07-02 12:59 . 2014-07-02 12:59 43152 ----a-w- c:\windows\avastSS.scr
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((   Relatório Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2014-07-04 10:22 . 2013-11-08 12:43 414520 ----a-w- c:\windows\system32\drivers\aswsp.sys
    2014-07-02 12:59 . 2013-12-20 13:45 71944 ----a-w- c:\windows\system32\drivers\aswstm.sys
    2014-07-02 12:59 . 2013-11-02 23:21 192352 ----a-w- c:\windows\system32\drivers\aswVmm.sys
    2014-07-02 12:59 . 2013-11-02 23:21 779536 ----a-w- c:\windows\system32\drivers\aswsnx.sys
    2014-07-02 12:59 . 2014-04-30 16:56 24184 ----a-w- c:\windows\system32\drivers\aswHwid.sys
    2014-07-02 12:59 . 2013-11-02 23:21 49944 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
    2014-07-02 12:59 . 2013-11-02 23:21 67824 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
    2014-07-02 12:59 . 2013-11-02 23:21 81768 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
    2014-07-02 12:59 . 2013-04-28 18:33 276432 ----a-w- c:\windows\system32\aswBoot.exe
    2014-05-30 20:41 . 2014-05-30 20:35 13464 ----a-w- c:\windows\system32\drivers\SWDUMon.sys
    2014-05-29 13:42 . 2012-10-21 18:49 48392 ----a-w- c:\windows\system32\certsentry.dll
    2014-05-09 07:06 . 2014-05-14 10:56 369664 ----a-w- c:\windows\system32\aepdu.dll
    2014-05-09 07:04 . 2014-05-14 10:56 302592 ----a-w- c:\windows\system32\aeinv.dll
    2014-05-08 09:06 . 2014-06-11 12:59 2742784 ----a-w- c:\windows\system32\rdpcorets.dll
    2014-05-08 09:06 . 2014-06-11 12:59 13824 ----a-w- c:\windows\system32\RdpGroupPolicyExtension.dll
    .
    .
    ((((((((((((((((((((((((((   Pontos de Carregamento do Registro   )))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* entradas vazias e legítimas por padrão não são apresentadas. 
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
    @="{472083B0-C522-11CF-8763-00608CC02F24}"
    [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
    2014-07-02 12:59 578240 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Gadwin PrintScreen Pro (32-bit)"="c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe" [2014-02-21 13022888]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AvastUI.exe"="c:\program files\AVAST Software\Avast\AvastUI.exe" [2014-07-02 4086432]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableLUA"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
    2014-06-26 20:21 1746984 ----a-w- c:\program files\GbPlugin\gbieh.dll
    .
    [HKLM\~\startupfolder\C:^Users^EDSON^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Recorte de tela e Iniciador do OneNote 2007.lnk]
    backup=c:\windows\pss\Recorte de tela e Iniciador do OneNote 2007.lnk.Startup
    backupExtension=.Startup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
    2013-11-21 16:57 959904 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadwin PrintScreen Pro (32-bit)]
    2014-02-21 10:47 13022888 ----a-w- c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
    2009-02-26 21:36 30040 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
    2011-02-11 22:26 171032 ----a-w- c:\windows\System32\hkcmd.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
    2011-02-11 22:26 137752 ----a-w- c:\windows\System32\igfxtray.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
    2011-02-11 22:26 172568 ----a-w- c:\windows\System32\igfxpers.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2014-07-11 05:39 256896 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesOverride"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "UpdatesOverride"=dword:00000001
    .
    R1 kfkagijf;kfkagijf;c:\windows\system32\drivers\kfkagijf.sys [x]
    R3 cxbu0wdm;OMNIKEY 3x21;c:\windows\system32\DRIVERS\cxbu0wdm.sys [2011-09-06 119040]
    R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2014-06-18 108032]
    S0 aswRvrt;avast! Revert; [x]
    S0 aswVmm;avast! VM Monitor; [x]
    S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [2014-03-14 47192]
    S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2014-07-02 779536]
    S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2014-07-04 414520]
    S2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys [2014-07-02 24184]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2014-07-02 67824]
    S2 aswStm;aswStm;c:\windows\system32\drivers\aswStm.sys [2014-07-02 71944]
    S2 DragonUpdater;COMODO Dragon Update Service;c:\program files\Comodo\Dragon\dragon_updater.exe [2014-05-21 2135232]
    S2 GbpSv;Gbp Service;c:\progra~1\GbPlugin\GbpSv.exe [2014-06-26 555048]
    .
    .
    --- =Outros Serviços/Drivers Na Memória ---
    .
    *NewlyCreated* - MJMJKODK
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ   SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc SensrSvc
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
    2014-07-17 13:38 1104200 ----a-w- c:\program files\Google\Chrome\Application\36.0.1985.125\Installer\chrmstp.exe
    .
    Conteúdo da pasta 'Tarefas Agendadas'
    .
    2014-07-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
    .
    2014-07-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
    .
    .
    ------- Scan Suplementar -------
    .
    uStart Page = [Você precisa estar registrado e conectado para ver este link.]
    mStart Page = [Você precisa estar registrado e conectado para ver este link.]
    mSearch Bar = [Você precisa estar registrado e conectado para ver este link.]
    uInternet Settings,ProxyOverride = *.local
    uInternet Settings,ProxyServer = 127.0.0.1:8080
    Trusted Zone: bancobrasil.com.br\www
    Trusted Zone: bancobrasil.com.br\www14
    Trusted Zone: bancobrasil.com.br\www2
    Trusted Zone: bb.com.br\seg
    Trusted Zone: bb.com.br\www
    TCP: DhcpNameServer = 192.168.0.1
    FF - ProfilePath - c:\users\EDSON\AppData\Roaming\Mozilla\Firefox\Profiles\s5mdtf9j.default\
    FF - prefs.js: browser.search.defaulturl - [Você precisa estar registrado e conectado para ver este link.]
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - [Você precisa estar registrado e conectado para ver este link.]
    FF - prefs.js: keyword.URL - [Você precisa estar registrado e conectado para ver este link.]
    .
    .
    --------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
    .
    Tempo para conclusão: 2014-07-28  20:30:29
    ComboFix-quarantined-files.txt  2014-07-28 23:30
    .
    Pré-execução: 475.140.030.464 bytes disponíveis
    Pós execução: 475.091.869.696 bytes disponíveis
    .
    - - End Of File - - 75ACB599E37C721AAE625EFB8AD66329
    A36C5E4F47E84449FF07ED3517B43A31


    Não tem  mais os  novos rootkits :


    Runscanner logfile [Você precisa estar registrado e conectado para ver este link.]

    * = signed file
    - = file not found

    General info
    ------------
    Computer name : EDSON-PC
    Creation time : 28/07/2014 21:13:17
    Hosts <> 127.0.0.1 : 0
    Hosts file location : %SystemRoot%\System32\drivers\etc
    IE version : 9.11.9600.17207
    OS : Windows 7 Home Basic
    OS Build : 7601
    OS SP : Service Pack 1
    RunScanner Version : 2.0.0.60
    User Language : Português (Brasil)
    User rights : Administrator
    Windows folder : C:\Windows

    Running processes
    -----------------
    * C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
    * C:\Windows\System32\wininit.exe (Microsoft Corporation)
    * C:\Windows\System32\winlogon.exe (Microsoft Corporation)
    * C:\Windows\System32\services.exe (Microsoft Corporation)
    * C:\Windows\System32\spoolsv.exe (Microsoft Corporation)
    * C:\Program Files\AVAST Software\Avast\AvastUI.exe (AVAST Software)
    * C:\Program Files\AVAST Software\Avast\AvastSvc.exe (AVAST Software)
    * C:\Program Files\Comodo\Dragon\dragon_updater.exe
    * C:\Program Files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe (Gadwin Systems)
    * C:\PROGRA~1\GbPlugin\gbpsv.exe (GAS Tecnologia)
    * C:\Windows\System32\dwm.exe (Microsoft Corporation)
    * C:\Windows\System32\smss.exe (Microsoft Corporation)
    * C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.)
    * C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.)
    * C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.)
    * C:\Windows\System32\SearchIndexer.exe (Microsoft Corporation)
    * C:\Windows\servicing\TrustedInstaller.exe (Microsoft Corporation)
    * C:\Windows\System32\lsass.exe (Microsoft Corporation)
    * C:\Windows\System32\taskeng.exe (Microsoft Corporation)
    * C:\Windows\System32\SearchFilterHost.exe (Microsoft Corporation)
    * C:\Windows\System32\SearchProtocolHost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\taskhost.exe (Microsoft Corporation)
    * C:\Windows\System32\taskhost.exe (Microsoft Corporation)
    * C:\Windows\System32\csrss.exe (Microsoft Corporation)
    * C:\Windows\System32\csrss.exe (Microsoft Corporation)
    * C:\Users\EDSON\Downloads\runscanner.exe (Runscanner.net)
    * C:\Program Files\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
    * C:\Windows\System32\lsm.exe (Microsoft Corporation)
    * C:\Windows\explorer.exe (Microsoft Corporation)
    * C:\Windows\System32\wbem\WmiPrvSE.exe (Microsoft Corporation)

    Unrated items
    -------------
    002 * C:\Program Files\AVAST Software\Avast\AvastUI.exe (AVAST Software)
    003 * C:\Program Files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe (Gadwin Systems)
    010 * C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (.NET Runtime Optimization Service)
    010 * C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Acrobat Update Service)
    010 * C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe® Flash® Player Update Service 12.0 r0)
    010 * C:\Program Files\AVAST Software\Avast\AvastSvc.exe (avast! Service)
    010 * C:\Program Files\Comodo\Dragon\dragon_updater.exe (dragon_updater.exe)
    010 * C:\PROGRA~1\GbPlugin\GbpSv.exe (G-Buster Browser Defense - Service)
    010 * C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe (maintenanceservice.exe)
    011   c:\windows\system32\drivers\aswHwid.sys (aswHwid.sys)
    011 * C:\Windows\system32\drivers\aswRvrt.sys (aswRvrt.sys)
    011 * C:\Windows\system32\drivers\aswVmm.sys (aswVmm.sys)
    011 * c:\windows\system32\drivers\aswMonFlt.sys (avast! File System Minifilter for Windows 2003/Vista)
    011 * c:\windows\system32\drivers\aswSP.sys (avast! self protection module)
    011 * c:\windows\system32\drivers\aswSnx.sys (avast! Virtualization Driver)
    011 * c:\windows\system32\drivers\aswRdr2.sys (avast! WFP Redirect Driver)
    011 * C:\Windows\system32\DRIVERS\gbpndisrdn.sys (GAS Tecnologia - LWF Helper Driver)
    011 * C:\Windows\system32\drivers\gbpkm.sys (GbPlugin Device Driver)
    011 * c:\windows\system32\drivers\aswStm.sys (Stream Filter)
    035 * C:\Program Files\Google\Chrome\Application\36.0.1985.125\Installer\chrmstp.exe (Google Inc.) {8A69D345-D564-463c-AFF1-A69D9E530F96}
    047   Zone: seg.bb.com.br : [Você precisa estar registrado e conectado para ver este link.]
    047   Zone: [Você precisa estar registrado e conectado para ver este link.] : *.www.bancobrasil.com.br
    047   Zone: [Você precisa estar registrado e conectado para ver este link.] : *.www.bb.com.br
    047   Zone: [Você precisa estar registrado e conectado para ver este link.] : [Você precisa estar registrado e conectado para ver este link.]
    047   Zone: www14.bancobrasil.com.br : *.www14.bancobrasil.com.br
    047   Zone: www14.bancobrasil.com.br : [Você precisa estar registrado e conectado para ver este link.]
    047   Zone: www2.bancobrasil.com.br : *.www2.bancobrasil.com.br
    047   Zone: www2.bancobrasil.com.br : [Você precisa estar registrado e conectado para ver este link.]
    050 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil) {E37CB5F0-51F5-4395-A808-5FA49E399F83}
    052 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil) {C41A1C0E-EA6C-11D4-B1B8-444553540000}
    052 * C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software) {8E5E2654-AD2D-48bf-AC2D-D17F00898D06}
    052 * C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation) {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
    052 * C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) {DBC80044-A445-435b-BC74-9C25C1C588A9}
    061 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
    061 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil) {98C11555-BC81-40aa-A053-DAADC5630000}
    061 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil) {E37CB5F0-51F5-4395-A808-5FA49E399F83}
    062 * C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}
    067 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil)
    100   ProxyServer HKCU : 127.0.0.1:8080
    100   ProxyServer HKLM : 127.0.0.1:8080
    100   Start Page HKCU : [Você precisa estar registrado e conectado para ver este link.]
    100   Start Page HKLM : [Você precisa estar registrado e conectado para ver este link.]
    104 * C:\Windows\system32\Macromed\Flash\Flash32_12_0_0_70.ocx (Adobe Systems, Inc.) {D27CDB6E-AE6D-11CF-96B8-444553540000}
    173 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
    221 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
    223 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
    225 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
    225 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
    231 * C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) PDF Column Info
    241 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
    254 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil) {98C11555-BC81-40aa-A053-DAADC5630000}

    Missing files
    -------------
    011 c:\windows\system32\drivers\mjmjkodk.sys
    032 rdpclip



    Abraços
    avatar
    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 623
    Data de inscrição : 14/08/2012
    Idade : 65
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Seg Jul 28, 2014 8:41 pm

    Boa Noite! Agente da C&A

    |- Como vc desinstalou o Comodo?

    [Você precisa estar registrado e conectado para ver este link.]

    |- Chegou a utilizar este batch?

    Abs!
    avatar
    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Seg Jul 28, 2014 9:31 pm

    Boa noite !


    Vamos em  partes ; combofix no modo seguro :

    ComboFix 14-07-25.01 - EDSON 28/07/2014  21:41:37.1.2 - x86 MINIMAL
    Microsoft Windows 7 Home Basic   6.1.7601.1.1252.55.1046.18.1981.1372 [GMT -3]
    Executando de: c:\users\EDSON\Desktop\ComboFix.exe
    Comandos utilizados :: c:\users\EDSON\Desktop\CFScript.txt
    AV: avast! Antivirus *Enabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
    SP: avast! Antivirus *Enabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
     * Criado um novo ponto de restauração
    .
    ADS - drivers: deleted 208 bytes in 1 streams.
    .
    (((((((((((((((((((((((((((((((((((((   Outras Exclusões   )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((((   Drivers/Serviços   )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    -------\Legacy_MJMJKODK
    .
    .
    ((((((((((((((((   Arquivos/Ficheiros criados de 2014-06-28 to 2014-07-29  ))))))))))))))))))))))))))))
    .
    .
    2014-07-29 00:45 . 2014-07-29 00:45 -------- d-----w- c:\users\Default\AppData\Local\temp
    2014-07-29 00:40 . 2014-07-29 00:45 12568 ----a-w- c:\windows\system32\drivers\PROCEXP113.SYS
    2014-07-28 23:40 . 2014-07-28 23:43 -------- d-----w- c:\users\EDSON\AppData\Roaming\Runscanner.net
    2014-07-28 17:53 . 2014-07-28 20:12 -------- d-----w- c:\users\EDSON\AppData\Local\CrashDumps
    2014-07-26 17:21 . 2014-07-26 17:27 -------- d-sh--w- c:\users\EDSON\AppData\Local\EmieUserList
    2014-07-26 17:21 . 2014-07-26 17:27 -------- d-sh--w- c:\users\EDSON\AppData\Local\EmieSiteList
    2014-07-25 00:04 . 2014-07-26 01:04 -------- d-----w- c:\users\EDSON\Governo da República Eslovaca - Controle anti-corrupção
    2014-07-23 14:58 . 2014-07-23 14:26 24064 ----a-w- c:\windows\zoek-delete.exe
    2014-07-23 14:58 . 2014-07-29 00:54 -------- d-----w- c:\users\EDSON\AppData\Local\Temp
    2014-07-18 21:03 . 2014-07-18 21:03 -------- d-----w- c:\users\EDSON\AppData\Local\Opera Software
    2014-07-18 16:08 . 2014-07-18 16:08 -------- d-----w- c:\program files\Common Files\Java
    2014-07-18 16:07 . 2014-07-18 16:07 96680 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
    2014-07-18 16:07 . 2014-07-18 16:07 -------- d-----w- c:\program files\Java
    2014-07-09 12:58 . 2014-06-18 01:52 399360 ----a-w- c:\program files\Common Files\Microsoft Shared\Ink\tabskb.dll
    2014-07-09 12:58 . 2014-06-18 01:51 646144 ----a-w- c:\windows\system32\osk.exe
    2014-07-09 12:58 . 2014-06-18 00:52 2350080 ----a-w- c:\windows\system32\win32k.sys
    2014-07-09 12:58 . 2014-05-30 07:52 247808 ----a-w- c:\windows\system32\schannel.dll
    2014-07-09 12:58 . 2014-05-30 07:52 550912 ----a-w- c:\windows\system32\kerberos.dll
    2014-07-09 12:58 . 2014-05-30 07:52 220160 ----a-w- c:\windows\system32\ncrypt.dll
    2014-07-09 12:58 . 2014-05-30 07:52 259584 ----a-w- c:\windows\system32\msv1_0.dll
    2014-07-09 12:58 . 2014-05-30 07:52 172032 ----a-w- c:\windows\system32\wdigest.dll
    2014-07-09 12:58 . 2014-05-30 07:52 65536 ----a-w- c:\windows\system32\TSpkg.dll
    2014-07-09 12:57 . 2014-05-30 07:52 17408 ----a-w- c:\windows\system32\credssp.dll
    2014-07-09 12:57 . 2014-05-30 06:36 338944 ----a-w- c:\windows\system32\drivers\afd.sys
    2014-07-09 12:57 . 2014-06-06 09:44 509440 ----a-w- c:\windows\system32\qedit.dll
    2014-07-09 12:57 . 2014-06-05 14:26 1059840 ----a-w- c:\windows\system32\lsasrv.dll
    2014-07-07 16:27 . 2014-07-07 16:27 -------- d-----w- c:\users\EDSON\AppData\Local\Programs
    2014-07-02 22:32 . 2014-07-02 22:32 -------- d-----w- c:\users\EDSON\AppData\Local\Gadwin
    2014-07-02 12:59 . 2014-07-02 12:59 43152 ----a-w- c:\windows\avastSS.scr
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((   Relatório Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2014-07-04 10:22 . 2013-11-08 12:43 414520 ----a-w- c:\windows\system32\drivers\aswsp.sys
    2014-07-02 12:59 . 2013-12-20 13:45 71944 ----a-w- c:\windows\system32\drivers\aswstm.sys
    2014-07-02 12:59 . 2013-11-02 23:21 192352 ----a-w- c:\windows\system32\drivers\aswVmm.sys
    2014-07-02 12:59 . 2013-11-02 23:21 779536 ----a-w- c:\windows\system32\drivers\aswsnx.sys
    2014-07-02 12:59 . 2014-04-30 16:56 24184 ----a-w- c:\windows\system32\drivers\aswHwid.sys
    2014-07-02 12:59 . 2013-11-02 23:21 49944 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
    2014-07-02 12:59 . 2013-11-02 23:21 67824 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
    2014-07-02 12:59 . 2013-11-02 23:21 81768 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
    2014-07-02 12:59 . 2013-04-28 18:33 276432 ----a-w- c:\windows\system32\aswBoot.exe
    2014-05-30 20:41 . 2014-05-30 20:35 13464 ----a-w- c:\windows\system32\drivers\SWDUMon.sys
    2014-05-29 13:42 . 2012-10-21 18:49 48392 ----a-w- c:\windows\system32\certsentry.dll
    2014-05-09 07:06 . 2014-05-14 10:56 369664 ----a-w- c:\windows\system32\aepdu.dll
    2014-05-09 07:04 . 2014-05-14 10:56 302592 ----a-w- c:\windows\system32\aeinv.dll
    2014-05-08 09:06 . 2014-06-11 12:59 2742784 ----a-w- c:\windows\system32\rdpcorets.dll
    2014-05-08 09:06 . 2014-06-11 12:59 13824 ----a-w- c:\windows\system32\RdpGroupPolicyExtension.dll
    .
    .
    ((((((((((((((((((((((((((   Pontos de Carregamento do Registro   )))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* entradas vazias e legítimas por padrão não são apresentadas. 
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
    @="{472083B0-C522-11CF-8763-00608CC02F24}"
    [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
    2014-07-02 12:59 578240 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Gadwin PrintScreen Pro (32-bit)"="c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe" [2014-02-21 13022888]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AvastUI.exe"="c:\program files\AVAST Software\Avast\AvastUI.exe" [2014-07-02 4086432]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableLUA"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
    2014-06-26 20:21 1746984 ----a-w- c:\program files\GbPlugin\gbieh.dll
    .
    [HKLM\~\startupfolder\C:^Users^EDSON^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Recorte de tela e Iniciador do OneNote 2007.lnk]
    backup=c:\windows\pss\Recorte de tela e Iniciador do OneNote 2007.lnk.Startup
    backupExtension=.Startup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
    2013-11-21 16:57 959904 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadwin PrintScreen Pro (32-bit)]
    2014-02-21 10:47 13022888 ----a-w- c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
    2009-02-26 21:36 30040 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
    2011-02-11 22:26 171032 ----a-w- c:\windows\System32\hkcmd.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
    2011-02-11 22:26 137752 ----a-w- c:\windows\System32\igfxtray.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
    2011-02-11 22:26 172568 ----a-w- c:\windows\System32\igfxpers.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2014-07-11 05:39 256896 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesOverride"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "UpdatesOverride"=dword:00000001
    .
    R0 aswRvrt;avast! Revert; [x]
    R0 aswVmm;avast! VM Monitor; [x]
    R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2014-07-02 779536]
    R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2014-07-04 414520]
    R1 Ndisrd;GAS Tecnologia Filter Driver;c:\windows\system32\DRIVERS\gbpndisrdn.sys [2014-03-10 29400]
    R2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys [2014-07-02 24184]
    R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2014-07-02 67824]
    R2 aswStm;aswStm;c:\windows\system32\drivers\aswStm.sys [2014-07-02 71944]
    R2 DragonUpdater;COMODO Dragon Update Service;c:\program files\Comodo\Dragon\dragon_updater.exe [2014-05-21 2135232]
    R2 GbpSv;Gbp Service;c:\progra~1\GbPlugin\GbpSv.exe [2014-06-26 555048]
    R2 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2013-06-19 107392]
    R3 cxbu0wdm;OMNIKEY 3x21;c:\windows\system32\DRIVERS\cxbu0wdm.sys [2011-09-06 119040]
    R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2014-06-18 108032]
    R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 14848]
    R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-03-02 139776]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2013-10-02 49152]
    R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2012-08-23 27136]
    S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [2014-03-14 47192]
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ   SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc SensrSvc
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
    2014-07-17 13:38 1104200 ----a-w- c:\program files\Google\Chrome\Application\36.0.1985.125\Installer\chrmstp.exe
    .
    Conteúdo da pasta 'Tarefas Agendadas'
    .
    2014-07-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
    .
    2014-07-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
    .
    .
    ------- Scan Suplementar -------
    .
    uStart Page = [Você precisa estar registrado e conectado para ver este link.]
    mStart Page = [Você precisa estar registrado e conectado para ver este link.]
    mSearch Bar = [Você precisa estar registrado e conectado para ver este link.]
    uInternet Settings,ProxyOverride = *.local
    uInternet Settings,ProxyServer = 127.0.0.1:8080
    Trusted Zone: bancobrasil.com.br\www
    Trusted Zone: bancobrasil.com.br\www14
    Trusted Zone: bancobrasil.com.br\www2
    Trusted Zone: bb.com.br\seg
    Trusted Zone: bb.com.br\www
    TCP: DhcpNameServer = 192.168.0.1
    FF - ProfilePath - c:\users\EDSON\AppData\Roaming\Mozilla\Firefox\Profiles\s5mdtf9j.default\
    FF - prefs.js: browser.search.defaulturl - [Você precisa estar registrado e conectado para ver este link.]
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - [Você precisa estar registrado e conectado para ver este link.]
    FF - prefs.js: keyword.URL - [Você precisa estar registrado e conectado para ver este link.]
    .
    .
    --------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
    .
    ------------------------ Outros Processos em Execução ------------------------
    .
    c:\windows\system32\conhost.exe
    c:\windows\regedit.exe
    .
    **************************************************************************
    .
    Tempo para conclusão: 2014-07-28  21:57:04 - Máquina reiniciou
    ComboFix-quarantined-files.txt  2014-07-29 00:57
    .
    Pré-execução: 475.344.121.856 bytes disponíveis
    Pós execução: 475.036.438.528 bytes disponíveis
    .
    - - End Of File - - 6D7A3268F65CEB56086EE8D9EC5170BD
    A36C5E4F47E84449FF07ED3517B43A31


    [Você precisa estar registrado e conectado para ver este link.]



    A  cada hora um  suspeito diferente <<<<<    c:\windows\system32\drivers\PROCEXP113.SYS




    Desinstalei o CIS com o  revo e faz há algum tempo .


    Executei o bat  agora :


    Pelos  prints das telas em DOS;  vários arquivos/caminhos ficheiros do mesmo não foram encontrados e algo no registro foi moved :


    [Você precisa estar registrado e conectado para ver este link.]





    Desativou a central de segurança !


    [Você precisa estar registrado e conectado para ver este link.]




    [Você precisa estar registrado e conectado para ver este link.]


    Abraços
    avatar
    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 623
    Data de inscrição : 14/08/2012
    Idade : 65
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Seg Jul 28, 2014 9:47 pm

    Boa Noite! Agente da C&A


    A  cada hora um  suspeito diferente <<<<<    c:\windows\system32\drivers\PROCEXP113.SYS
    |- Pertence ao RunScanner e é legítimo.

    Agente da C&A escreveu:Desativou a central de segurança !
    |- Depois vc ativa-a novamente. 

    -/-

    |- Baixe: < [Você precisa estar registrado e conectado para ver este link.] > ( ... par tigzy ) ( 32 bits version )

    |- Ou: < [Você precisa estar registrado e conectado para ver este link.]  > ( ... par tigzy ) ( 64 bits version )

    |- Salve-o no desktop! [Você precisa estar registrado e conectado para ver esta imagem.]
    |- Feche aplicativos que estejam abertos!
    |- Execute RogueKiller.exe e aceite a Eula.

    [Você precisa estar registrado e conectado para ver este link.] 

    |- Aguarde a finalização de seu Pre-scan.

    [Você precisa estar registrado e conectado para ver esta imagem.]

    |- Dê início ao diagnóstico,clicando no botão "Verificar". 
    |- Exemplo: Mode: Verificar -- Date: mm/dd/2014 00:52:24
    |- Poste o relatório: RKreport[1].txt

    Abs!
    avatar
    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Seg Jul 28, 2014 10:08 pm

    Boa noite !


    Eis :


    RogueKiller V9.2.4.0 [Jul 11 2014] Por Adlice Software
    mail : [Você precisa estar registrado e conectado para ver este link.]
    Feedback : [Você precisa estar registrado e conectado para ver este link.]
    Site : [Você precisa estar registrado e conectado para ver este link.]
    Blog : [Você precisa estar registrado e conectado para ver este link.]

    Sistema Operacional : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Iniciado em : Modo Normal
    Usuario : EDSON [Privilegios de Admnistrador]
    Modo : Verificar -- Data : 07/28/2014  23:03:11

    ¤¤¤ Entradas ruins : 0 ¤¤¤

    ¤¤¤ Entradas do Registro : 7 ¤¤¤
    [PUM.Proxy] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : 127.0.0.1:8080  -> ENCONTRADO
    [PUM.Proxy] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : 127.0.0.1:8080  -> ENCONTRADO
    [PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0  -> ENCONTRADO
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> ENCONTRADO
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> ENCONTRADO
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> ENCONTRADO
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> ENCONTRADO

    ¤¤¤ As tarefas agendadas : 0 ¤¤¤

    ¤¤¤ Arquivos : 0 ¤¤¤

    ¤¤¤ Arquivo de Hosts : 1 ¤¤¤
    [C:\Windows\System32\drivers\etc\hosts] 127.0.0.1       localhost

    ¤¤¤ Antirootkit : 0 (Driver: Carregado) ¤¤¤

    ¤¤¤ Os navegadores da Web : 0 ¤¤¤

    ¤¤¤ Verificaçao do MBR : ¤¤¤
    +++++ PhysicalDrive0: WDC WD5000AAKX-003CA0 ATA Device +++++
    --- User ---
    [MBR] 51306528823da76791b0bf4eb77f92f8
    [BSP] f3e35c3e9dafaa8d57903de213dfb602 : Windows Vista/7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
    1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 476838 MB
    User = LL1 ... OK
    User = LL2 ... OK


    Todo desafio é aprendizado .   Após o bat a chave :


    HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent  e seus  valores     foram  removidos  cheers  cheers  cheers




    As outras  não.   Ou seja faltam  apenas  estas  duas :


     HKEY_LOCAL_MACHINE\software\COMODO\CIS


    HKEY_LOCAL_MACHINE\system\Software\COMODO



    [Você precisa estar registrado e conectado para ver este link.]

    [Você precisa estar registrado e conectado para ver este link.]



    Abraços
    avatar
    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 623
    Data de inscrição : 14/08/2012
    Idade : 65
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Ter Jul 29, 2014 2:38 am

    Bom Dia! Agente da C&A

    |- Reparei que o Dragon necessita de uma das chaves.

    -/-

    |- Abra,novamente,a ferramenta RogueKiller.
    |- Clique em Verificar.

    [Você precisa estar registrado e conectado para ver esta imagem.]

    |- Clique na guia "Registro".

    [PUM.Proxy] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : 127.0.0.1:8080  -> ENCONTRADO
    [PUM.Proxy] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : 127.0.0.1:8080  -> ENCONTRADO
    [PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0  -> ENCONTRADO
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> ENCONTRADO
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> ENCONTRADO
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> ENCONTRADO
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> ENCONTRADO

    |- Marque as checkbox destas entradas! 
    |- Clique "Deletar" e aguarde a conclusão!
    |- Poste o relatório!

    -/-

    |- Baixe: < [Você precisa estar registrado e conectado para ver este link.] >

    |- Ou aqui: < [Você precisa estar registrado e conectado para ver este link.] >

    |- Descompacte-o para o seu pendrive!
    |- Abra a pasta "Tweaking.com - Windows Repair",que foi criada,e execute "Repair_Windows.exe".

    [Você precisa estar registrado e conectado para ver este link.] 

    |- Ps: Estabeleça 'salvaguardas',antes de executar a ferramenta!
    |- Clique: Step 4 -> Create -> Backup. << Nessa ordem!

    Reset Registry Permissions
    Reset File Permissions
    Repair WMI
    Remove Policies Set By Infections
    Remove Temp Files
    Repair File Associations


    |- Clique: < [Você precisa estar registrado e conectado para ver esta imagem.] >
    |- Marque somente as opções logo àcima.

    [Você precisa estar registrado e conectado para ver esta imagem.]

    |- Mantenha estas marcações e Clique Start.
    |- Haverá reboot! << Aguarde!

    |- Ps: Somente à noite poderei atendê-lo.

    Abs!
    avatar
    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Ter Jul 29, 2014 11:52 am

    Bom dia !   


    Mas a chave HKEY_LOCAL_MACHINE\software\COMODO\CIS   (  que  inclusive não  constou nos seus scripts ao  combofix )    tem  a sigla  CIS e a mesma pelo editor de registro não abre; demonstrando  o caminho inteiro assim HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS] apenas  com malware defender abriu o regedit :


    [Você precisa estar registrado e conectado para ver este link.]



    [Você precisa estar registrado e conectado para ver este link.]


    [Você precisa estar registrado e conectado para ver este link.]



    Comprometendo demais  chaves do registro sem relação alguma  com  o  CIS da comodo :


    [Você precisa estar registrado e conectado para ver este link.]


    E a  HKEY_LOCAL_MACHINE\system\Software\COMODO; em  seu  diretório inteiro  ( HKEY_LOCAL_MACHINE\system\Software\COMODO\CAM\firewall PRO  )  contêm firewall PRO :




    [Você precisa estar registrado e conectado para ver este link.]





    Já  tinha excluido  arquivos  com o  roguekiller :




    RogueKiller V9.2.4.0 [Jul 11 2014] Por Adlice Software
    mail : [Você precisa estar registrado e conectado para ver este link.]
    Feedback : [Você precisa estar registrado e conectado para ver este link.]
    Site : [Você precisa estar registrado e conectado para ver este link.]
    Blog : [Você precisa estar registrado e conectado para ver este link.]


    Sistema Operacional : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Iniciado em : Modo Normal
    Usuario : EDSON [Privilegios de Admnistrador]
    Modo : Remover -- Data : 07/29/2014  12:22:43


    ¤¤¤ Entradas ruins : 0 ¤¤¤


    ¤¤¤ Entradas do Registro : 4 ¤¤¤
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> SUBSTITUIDO (0)
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> SUBSTITUIDO (0)
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> SUBSTITUIDO (0)
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> SUBSTITUIDO (0)


    ¤¤¤ As tarefas agendadas : 0 ¤¤¤


    ¤¤¤ Arquivos : 0 ¤¤¤


    ¤¤¤ Arquivo de Hosts : 1 ¤¤¤
    [C:\Windows\System32\drivers\etc\hosts] 127.0.0.1       localhost


    ¤¤¤ Antirootkit : 0 (Driver: Carregado) ¤¤¤


    ¤¤¤ Os navegadores da Web : 6 ¤¤¤
    [CHROME:Addon] Default : Google Docs [aohghmighlieiainnegkcijnfilokake] -> DELETADO
    [CHROME:Addon] Default : Google Drive [apdfllckaahabafndbhieahigkjlhalf] -> ERROR [2]
    [CHROME:Addon] Default : YouTube [blpcfgokakmgnkcojhhkbfbldkacnbeo] -> ERROR [2]
    [CHROME:Addon] Default : Google Search [coobgpohoikkiipiblmjeljniedjpjpf] -> ERROR [2]
    [CHROME:Addon] Default : Google Wallet [nmmhkkegccagdldgiimedpiccmgmieda] -> ERROR [2]
    [CHROME:Addon] Default : Gmail [pjkljhegncpnkpknbcohdijeoejaedia] -> ERROR [2]


    ¤¤¤ Verificaçao do MBR : ¤¤¤
    +++++ PhysicalDrive0: WDC WD5000AAKX-003CA0 ATA Device +++++
    --- User ---
    [MBR] 51306528823da76791b0bf4eb77f92f8
    [BSP] f3e35c3e9dafaa8d57903de213dfb602 : Windows Vista/7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
    1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 476838 MB
    User = LL1 ... OK
    User = LL2 ... OK




    ============================================

    RKreport_SCN_07292014_121958.log






    Após a segunda remoção :





    RogueKiller V9.2.4.0 [Jul 11 2014] Por Adlice Software

    mail : [Você precisa estar registrado e conectado para ver este link.]

    Feedback : [Você precisa estar registrado e conectado para ver este link.]

    Site : [Você precisa estar registrado e conectado para ver este link.]

    Blog : [Você precisa estar registrado e conectado para ver este link.]



    Sistema Operacional : Windows 7 (6.1.7601 Service Pack 1) 32 bits version

    Iniciado em : Modo Normal

    Usuario : EDSON [Privilegios de Admnistrador]

    Modo : Verificar -- Data : 07/29/2014  12:38:25



    ¤¤¤ Entradas ruins : 0 ¤¤¤



    ¤¤¤ Entradas do Registro : 0 ¤¤¤



    ¤¤¤ As tarefas agendadas : 0 ¤¤¤



    ¤¤¤ Arquivos : 0 ¤¤¤



    ¤¤¤ Arquivo de Hosts : 1 ¤¤¤

    [C:\Windows\System32\drivers\etc\hosts] 127.0.0.1       localhost



    ¤¤¤ Antirootkit : 10 (Driver: Carregado) ¤¤¤

    [EAT:Addr] (explorer.exe) drprov.dll - DllCanUnloadNow : C:\Windows\System32\DAVHLPR.dll @ 0x72a55fb2

    [EAT:Addr] (explorer.exe) drprov.dll - DllGetClassObject : C:\Windows\System32\DAVHLPR.dll @ 0x72a519bd

    [EAT:Addr] (explorer.exe) drprov.dll - DllRegisterServer : Unknown @ 0x72a5e30b

    [EAT:Addr] (explorer.exe) drprov.dll - DllUnregisterServer : Unknown @ 0x72a5e324

    [EAT:Addr] (explorer.exe) ntlanman.dll - DllCanUnloadNow : Unknown @ 0x726fd874

    [EAT:Addr] (explorer.exe) ntlanman.dll - DllGetClassObject : Unknown @ 0x726fd880

    [EAT:Addr] (explorer.exe) ntlanman.dll - DllRegisterServer : Unknown @ 0x726fd89b

    [EAT:Addr] (explorer.exe) ntlanman.dll - DllUnregisterServer : Unknown @ 0x726fd8e9

    [EAT:Addr] (explorer.exe) DAVHLPR.dll - DllRegisterServer : Unknown @ 0x72a5e30b

    [EAT:Addr] (explorer.exe) DAVHLPR.dll - DllUnregisterServer : Unknown @ 0x72a5e324



    ¤¤¤ Os navegadores da Web : 0 ¤¤¤



    ¤¤¤ Verificaçao do MBR : ¤¤¤

    +++++ PhysicalDrive0: WDC WD5000AAKX-003CA0 ATA Device +++++

    --- User ---

    [MBR] 51306528823da76791b0bf4eb77f92f8

    [BSP] f3e35c3e9dafaa8d57903de213dfb602 : Windows Vista/7/8 MBR Code

    Partition table:

    0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB

    1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 476838 MB

    User = LL1 ... OK

    User = LL2 ... OK





    ============================================

    RKreport_SCN_07292014_121958.log - RKreport_DEL_07292014_122243.log









    Abraços
    avatar
    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Ter Jul 29, 2014 1:40 pm

    Boa  tarde !

    A opção editar ao reiniciar o sistema não consta mais ! 

    Falha nossa ! A chave HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent; ainda consta aqui :


    [Você precisa estar registrado e conectado para ver este link.]



    E como disse no post acima/1ª página;  os valores destas chaves do CIS; pelo regedit ;  não abrem !


    Descobri a permanência  da mesma ao rodar o combofix (  um log de  script que eu estava lhe devendo ) ;  cfe.  este :




    [Você precisa estar registrado e conectado para ver este link.]





    E estes serviços  (  no caso deste log - o \Legacy_KFKAGIJF  ) de rootkits ao  tocá - los  vão se auto programando mesmo ; pois  cfe. log acima surgiram novos visitantes ( suas aparições ) :


    c:\windows\system32\drivers\qandr.sys
    2014-07-29 16:40 . 2014-07-29 16:40 0 ----a-w- c:\windows\system32\drivers\parport32.sys
    2014-07-29 16:40 . 2014-07-29 16:40 0 ----a-w- c:\windows\system32\drivers\ati4irxx.sys

    2014-07-29 16:35 . 2014-07-29 16:35 12568 ----a-w-


    Este constou novamente hoje:

    2014-07-29 16:35 . 2014-07-29 16:35 12568 ----a-w- c:\windows\system32\drivers\PROCEXP113.SYS



    Abraços
    avatar
    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Ter Jul 29, 2014 6:23 pm

    Boa  noite !  joram


    Fineza juntar  os 3 posts ; pois a opção de editação  some .  Por que um fabricante de softwares de segurança ia colocar um bloqueio destes nas chaves de seus produtos ?

    Estranho !!!

    Hoje à tarde já tentei com o ccleanner com inclusão avançada de remoção, no modo seguro via regedit, o regassassin da malwarebytes e nada de removê - las  .


    Ratificando ; desde aqui :


    [Você precisa estar registrado e conectado para ver este link.] ; tenho sempre o  RunScanner  em minha máquina e nunca constou o   c:\windows\system32\drivers\PROCEXP113.SYS .        Estes  drivers maléficos cfe. acima   (  rootkits ) já deletei tudo  manualmente do system32 .




    Interessante .  Dá  estes  resultados positivo de comando e nada de excluir :



    Rapport de ZHPFix 2014.7.27.5 par Nicolas Coolman, Update du 27/07/2014

    Fichier d'export Registre : 

    Run by EDSON at 29/07/2014 20:09:18

    High Elevated Privileges : OK

    Windows 7 Home Basic Edition, 32-bit Service Pack 1 (Build 7601)




    Reciclagem vazia (00mn 01s)




    ========== Chaves do Registo ==========

    ELIMINÉ:³ HKLM\SOFTWARE\COMODO\CIS

    ELIMINÉ:³ HKLM\system\ControlSet001\services\CmdAgent

    ELIMINÉ:³ HKLM\system\Software\COMODO







    ========== Recapitulativo ==========

    3 : Chaves do Registo







    End of clean in 00mn 02s




    ========== Caminho do ficheiro do relatório ==========

    C:\Users\EDSON\AppData\Roaming\ZHP\ZHPFix[R1].txt - 29/07/2014 20:09:20 [594]





    [Você precisa estar registrado e conectado para ver este link.]




    [Você precisa estar registrado e conectado para ver este link.]





    Abraços
    avatar
    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 623
    Data de inscrição : 14/08/2012
    Idade : 65
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Ter Jul 29, 2014 9:03 pm

    Boa Noite! Agente da C&A

    Agente da C&A escreveu:Mas a chave HKEY_LOCAL_MACHINE\software\COMODO\CIS   (  que  inclusive não  constou nos seus scripts ao  combofix )    tem  a sigla  CIS e a mesma pelo editor de registro não abre; demonstrando  o caminho inteiro assim HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS] apenas  com malware defender abriu o regedit :
    |- Você tem razão,já que essa entrada deveria constar no CFScript.

    [Você precisa estar registrado e conectado para ver este link.]

    |- Quanto ao PROCEXP113.SYS,pertence ao "Process Explorer".

    -/-

    KillAll::
    RegLock::
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode][HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS]
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]
    [HKEY_LOCAL_MACHINE\software\COMODO\CIS]

    Registry::
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode]
    [-HKEY_LOCAL_MACHINE\software\COMODO\CIS]
    [-HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    [-HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]

    |- Execute este script na ferramenta ComboFix e,ao concluir,poste o relatório.

    -/-

    |- Baixe: |[Você precisa estar registrado e conectado para ver este link.]|
    |- Salve-o no disco local e descompacte-o,direcionando-o ao desktop. ( Área de trabalho! )
    |- Feche aplicações que estejam abertas! << Importante!
    |- Desabilite seu antivírus e/ou antispyware. << Importante!
    |- Execute-o com um duplo clique em TDSSKiller.exe

    "%userprofile%\Desktop\TDSSKiller.exe" -l C:\TDSSKiller.txt

    |- Caso prefira executá-lo por linha de comando,digite ou cole a linha,em destaque,no executar.
    |- Vá em Iniciar -> Executar -> Digite a LC -> Clique OK.
    |- Ps: Essa modalidade na execução,somente funcionará se TDSSKiller.exe estiver no desktop.
    |- Ps: Para Windows Vista ou 7,clique direito no arquivo e execute-o como administrador.

     [Você precisa estar registrado e conectado para ver esta imagem.]

    |- Na tela principal,siga a ordem numérica até a obtenção do relatório.

     [Você precisa estar registrado e conectado para ver esta imagem.]

    |- Em "Change parameters",marque todas as caixinhas.
    |- Á seguir,clique em "Start scan"

    [Você precisa estar registrado e conectado para ver esta imagem.]

    |- Ao concluir,clique em "Skip" para detecções suspeitas.

    |- Clique "Continue". < [Você precisa estar registrado e conectado para ver esta imagem.] >

    |- Ao concluir,clique em "Report".

    |- Poste-o em: < [Você precisa estar registrado e conectado para ver este link.] >

    |- Ou... < [Você precisa estar registrado e conectado para ver este link.] >

    |- Ou... < [Você precisa estar registrado e conectado para ver este link.] >

    Abs!
    avatar
    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Ter Jul 29, 2014 10:25 pm

    Bom fim de noite !


    Em ((((((((((((((((   Arquivos/Ficheiros criados de 2014-06-28 to 2014-07-30  )))))))))))))))))))))))))))) no log do combo já consta a data em 30/7 !!!     Sendo que agora são  23:30 h  .   Ainda constão as chaves .


    Eis :


    ComboFix 14-07-29.01 - EDSON 29/07/2014  22:56:02.1.2 - x86
    Microsoft Windows 7 Home Basic   6.1.7601.1.1252.55.1046.18.1981.1163 [GMT -3]
    Executando de: c:\users\EDSON\Desktop\ComboFix.exe
    Comandos utilizados :: c:\users\EDSON\Desktop\CFScript.txt
    AV: avast! Antivirus *Enabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
    SP: avast! Antivirus *Enabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
    .
    ADS - drivers: deleted 208 bytes in 1 streams.
    .
    ((((((((((((((((   Arquivos/Ficheiros criados de 2014-06-28 to 2014-07-30  ))))))))))))))))))))))))))))
    .
    .
    2014-07-30 02:02 . 2014-07-30 02:02 -------- d-----w- c:\users\Default\AppData\Local\temp
    2014-07-30 01:54 . 2014-07-30 01:54 12568 ----a-w- c:\windows\system32\drivers\PROCEXP113.SYS
    2014-07-29 23:08 . 2014-07-29 23:41 -------- d-----w- c:\users\EDSON\AppData\Roaming\ZHP
    2014-07-29 20:01 . 2014-07-29 20:03 -------- d-----w- c:\users\EDSON\AppData\Roaming\Runscanner.net
    2014-07-29 17:24 . 2014-07-29 17:24 -------- d-----w- c:\users\EDSON\AppData\Local\Diagnostics
    2014-07-29 01:57 . 2014-07-29 15:14 29160 ----a-w- c:\windows\system32\drivers\TrueSight.sys
    2014-07-29 01:12 . 2014-07-30 02:03 -------- d-----w- c:\windows\system32\wbem\repository
    2014-07-28 17:53 . 2014-07-28 20:12 -------- d-----w- c:\users\EDSON\AppData\Local\CrashDumps
    2014-07-25 00:04 . 2014-07-26 01:04 -------- d-----w- c:\users\EDSON\Governo da República Eslovaca - Controle anti-corrupção
    2014-07-23 14:58 . 2014-07-23 14:26 24064 ----a-w- c:\windows\zoek-delete.exe
    2014-07-23 14:58 . 2014-07-30 02:04 -------- d-----w- c:\users\EDSON\AppData\Local\Temp
    2014-07-18 21:03 . 2014-07-18 21:03 -------- d-----w- c:\users\EDSON\AppData\Local\Opera Software
    2014-07-18 16:08 . 2014-07-18 16:08 -------- d-----w- c:\program files\Common Files\Java
    2014-07-18 16:07 . 2014-07-18 16:07 96680 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
    2014-07-18 16:07 . 2014-07-18 16:07 -------- d-----w- c:\program files\Java
    2014-07-09 12:58 . 2014-06-18 01:52 399360 ----a-w- c:\program files\Common Files\Microsoft Shared\Ink\tabskb.dll
    2014-07-09 12:58 . 2014-06-18 01:51 646144 ----a-w- c:\windows\system32\osk.exe
    2014-07-09 12:58 . 2014-06-18 00:52 2350080 ----a-w- c:\windows\system32\win32k.sys
    2014-07-09 12:58 . 2014-05-30 07:52 247808 ----a-w- c:\windows\system32\schannel.dll
    2014-07-09 12:58 . 2014-05-30 07:52 550912 ----a-w- c:\windows\system32\kerberos.dll
    2014-07-09 12:58 . 2014-05-30 07:52 220160 ----a-w- c:\windows\system32\ncrypt.dll
    2014-07-09 12:58 . 2014-05-30 07:52 259584 ----a-w- c:\windows\system32\msv1_0.dll
    2014-07-09 12:58 . 2014-05-30 07:52 172032 ----a-w- c:\windows\system32\wdigest.dll
    2014-07-09 12:58 . 2014-05-30 07:52 65536 ----a-w- c:\windows\system32\TSpkg.dll
    2014-07-09 12:57 . 2014-05-30 07:52 17408 ----a-w- c:\windows\system32\credssp.dll
    2014-07-09 12:57 . 2014-05-30 06:36 338944 ----a-w- c:\windows\system32\drivers\afd.sys
    2014-07-09 12:57 . 2014-06-06 09:44 509440 ----a-w- c:\windows\system32\qedit.dll
    2014-07-09 12:57 . 2014-06-05 14:26 1059840 ----a-w- c:\windows\system32\lsasrv.dll
    2014-07-07 16:27 . 2014-07-07 16:27 -------- d-----w- c:\users\EDSON\AppData\Local\Programs
    2014-07-02 22:32 . 2014-07-02 22:32 -------- d-----w- c:\users\EDSON\AppData\Local\Gadwin
    2014-07-02 12:59 . 2014-07-02 12:59 43152 ----a-w- c:\windows\avastSS.scr
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((   Relatório Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2014-07-04 10:22 . 2013-11-08 12:43 414520 ----a-w- c:\windows\system32\drivers\aswsp.sys
    2014-07-02 12:59 . 2013-12-20 13:45 71944 ----a-w- c:\windows\system32\drivers\aswstm.sys
    2014-07-02 12:59 . 2013-11-02 23:21 192352 ----a-w- c:\windows\system32\drivers\aswVmm.sys
    2014-07-02 12:59 . 2013-11-02 23:21 779536 ----a-w- c:\windows\system32\drivers\aswsnx.sys
    2014-07-02 12:59 . 2014-04-30 16:56 24184 ----a-w- c:\windows\system32\drivers\aswHwid.sys
    2014-07-02 12:59 . 2013-11-02 23:21 49944 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
    2014-07-02 12:59 . 2013-11-02 23:21 67824 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
    2014-07-02 12:59 . 2013-11-02 23:21 81768 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
    2014-07-02 12:59 . 2013-04-28 18:33 276432 ------w- c:\windows\system32\aswBoot.exe
    2014-05-30 20:41 . 2014-05-30 20:35 13464 ----a-w- c:\windows\system32\drivers\SWDUMon.sys
    2014-05-29 13:42 . 2012-10-21 18:49 48392 ----a-w- c:\windows\system32\certsentry.dll
    2014-05-09 07:06 . 2014-05-14 10:56 369664 ----a-w- c:\windows\system32\aepdu.dll
    2014-05-09 07:04 . 2014-05-14 10:56 302592 ----a-w- c:\windows\system32\aeinv.dll
    2014-05-08 09:06 . 2014-06-11 12:59 2742784 ----a-w- c:\windows\system32\rdpcorets.dll
    2014-05-08 09:06 . 2014-06-11 12:59 13824 ----a-w- c:\windows\system32\RdpGroupPolicyExtension.dll
    .
    .
    ((((((((((((((((((((((((((   Pontos de Carregamento do Registro   )))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* entradas vazias e legítimas por padrão não são apresentadas. 
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
    @="{472083B0-C522-11CF-8763-00608CC02F24}"
    [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
    2014-07-02 12:59 578240 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Gadwin PrintScreen Pro (32-bit)"="c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe" [2014-02-21 13022888]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AvastUI.exe"="c:\program files\AVAST Software\Avast\AvastUI.exe" [2014-07-02 4086432]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableLUA"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    "EnableSecureUIAPath"= 1 (0x1)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
    2014-06-26 20:21 1746984 ----a-w- c:\program files\GbPlugin\gbieh.dll
    .
    [HKLM\~\startupfolder\C:^Users^EDSON^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Recorte de tela e Iniciador do OneNote 2007.lnk]
    backup=c:\windows\pss\Recorte de tela e Iniciador do OneNote 2007.lnk.Startup
    backupExtension=.Startup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
    2013-11-21 16:57 959904 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadwin PrintScreen Pro (32-bit)]
    2014-02-21 10:47 13022888 ----a-w- c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
    2009-02-26 21:36 30040 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
    2011-02-11 22:26 171032 ------w- c:\windows\System32\hkcmd.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
    2011-02-11 22:26 137752 ------w- c:\windows\System32\igfxtray.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
    2011-02-11 22:26 172568 ------w- c:\windows\System32\igfxpers.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2014-07-11 05:39 256896 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesOverride"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "UpdatesOverride"=dword:00000001
    .
    R3 cxbu0wdm;OMNIKEY 3x21;c:\windows\system32\DRIVERS\cxbu0wdm.sys [2011-09-06 119040]
    R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2014-06-18 108032]
    R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 14848]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2013-10-02 49152]
    R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2012-08-23 27136]
    S0 aswRvrt;avast! Revert; [x]
    S0 aswVmm;avast! VM Monitor; [x]
    S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [2014-03-14 47192]
    S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2014-07-02 779536]
    S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2014-07-04 414520]
    S1 Ndisrd;GAS Tecnologia Filter Driver;c:\windows\system32\DRIVERS\gbpndisrdn.sys [2014-03-10 29400]
    S2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys [2014-07-02 24184]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2014-07-02 67824]
    S2 aswStm;aswStm;c:\windows\system32\drivers\aswStm.sys [2014-07-02 71944]
    S2 DragonUpdater;COMODO Dragon Update Service;c:\program files\Comodo\Dragon\dragon_updater.exe [2014-05-21 2135232]
    S2 GbpSv;Gbp Service;c:\progra~1\GbPlugin\GbpSv.exe [2014-06-26 555048]
    S2 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2013-06-19 107392]
    S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-03-02 139776]
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ   SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc SensrSvc
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
    2014-07-17 13:38 1104200 ----a-w- c:\program files\Google\Chrome\Application\36.0.1985.125\Installer\chrmstp.exe
    .
    Conteúdo da pasta 'Tarefas Agendadas'
    .
    2014-07-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
    .
    2014-07-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
    .
    .
    ------- Scan Suplementar -------
    .
    mSearch Bar = [Você precisa estar registrado e conectado para ver este link.]
    uInternet Settings,ProxyOverride = *.local
    Trusted Zone: bancobrasil.com.br\www
    Trusted Zone: bancobrasil.com.br\www14
    Trusted Zone: bancobrasil.com.br\www2
    Trusted Zone: bb.com.br\seg
    Trusted Zone: bb.com.br\www
    TCP: DhcpNameServer = 192.168.0.1
    FF - ProfilePath - c:\users\EDSON\AppData\Roaming\Mozilla\Firefox\Profiles\s5mdtf9j.default\
    FF - prefs.js: browser.search.defaulturl - [Você precisa estar registrado e conectado para ver este link.]
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - [Você precisa estar registrado e conectado para ver este link.]
    FF - prefs.js: keyword.URL - [Você precisa estar registrado e conectado para ver este link.]
    .
    - - - - ORFÃOS REMOVIDOS - - - -
    .
    Toolbar-Locked - (no file)
    .
    .
    .
    --------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
    .
    --------------------- DLLs Carregadas Sob os Processos em Execução ---------------------
    .
    - - - - - - - > 'Explorer.exe'(3488)
    c:\windows\System32\msxml6.dll
    .
    ------------------------ Outros Processos em Execução ------------------------
    .
    c:\program files\AVAST Software\Avast\AvastSvc.exe
    c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
    c:\windows\system32\sppsvc.exe
    c:\windows\system32\taskhost.exe
    c:\windows\system32\conhost.exe
    c:\program files\Windows Media Player\wmpnetwk.exe
    c:\windows\regedit.exe
    .
    **************************************************************************
    .
    Tempo para conclusão: 2014-07-29  23:08:25 - Máquina reiniciou
    ComboFix-quarantined-files.txt  2014-07-30 02:08
    .
    Pré-execução: 474.599.772.160 bytes disponíveis
    Pós execução: 474.397.925.376 bytes disponíveis
    .
    - - End Of File - - 4ACF1C9ECBB3FB5F66CD21762DD3A59F
    A36C5E4F47E84449FF07ED3517B43A31




    TDSSKILLER :

    [Você precisa estar registrado e conectado para ver este link.]

    [Você precisa estar registrado e conectado para ver este link.]


    Acho que as chaves  foram  removidas com o regseeker .   Acho !!!    Vou confirmar .



    Abraços
    avatar
    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 623
    Data de inscrição : 14/08/2012
    Idade : 65
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Qua Jul 30, 2014 7:49 am

    Bom Dia! Agente da C&A

    S2 DragonUpdater;COMODO Dragon Update Service;c:\program files\Comodo\Dragon\dragon_updater.exe [2014-05-21 2135232]

    |- Você tem,ainda,o Comodo Dragon instalado?

    [Você precisa estar registrado e conectado para ver esta imagem.]

    |- Você consegue acesso às Permissões,indo ao Registro?
    |- Ps: Tomei o Baidu Security como exemplo.

    [Você precisa estar registrado e conectado para ver esta imagem.]

    |- Verifique se possui Controle total para SISTEMA,em relação ao Comodo.
    |- Verifique,também,os "Nomes de grupo ou de usuário".

    Abs!
    avatar
    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Qua Jul 30, 2014 9:13 am

    Bom dia !  joram


    Sim !   Tenho o controle total e usuários consta  como  todos .  Porém nada de excluir .

    Regseeker  tbm  falhou .   Chaves indeletáveis .


    Abraços
    avatar
    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Qua Jul 30, 2014 11:53 am

    Confirmando :


    [Você precisa estar registrado e conectado para ver este link.]


    [Você precisa estar registrado e conectado para ver este link.]


    Localizei a chave principal do dragon pelo  revo uninstall .


    Um  aplicativo que talvez pudesse removê - las seria o icesword  (  removedor de chaves de rootkits ) :

    [Você precisa estar registrado e conectado para ver este link.]

    [Você precisa estar registrado e conectado para ver este link.]   mas o mesmo  não  roda no seven; é até  o win vista :

     
    Que  inclusive fiquei  sabendo da existência desta ferramenta através de nosso colega ; o finado  wings .  Que Deus  o tenha .


    Vou  tentar  com ela  no modo seguro . Vamos ver se roda no modo safe .


    Abraços
    avatar
    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 623
    Data de inscrição : 14/08/2012
    Idade : 65
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Qua Jul 30, 2014 12:22 pm

    Agente da C&A escreveu:Bom dia !  joram


    Sim !   Tenho o controle total e usuários consta  como  todos .  Porém nada de excluir .

    Regseeker  tbm  falhou .   Chaves indeletáveis .


    Abraços
    Boa Tarde! Agente da C&A

    |- Fora esta questão em vc querer deletar essas entradas do Comodo,o seu computador apresenta algum problema?
    |- Ps: Pesquisei e,ainda,não vi meios de resetar seu registro. No passado,utilizava a ferramenta da Microsoft subinacl.msi,que funcionava muito bem no Windows XP e inapropriada para Windows 7 (x64).

    < [Você precisa estar registrado e conectado para ver este link.] >

    |- Aqui podes ver o download do subinacl.msi e estabelecimento do arquivo ".cmd".

    < [Você precisa estar registrado e conectado para ver este link.] >

    |- Neste caso,encontramos o reset sem solução e estabelecimento de Novo Usuário,que satisfez o reclamante.

    Agente da C&A escreveu:Um  aplicativo que talvez pudesse removê - las seria o icesword  (  removedor de chaves de rootkits ) :
    [Você precisa estar registrado e conectado para ver este link.] >

    |- Tente com esta,onde o wings possui um tutorial da mesma.

    [Você precisa estar registrado e conectado para ver este link.] > ( ... by wings )

    Abs!


    Última edição por joram em Qua Jul 30, 2014 12:51 pm, editado 2 vez(es)
    avatar
    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Qua Jul 30, 2014 12:26 pm

    Boa tarde !


    Não;  o PC  está funcionando bem .  Mas a arquitetura de meu win seven é x86/32 bits .




    Abraços
    avatar
    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 623
    Data de inscrição : 14/08/2012
    Idade : 65
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Qua Jul 30, 2014 12:36 pm

    Agente da C&A escreveu:Boa tarde !


    Não;  o PC  está funcionando bem .  Mas a arquitetura de meu win seven é x86/32 bits .




    Abraços
    Boa Tarde! Agente da C&A

    |- Então vc pode tentar a utilização da ferramenta da Microsoft,que irá resetar seu Registro,segundo as informações que serão salvas,em local adequado,na extensão ( .cmd ). Basta ler as instruções que estão em Inglês,mas que vc pode traduzi-las.

    Abs!

    Conteúdo patrocinado

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Conteúdo patrocinado


      Data/hora atual: Qua Dez 12, 2018 9:43 pm