Fórum SecSecurity

Implementando Limpeza e Seguranca em seu computador!

Palavras chave

Últimos assuntos

» ResetBrowser ( ... de Nicolas Coolman )
Ter Maio 31, 2016 5:58 am por joram

» herdProtectScan ( ... by herdprotect.com )
Seg Mar 07, 2016 10:58 pm por joram

» Emsisoft Emergency Kit ( ... by Emsisoft.com )
Dom Fev 28, 2016 5:40 am por joram

» Dr.WEB Link Checker ( ... by Doctor Web.Ltd )
Qui Fev 11, 2016 9:51 am por joram

» Computador com erros no navegador
Sab Ago 29, 2015 8:04 pm por joram

» Justiça determina que PSafe retire alertas desleais
Qua Ago 19, 2015 6:58 am por joram

» Google vai fazer buscas offline internas no desktop do seu PC
Ter Ago 18, 2015 8:19 am por joram

» Baidu lança buscador no Brasil!
Seg Ago 17, 2015 12:25 pm por joram

» Kaspersky é acusada de inventar vírus!
Sex Ago 14, 2015 3:32 pm por joram

Dezembro 2016

SegTerQuaQuiSexSabDom
   1234
567891011
12131415161718
19202122232425
262728293031 

Calendário Calendário

Parceiros

Fórum grátis

Os membros mais marcados


    Rootkits são mesmo sobras de vários softwares

    Compartilhe

    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Seg Jul 28, 2014 4:49 pm

    Boa  tarde !

    Rootkits são  mesmo sobras de vários softwares  !!!


    Se não  vejamos .   Em uma otimização  ( seção windows ) do sistema :


    [Você precisa estar registrado e conectado para ver este link.]

    [Você precisa estar registrado e conectado para ver este link.]

    E :

    Desenvolveram sozinhos de ontem para hoje :

    c:\windows\system32\drivers\boecfccm.sys
    2014-07-28 17:55 . 2012-01-10 03:21 258392 ------w- c:\windows\system32\drivers\kfkagijf.sys

    No penúltimo log e recente não constava :


    [Você precisa estar registrado e conectado para ver este link.]


    [Você precisa estar registrado e conectado para ver este link.]

    Abraços


    Última edição por Agente da C&A em Seg Jul 28, 2014 5:41 pm, editado 1 vez(es)

    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 608
    Data de inscrição : 14/08/2012
    Idade : 63
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Seg Jul 28, 2014 5:40 pm

    Boa Noite! Agente da C&A


    |- Rootkits não são sobras de softwares e geralmente vem como serviços ocultos,que possuem a função de proteger ou 'camuflar' objetos maliciosos,evitando que sejam detectados por antivírus
    Costuma-se comprimi-los em UPX,onde somente ferramentas especializadas podem detectá-los.

    RegLock::
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]

    |- Este script deverá ser rodado no CFScript para desbloquear as entradas.

    RegLockDel::
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]

    |- Este outro pode ser rodado,na tentativa de remoção.

    Registry::
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
    [-HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    [-HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]

    |- Ou este,após o desbloqueio.

    Abs!


    nn


    Última edição por joram em Seg Jul 28, 2014 6:56 pm, editado 2 vez(es)

    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Seg Jul 28, 2014 5:57 pm

    Boa noite !


    Mas estes CFScript   com  combofix ?  OTM ?  OTL ?




    Abraços

    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 608
    Data de inscrição : 14/08/2012
    Idade : 63
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Seg Jul 28, 2014 6:09 pm

    Agente da C&A escreveu:Boa noite !


    Mas estes CFScript   com  combofix ?  OTM ?  OTL ?




    Abraços
    Olá!

    |- São scripts para serem executados no ComboFix.

    Agente da C&A escreveu:Vc  leu  minha editação  sobre :

    c:\windows\system32\drivers\boecfccm.sys
    2014-07-28 17:55 . 2012-01-10 03:21 258392 ------w- c:\windows\system32\drivers\kfkagijf.sys

    |- Não! O que queres saber?

    Abs!

    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Seg Jul 28, 2014 6:24 pm

    Boa  noite !


    Sobre estes dois  drivers não  constarem no log do combofix;  no de ontem .   E agora  constam !

    Irei de executar combofix com os devidos  scripts .


    Abraços

    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 608
    Data de inscrição : 14/08/2012
    Idade : 63
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Seg Jul 28, 2014 6:32 pm

    Agente da C&A escreveu:Boa  noite !


    Sobre estes dois  drivers não  constarem no log do combofix;  no de ontem .   E agora  constam !

    Irei de executar combofix com os devidos  scripts .


    Abraços
    Olá!

    |- São suspeitos,já que não encontrei referências aos mesmos.

    rootkit::
    c\windows\system32\drivers\boecfccm.sys
    c:\windows\system32\drivers\kfkagijf.sys

    Driver::
    boecfccm
    kfkagijf


    |- Inclua,também,este outro.

    S2 MalwareDefenderService;Malware Defender Service;c:\program files\malware defender\mdservice.exe [2012-01-10 90968]

    |- Desinstale: Malware Defender <<
    |- Ps: Parece estar associado aos objetos.

    < http://systemexplorer.net/pt/file-database/file/mdservice-exe >



    |- Foi vc que o instalou?
    |- Ps: Editei erros de comando ao script no ComboFix. Portanto,refaça o scan caso a ferramenta não funcione adequadamente.

    Abs!

    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Seg Jul 28, 2014 7:02 pm

    Sim ; instalei para remover as chaves bloqueadas . Ele  remove as  mesmas e até rootkits .   Com exceção das  do CIS . rsrsrs .


    Exato :

    c:\windows\system32\drivers\mjmjkodk.sys .   Este  constou no log gerado; o para desbloqueiar as chaves do CIS :


    [Você precisa estar registrado e conectado para ver este link.]


    Abraços

    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 608
    Data de inscrição : 14/08/2012
    Idade : 63
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Seg Jul 28, 2014 7:18 pm

    Boa Noite! Agente da C&A

    RegLock::
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]


    Registry::
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
    [-HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    [-HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]


    rootkit::
    c:\windows\system32\drivers\mjmjkodk.sys


    Driver::
    mjmjkodk

    |- Execute este script ao ComboFix.
    |- Se possível,faça-o em Modo de Segurança.

    Abs!

    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Seg Jul 28, 2014 7:48 pm

    Nada de remover as chaves :

    ComboFix 14-07-25.01 - EDSON 28/07/2014  20:18:06.2.2 - x86
    Microsoft Windows 7 Home Basic   6.1.7601.1.1252.55.1046.18.1981.782 [GMT -3]
    Executando de: c:\users\EDSON\Desktop\ComboFix.exe
    Comandos utilizados :: c:\users\EDSON\Desktop\CFScript.txt
    AV: avast! Antivirus *Enabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
    SP: avast! Antivirus *Enabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
    .
    ADS - drivers: deleted 208 bytes in 1 streams.
    .
    ((((((((((((((((   Arquivos/Ficheiros criados de 2014-06-28 to 2014-07-28  ))))))))))))))))))))))))))))
    .
    .
    2014-07-28 23:28 . 2014-07-28 23:28 -------- d-----w- c:\users\Default\AppData\Local\temp
    2014-07-28 17:55 . 2014-07-28 23:15 -------- d-----w- c:\program files\Malware Defender
    2014-07-28 17:53 . 2014-07-28 20:12 -------- d-----w- c:\users\EDSON\AppData\Local\CrashDumps
    2014-07-26 17:21 . 2014-07-26 17:27 -------- d-sh--w- c:\users\EDSON\AppData\Local\EmieUserList
    2014-07-26 17:21 . 2014-07-26 17:27 -------- d-sh--w- c:\users\EDSON\AppData\Local\EmieSiteList
    2014-07-25 00:04 . 2014-07-26 01:04 -------- d-----w- c:\users\EDSON\Governo da República Eslovaca - Controle anti-corrupção
    2014-07-23 14:58 . 2014-07-23 14:26 24064 ----a-w- c:\windows\zoek-delete.exe
    2014-07-23 14:58 . 2014-07-28 23:28 -------- d-----w- c:\users\EDSON\AppData\Local\Temp
    2014-07-18 21:03 . 2014-07-18 21:03 -------- d-----w- c:\users\EDSON\AppData\Local\Opera Software
    2014-07-18 16:08 . 2014-07-18 16:08 -------- d-----w- c:\program files\Common Files\Java
    2014-07-18 16:07 . 2014-07-18 16:07 96680 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
    2014-07-18 16:07 . 2014-07-18 16:07 -------- d-----w- c:\program files\Java
    2014-07-09 12:58 . 2014-06-18 01:52 399360 ----a-w- c:\program files\Common Files\Microsoft Shared\Ink\tabskb.dll
    2014-07-09 12:58 . 2014-06-18 01:51 646144 ----a-w- c:\windows\system32\osk.exe
    2014-07-09 12:58 . 2014-06-18 00:52 2350080 ----a-w- c:\windows\system32\win32k.sys
    2014-07-09 12:58 . 2014-05-30 07:52 247808 ----a-w- c:\windows\system32\schannel.dll
    2014-07-09 12:58 . 2014-05-30 07:52 550912 ----a-w- c:\windows\system32\kerberos.dll
    2014-07-09 12:58 . 2014-05-30 07:52 220160 ----a-w- c:\windows\system32\ncrypt.dll
    2014-07-09 12:58 . 2014-05-30 07:52 259584 ----a-w- c:\windows\system32\msv1_0.dll
    2014-07-09 12:58 . 2014-05-30 07:52 172032 ----a-w- c:\windows\system32\wdigest.dll
    2014-07-09 12:58 . 2014-05-30 07:52 65536 ----a-w- c:\windows\system32\TSpkg.dll
    2014-07-09 12:57 . 2014-05-30 07:52 17408 ----a-w- c:\windows\system32\credssp.dll
    2014-07-09 12:57 . 2014-05-30 06:36 338944 ----a-w- c:\windows\system32\drivers\afd.sys
    2014-07-09 12:57 . 2014-06-06 09:44 509440 ----a-w- c:\windows\system32\qedit.dll
    2014-07-09 12:57 . 2014-06-05 14:26 1059840 ----a-w- c:\windows\system32\lsasrv.dll
    2014-07-07 16:27 . 2014-07-07 16:27 -------- d-----w- c:\users\EDSON\AppData\Local\Programs
    2014-07-02 22:32 . 2014-07-02 22:32 -------- d-----w- c:\users\EDSON\AppData\Local\Gadwin
    2014-07-02 12:59 . 2014-07-02 12:59 43152 ----a-w- c:\windows\avastSS.scr
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((   Relatório Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2014-07-04 10:22 . 2013-11-08 12:43 414520 ----a-w- c:\windows\system32\drivers\aswsp.sys
    2014-07-02 12:59 . 2013-12-20 13:45 71944 ----a-w- c:\windows\system32\drivers\aswstm.sys
    2014-07-02 12:59 . 2013-11-02 23:21 192352 ----a-w- c:\windows\system32\drivers\aswVmm.sys
    2014-07-02 12:59 . 2013-11-02 23:21 779536 ----a-w- c:\windows\system32\drivers\aswsnx.sys
    2014-07-02 12:59 . 2014-04-30 16:56 24184 ----a-w- c:\windows\system32\drivers\aswHwid.sys
    2014-07-02 12:59 . 2013-11-02 23:21 49944 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
    2014-07-02 12:59 . 2013-11-02 23:21 67824 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
    2014-07-02 12:59 . 2013-11-02 23:21 81768 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
    2014-07-02 12:59 . 2013-04-28 18:33 276432 ----a-w- c:\windows\system32\aswBoot.exe
    2014-05-30 20:41 . 2014-05-30 20:35 13464 ----a-w- c:\windows\system32\drivers\SWDUMon.sys
    2014-05-29 13:42 . 2012-10-21 18:49 48392 ----a-w- c:\windows\system32\certsentry.dll
    2014-05-09 07:06 . 2014-05-14 10:56 369664 ----a-w- c:\windows\system32\aepdu.dll
    2014-05-09 07:04 . 2014-05-14 10:56 302592 ----a-w- c:\windows\system32\aeinv.dll
    2014-05-08 09:06 . 2014-06-11 12:59 2742784 ----a-w- c:\windows\system32\rdpcorets.dll
    2014-05-08 09:06 . 2014-06-11 12:59 13824 ----a-w- c:\windows\system32\RdpGroupPolicyExtension.dll
    .
    .
    ((((((((((((((((((((((((((   Pontos de Carregamento do Registro   )))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* entradas vazias e legítimas por padrão não são apresentadas. 
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
    @="{472083B0-C522-11CF-8763-00608CC02F24}"
    [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
    2014-07-02 12:59 578240 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Gadwin PrintScreen Pro (32-bit)"="c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe" [2014-02-21 13022888]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AvastUI.exe"="c:\program files\AVAST Software\Avast\AvastUI.exe" [2014-07-02 4086432]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableLUA"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
    2014-06-26 20:21 1746984 ----a-w- c:\program files\GbPlugin\gbieh.dll
    .
    [HKLM\~\startupfolder\C:^Users^EDSON^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Recorte de tela e Iniciador do OneNote 2007.lnk]
    backup=c:\windows\pss\Recorte de tela e Iniciador do OneNote 2007.lnk.Startup
    backupExtension=.Startup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
    2013-11-21 16:57 959904 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadwin PrintScreen Pro (32-bit)]
    2014-02-21 10:47 13022888 ----a-w- c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
    2009-02-26 21:36 30040 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
    2011-02-11 22:26 171032 ----a-w- c:\windows\System32\hkcmd.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
    2011-02-11 22:26 137752 ----a-w- c:\windows\System32\igfxtray.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
    2011-02-11 22:26 172568 ----a-w- c:\windows\System32\igfxpers.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2014-07-11 05:39 256896 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesOverride"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "UpdatesOverride"=dword:00000001
    .
    R1 kfkagijf;kfkagijf;c:\windows\system32\drivers\kfkagijf.sys [x]
    R3 cxbu0wdm;OMNIKEY 3x21;c:\windows\system32\DRIVERS\cxbu0wdm.sys [2011-09-06 119040]
    R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2014-06-18 108032]
    S0 aswRvrt;avast! Revert; [x]
    S0 aswVmm;avast! VM Monitor; [x]
    S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [2014-03-14 47192]
    S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2014-07-02 779536]
    S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2014-07-04 414520]
    S2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys [2014-07-02 24184]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2014-07-02 67824]
    S2 aswStm;aswStm;c:\windows\system32\drivers\aswStm.sys [2014-07-02 71944]
    S2 DragonUpdater;COMODO Dragon Update Service;c:\program files\Comodo\Dragon\dragon_updater.exe [2014-05-21 2135232]
    S2 GbpSv;Gbp Service;c:\progra~1\GbPlugin\GbpSv.exe [2014-06-26 555048]
    .
    .
    --- =Outros Serviços/Drivers Na Memória ---
    .
    *NewlyCreated* - MJMJKODK
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ   SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc SensrSvc
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
    2014-07-17 13:38 1104200 ----a-w- c:\program files\Google\Chrome\Application\36.0.1985.125\Installer\chrmstp.exe
    .
    Conteúdo da pasta 'Tarefas Agendadas'
    .
    2014-07-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
    .
    2014-07-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
    .
    .
    ------- Scan Suplementar -------
    .
    uStart Page = [Você precisa estar registrado e conectado para ver este link.]
    mStart Page = [Você precisa estar registrado e conectado para ver este link.]
    mSearch Bar = [Você precisa estar registrado e conectado para ver este link.]
    uInternet Settings,ProxyOverride = *.local
    uInternet Settings,ProxyServer = 127.0.0.1:8080
    Trusted Zone: bancobrasil.com.br\www
    Trusted Zone: bancobrasil.com.br\www14
    Trusted Zone: bancobrasil.com.br\www2
    Trusted Zone: bb.com.br\seg
    Trusted Zone: bb.com.br\www
    TCP: DhcpNameServer = 192.168.0.1
    FF - ProfilePath - c:\users\EDSON\AppData\Roaming\Mozilla\Firefox\Profiles\s5mdtf9j.default\
    FF - prefs.js: browser.search.defaulturl - [Você precisa estar registrado e conectado para ver este link.]
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - [Você precisa estar registrado e conectado para ver este link.]
    FF - prefs.js: keyword.URL - [Você precisa estar registrado e conectado para ver este link.]
    .
    .
    --------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
    .
    Tempo para conclusão: 2014-07-28  20:30:29
    ComboFix-quarantined-files.txt  2014-07-28 23:30
    .
    Pré-execução: 475.140.030.464 bytes disponíveis
    Pós execução: 475.091.869.696 bytes disponíveis
    .
    - - End Of File - - 75ACB599E37C721AAE625EFB8AD66329
    A36C5E4F47E84449FF07ED3517B43A31


    Não tem  mais os  novos rootkits :


    Runscanner logfile [Você precisa estar registrado e conectado para ver este link.]

    * = signed file
    - = file not found

    General info
    ------------
    Computer name : EDSON-PC
    Creation time : 28/07/2014 21:13:17
    Hosts <> 127.0.0.1 : 0
    Hosts file location : %SystemRoot%\System32\drivers\etc
    IE version : 9.11.9600.17207
    OS : Windows 7 Home Basic
    OS Build : 7601
    OS SP : Service Pack 1
    RunScanner Version : 2.0.0.60
    User Language : Português (Brasil)
    User rights : Administrator
    Windows folder : C:\Windows

    Running processes
    -----------------
    * C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
    * C:\Windows\System32\wininit.exe (Microsoft Corporation)
    * C:\Windows\System32\winlogon.exe (Microsoft Corporation)
    * C:\Windows\System32\services.exe (Microsoft Corporation)
    * C:\Windows\System32\spoolsv.exe (Microsoft Corporation)
    * C:\Program Files\AVAST Software\Avast\AvastUI.exe (AVAST Software)
    * C:\Program Files\AVAST Software\Avast\AvastSvc.exe (AVAST Software)
    * C:\Program Files\Comodo\Dragon\dragon_updater.exe
    * C:\Program Files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe (Gadwin Systems)
    * C:\PROGRA~1\GbPlugin\gbpsv.exe (GAS Tecnologia)
    * C:\Windows\System32\dwm.exe (Microsoft Corporation)
    * C:\Windows\System32\smss.exe (Microsoft Corporation)
    * C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.)
    * C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.)
    * C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.)
    * C:\Windows\System32\SearchIndexer.exe (Microsoft Corporation)
    * C:\Windows\servicing\TrustedInstaller.exe (Microsoft Corporation)
    * C:\Windows\System32\lsass.exe (Microsoft Corporation)
    * C:\Windows\System32\taskeng.exe (Microsoft Corporation)
    * C:\Windows\System32\SearchFilterHost.exe (Microsoft Corporation)
    * C:\Windows\System32\SearchProtocolHost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\svchost.exe (Microsoft Corporation)
    * C:\Windows\System32\taskhost.exe (Microsoft Corporation)
    * C:\Windows\System32\taskhost.exe (Microsoft Corporation)
    * C:\Windows\System32\csrss.exe (Microsoft Corporation)
    * C:\Windows\System32\csrss.exe (Microsoft Corporation)
    * C:\Users\EDSON\Downloads\runscanner.exe (Runscanner.net)
    * C:\Program Files\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
    * C:\Windows\System32\lsm.exe (Microsoft Corporation)
    * C:\Windows\explorer.exe (Microsoft Corporation)
    * C:\Windows\System32\wbem\WmiPrvSE.exe (Microsoft Corporation)

    Unrated items
    -------------
    002 * C:\Program Files\AVAST Software\Avast\AvastUI.exe (AVAST Software)
    003 * C:\Program Files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe (Gadwin Systems)
    010 * C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (.NET Runtime Optimization Service)
    010 * C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Acrobat Update Service)
    010 * C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe® Flash® Player Update Service 12.0 r0)
    010 * C:\Program Files\AVAST Software\Avast\AvastSvc.exe (avast! Service)
    010 * C:\Program Files\Comodo\Dragon\dragon_updater.exe (dragon_updater.exe)
    010 * C:\PROGRA~1\GbPlugin\GbpSv.exe (G-Buster Browser Defense - Service)
    010 * C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe (maintenanceservice.exe)
    011   c:\windows\system32\drivers\aswHwid.sys (aswHwid.sys)
    011 * C:\Windows\system32\drivers\aswRvrt.sys (aswRvrt.sys)
    011 * C:\Windows\system32\drivers\aswVmm.sys (aswVmm.sys)
    011 * c:\windows\system32\drivers\aswMonFlt.sys (avast! File System Minifilter for Windows 2003/Vista)
    011 * c:\windows\system32\drivers\aswSP.sys (avast! self protection module)
    011 * c:\windows\system32\drivers\aswSnx.sys (avast! Virtualization Driver)
    011 * c:\windows\system32\drivers\aswRdr2.sys (avast! WFP Redirect Driver)
    011 * C:\Windows\system32\DRIVERS\gbpndisrdn.sys (GAS Tecnologia - LWF Helper Driver)
    011 * C:\Windows\system32\drivers\gbpkm.sys (GbPlugin Device Driver)
    011 * c:\windows\system32\drivers\aswStm.sys (Stream Filter)
    035 * C:\Program Files\Google\Chrome\Application\36.0.1985.125\Installer\chrmstp.exe (Google Inc.) {8A69D345-D564-463c-AFF1-A69D9E530F96}
    047   Zone: seg.bb.com.br : [Você precisa estar registrado e conectado para ver este link.]
    047   Zone: [Você precisa estar registrado e conectado para ver este link.] : *.www.bancobrasil.com.br
    047   Zone: [Você precisa estar registrado e conectado para ver este link.] : *.www.bb.com.br
    047   Zone: [Você precisa estar registrado e conectado para ver este link.] : [Você precisa estar registrado e conectado para ver este link.]
    047   Zone: www14.bancobrasil.com.br : *.www14.bancobrasil.com.br
    047   Zone: www14.bancobrasil.com.br : [Você precisa estar registrado e conectado para ver este link.]
    047   Zone: www2.bancobrasil.com.br : *.www2.bancobrasil.com.br
    047   Zone: www2.bancobrasil.com.br : [Você precisa estar registrado e conectado para ver este link.]
    050 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil) {E37CB5F0-51F5-4395-A808-5FA49E399F83}
    052 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil) {C41A1C0E-EA6C-11D4-B1B8-444553540000}
    052 * C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software) {8E5E2654-AD2D-48bf-AC2D-D17F00898D06}
    052 * C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation) {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
    052 * C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) {DBC80044-A445-435b-BC74-9C25C1C588A9}
    061 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
    061 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil) {98C11555-BC81-40aa-A053-DAADC5630000}
    061 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil) {E37CB5F0-51F5-4395-A808-5FA49E399F83}
    062 * C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}
    067 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil)
    100   ProxyServer HKCU : 127.0.0.1:8080
    100   ProxyServer HKLM : 127.0.0.1:8080
    100   Start Page HKCU : [Você precisa estar registrado e conectado para ver este link.]
    100   Start Page HKLM : [Você precisa estar registrado e conectado para ver este link.]
    104 * C:\Windows\system32\Macromed\Flash\Flash32_12_0_0_70.ocx (Adobe Systems, Inc.) {D27CDB6E-AE6D-11CF-96B8-444553540000}
    173 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
    221 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
    223 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
    225 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
    225 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
    231 * C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) PDF Column Info
    241 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
    254 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil) {98C11555-BC81-40aa-A053-DAADC5630000}

    Missing files
    -------------
    011 c:\windows\system32\drivers\mjmjkodk.sys
    032 rdpclip



    Abraços

    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 608
    Data de inscrição : 14/08/2012
    Idade : 63
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Seg Jul 28, 2014 8:41 pm

    Boa Noite! Agente da C&A

    |- Como vc desinstalou o Comodo?

    [Você precisa estar registrado e conectado para ver este link.]

    |- Chegou a utilizar este batch?

    Abs!

    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Seg Jul 28, 2014 9:31 pm

    Boa noite !


    Vamos em  partes ; combofix no modo seguro :

    ComboFix 14-07-25.01 - EDSON 28/07/2014  21:41:37.1.2 - x86 MINIMAL
    Microsoft Windows 7 Home Basic   6.1.7601.1.1252.55.1046.18.1981.1372 [GMT -3]
    Executando de: c:\users\EDSON\Desktop\ComboFix.exe
    Comandos utilizados :: c:\users\EDSON\Desktop\CFScript.txt
    AV: avast! Antivirus *Enabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
    SP: avast! Antivirus *Enabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
     * Criado um novo ponto de restauração
    .
    ADS - drivers: deleted 208 bytes in 1 streams.
    .
    (((((((((((((((((((((((((((((((((((((   Outras Exclusões   )))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((((   Drivers/Serviços   )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    -------\Legacy_MJMJKODK
    .
    .
    ((((((((((((((((   Arquivos/Ficheiros criados de 2014-06-28 to 2014-07-29  ))))))))))))))))))))))))))))
    .
    .
    2014-07-29 00:45 . 2014-07-29 00:45 -------- d-----w- c:\users\Default\AppData\Local\temp
    2014-07-29 00:40 . 2014-07-29 00:45 12568 ----a-w- c:\windows\system32\drivers\PROCEXP113.SYS
    2014-07-28 23:40 . 2014-07-28 23:43 -------- d-----w- c:\users\EDSON\AppData\Roaming\Runscanner.net
    2014-07-28 17:53 . 2014-07-28 20:12 -------- d-----w- c:\users\EDSON\AppData\Local\CrashDumps
    2014-07-26 17:21 . 2014-07-26 17:27 -------- d-sh--w- c:\users\EDSON\AppData\Local\EmieUserList
    2014-07-26 17:21 . 2014-07-26 17:27 -------- d-sh--w- c:\users\EDSON\AppData\Local\EmieSiteList
    2014-07-25 00:04 . 2014-07-26 01:04 -------- d-----w- c:\users\EDSON\Governo da República Eslovaca - Controle anti-corrupção
    2014-07-23 14:58 . 2014-07-23 14:26 24064 ----a-w- c:\windows\zoek-delete.exe
    2014-07-23 14:58 . 2014-07-29 00:54 -------- d-----w- c:\users\EDSON\AppData\Local\Temp
    2014-07-18 21:03 . 2014-07-18 21:03 -------- d-----w- c:\users\EDSON\AppData\Local\Opera Software
    2014-07-18 16:08 . 2014-07-18 16:08 -------- d-----w- c:\program files\Common Files\Java
    2014-07-18 16:07 . 2014-07-18 16:07 96680 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
    2014-07-18 16:07 . 2014-07-18 16:07 -------- d-----w- c:\program files\Java
    2014-07-09 12:58 . 2014-06-18 01:52 399360 ----a-w- c:\program files\Common Files\Microsoft Shared\Ink\tabskb.dll
    2014-07-09 12:58 . 2014-06-18 01:51 646144 ----a-w- c:\windows\system32\osk.exe
    2014-07-09 12:58 . 2014-06-18 00:52 2350080 ----a-w- c:\windows\system32\win32k.sys
    2014-07-09 12:58 . 2014-05-30 07:52 247808 ----a-w- c:\windows\system32\schannel.dll
    2014-07-09 12:58 . 2014-05-30 07:52 550912 ----a-w- c:\windows\system32\kerberos.dll
    2014-07-09 12:58 . 2014-05-30 07:52 220160 ----a-w- c:\windows\system32\ncrypt.dll
    2014-07-09 12:58 . 2014-05-30 07:52 259584 ----a-w- c:\windows\system32\msv1_0.dll
    2014-07-09 12:58 . 2014-05-30 07:52 172032 ----a-w- c:\windows\system32\wdigest.dll
    2014-07-09 12:58 . 2014-05-30 07:52 65536 ----a-w- c:\windows\system32\TSpkg.dll
    2014-07-09 12:57 . 2014-05-30 07:52 17408 ----a-w- c:\windows\system32\credssp.dll
    2014-07-09 12:57 . 2014-05-30 06:36 338944 ----a-w- c:\windows\system32\drivers\afd.sys
    2014-07-09 12:57 . 2014-06-06 09:44 509440 ----a-w- c:\windows\system32\qedit.dll
    2014-07-09 12:57 . 2014-06-05 14:26 1059840 ----a-w- c:\windows\system32\lsasrv.dll
    2014-07-07 16:27 . 2014-07-07 16:27 -------- d-----w- c:\users\EDSON\AppData\Local\Programs
    2014-07-02 22:32 . 2014-07-02 22:32 -------- d-----w- c:\users\EDSON\AppData\Local\Gadwin
    2014-07-02 12:59 . 2014-07-02 12:59 43152 ----a-w- c:\windows\avastSS.scr
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((   Relatório Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2014-07-04 10:22 . 2013-11-08 12:43 414520 ----a-w- c:\windows\system32\drivers\aswsp.sys
    2014-07-02 12:59 . 2013-12-20 13:45 71944 ----a-w- c:\windows\system32\drivers\aswstm.sys
    2014-07-02 12:59 . 2013-11-02 23:21 192352 ----a-w- c:\windows\system32\drivers\aswVmm.sys
    2014-07-02 12:59 . 2013-11-02 23:21 779536 ----a-w- c:\windows\system32\drivers\aswsnx.sys
    2014-07-02 12:59 . 2014-04-30 16:56 24184 ----a-w- c:\windows\system32\drivers\aswHwid.sys
    2014-07-02 12:59 . 2013-11-02 23:21 49944 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
    2014-07-02 12:59 . 2013-11-02 23:21 67824 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
    2014-07-02 12:59 . 2013-11-02 23:21 81768 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
    2014-07-02 12:59 . 2013-04-28 18:33 276432 ----a-w- c:\windows\system32\aswBoot.exe
    2014-05-30 20:41 . 2014-05-30 20:35 13464 ----a-w- c:\windows\system32\drivers\SWDUMon.sys
    2014-05-29 13:42 . 2012-10-21 18:49 48392 ----a-w- c:\windows\system32\certsentry.dll
    2014-05-09 07:06 . 2014-05-14 10:56 369664 ----a-w- c:\windows\system32\aepdu.dll
    2014-05-09 07:04 . 2014-05-14 10:56 302592 ----a-w- c:\windows\system32\aeinv.dll
    2014-05-08 09:06 . 2014-06-11 12:59 2742784 ----a-w- c:\windows\system32\rdpcorets.dll
    2014-05-08 09:06 . 2014-06-11 12:59 13824 ----a-w- c:\windows\system32\RdpGroupPolicyExtension.dll
    .
    .
    ((((((((((((((((((((((((((   Pontos de Carregamento do Registro   )))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* entradas vazias e legítimas por padrão não são apresentadas. 
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
    @="{472083B0-C522-11CF-8763-00608CC02F24}"
    [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
    2014-07-02 12:59 578240 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Gadwin PrintScreen Pro (32-bit)"="c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe" [2014-02-21 13022888]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AvastUI.exe"="c:\program files\AVAST Software\Avast\AvastUI.exe" [2014-07-02 4086432]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableLUA"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
    2014-06-26 20:21 1746984 ----a-w- c:\program files\GbPlugin\gbieh.dll
    .
    [HKLM\~\startupfolder\C:^Users^EDSON^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Recorte de tela e Iniciador do OneNote 2007.lnk]
    backup=c:\windows\pss\Recorte de tela e Iniciador do OneNote 2007.lnk.Startup
    backupExtension=.Startup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
    2013-11-21 16:57 959904 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadwin PrintScreen Pro (32-bit)]
    2014-02-21 10:47 13022888 ----a-w- c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
    2009-02-26 21:36 30040 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
    2011-02-11 22:26 171032 ----a-w- c:\windows\System32\hkcmd.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
    2011-02-11 22:26 137752 ----a-w- c:\windows\System32\igfxtray.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
    2011-02-11 22:26 172568 ----a-w- c:\windows\System32\igfxpers.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2014-07-11 05:39 256896 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesOverride"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "UpdatesOverride"=dword:00000001
    .
    R0 aswRvrt;avast! Revert; [x]
    R0 aswVmm;avast! VM Monitor; [x]
    R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2014-07-02 779536]
    R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2014-07-04 414520]
    R1 Ndisrd;GAS Tecnologia Filter Driver;c:\windows\system32\DRIVERS\gbpndisrdn.sys [2014-03-10 29400]
    R2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys [2014-07-02 24184]
    R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2014-07-02 67824]
    R2 aswStm;aswStm;c:\windows\system32\drivers\aswStm.sys [2014-07-02 71944]
    R2 DragonUpdater;COMODO Dragon Update Service;c:\program files\Comodo\Dragon\dragon_updater.exe [2014-05-21 2135232]
    R2 GbpSv;Gbp Service;c:\progra~1\GbPlugin\GbpSv.exe [2014-06-26 555048]
    R2 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2013-06-19 107392]
    R3 cxbu0wdm;OMNIKEY 3x21;c:\windows\system32\DRIVERS\cxbu0wdm.sys [2011-09-06 119040]
    R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2014-06-18 108032]
    R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 14848]
    R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-03-02 139776]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2013-10-02 49152]
    R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2012-08-23 27136]
    S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [2014-03-14 47192]
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ   SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc SensrSvc
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
    2014-07-17 13:38 1104200 ----a-w- c:\program files\Google\Chrome\Application\36.0.1985.125\Installer\chrmstp.exe
    .
    Conteúdo da pasta 'Tarefas Agendadas'
    .
    2014-07-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
    .
    2014-07-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
    .
    .
    ------- Scan Suplementar -------
    .
    uStart Page = [Você precisa estar registrado e conectado para ver este link.]
    mStart Page = [Você precisa estar registrado e conectado para ver este link.]
    mSearch Bar = [Você precisa estar registrado e conectado para ver este link.]
    uInternet Settings,ProxyOverride = *.local
    uInternet Settings,ProxyServer = 127.0.0.1:8080
    Trusted Zone: bancobrasil.com.br\www
    Trusted Zone: bancobrasil.com.br\www14
    Trusted Zone: bancobrasil.com.br\www2
    Trusted Zone: bb.com.br\seg
    Trusted Zone: bb.com.br\www
    TCP: DhcpNameServer = 192.168.0.1
    FF - ProfilePath - c:\users\EDSON\AppData\Roaming\Mozilla\Firefox\Profiles\s5mdtf9j.default\
    FF - prefs.js: browser.search.defaulturl - [Você precisa estar registrado e conectado para ver este link.]
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - [Você precisa estar registrado e conectado para ver este link.]
    FF - prefs.js: keyword.URL - [Você precisa estar registrado e conectado para ver este link.]
    .
    .
    --------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
    .
    ------------------------ Outros Processos em Execução ------------------------
    .
    c:\windows\system32\conhost.exe
    c:\windows\regedit.exe
    .
    **************************************************************************
    .
    Tempo para conclusão: 2014-07-28  21:57:04 - Máquina reiniciou
    ComboFix-quarantined-files.txt  2014-07-29 00:57
    .
    Pré-execução: 475.344.121.856 bytes disponíveis
    Pós execução: 475.036.438.528 bytes disponíveis
    .
    - - End Of File - - 6D7A3268F65CEB56086EE8D9EC5170BD
    A36C5E4F47E84449FF07ED3517B43A31


    [Você precisa estar registrado e conectado para ver este link.]



    A  cada hora um  suspeito diferente <<<<<    c:\windows\system32\drivers\PROCEXP113.SYS




    Desinstalei o CIS com o  revo e faz há algum tempo .


    Executei o bat  agora :


    Pelos  prints das telas em DOS;  vários arquivos/caminhos ficheiros do mesmo não foram encontrados e algo no registro foi moved :


    [Você precisa estar registrado e conectado para ver este link.]





    Desativou a central de segurança !


    [Você precisa estar registrado e conectado para ver este link.]




    [Você precisa estar registrado e conectado para ver este link.]


    Abraços

    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 608
    Data de inscrição : 14/08/2012
    Idade : 63
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Seg Jul 28, 2014 9:47 pm

    Boa Noite! Agente da C&A


    A  cada hora um  suspeito diferente <<<<<    c:\windows\system32\drivers\PROCEXP113.SYS
    |- Pertence ao RunScanner e é legítimo.

    Agente da C&A escreveu:Desativou a central de segurança !
    |- Depois vc ativa-a novamente. 

    -/-

    |- Baixe: < [Você precisa estar registrado e conectado para ver este link.] > ( ... par tigzy ) ( 32 bits version )

    |- Ou: < [Você precisa estar registrado e conectado para ver este link.]  > ( ... par tigzy ) ( 64 bits version )

    |- Salve-o no desktop! [Você precisa estar registrado e conectado para ver esta imagem.]
    |- Feche aplicativos que estejam abertos!
    |- Execute RogueKiller.exe e aceite a Eula.

    [Você precisa estar registrado e conectado para ver este link.] 

    |- Aguarde a finalização de seu Pre-scan.

    [Você precisa estar registrado e conectado para ver esta imagem.]

    |- Dê início ao diagnóstico,clicando no botão "Verificar". 
    |- Exemplo: Mode: Verificar -- Date: mm/dd/2014 00:52:24
    |- Poste o relatório: RKreport[1].txt

    Abs!

    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Seg Jul 28, 2014 10:08 pm

    Boa noite !


    Eis :


    RogueKiller V9.2.4.0 [Jul 11 2014] Por Adlice Software
    mail : [Você precisa estar registrado e conectado para ver este link.]
    Feedback : [Você precisa estar registrado e conectado para ver este link.]
    Site : [Você precisa estar registrado e conectado para ver este link.]
    Blog : [Você precisa estar registrado e conectado para ver este link.]

    Sistema Operacional : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Iniciado em : Modo Normal
    Usuario : EDSON [Privilegios de Admnistrador]
    Modo : Verificar -- Data : 07/28/2014  23:03:11

    ¤¤¤ Entradas ruins : 0 ¤¤¤

    ¤¤¤ Entradas do Registro : 7 ¤¤¤
    [PUM.Proxy] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : 127.0.0.1:8080  -> ENCONTRADO
    [PUM.Proxy] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : 127.0.0.1:8080  -> ENCONTRADO
    [PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0  -> ENCONTRADO
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> ENCONTRADO
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> ENCONTRADO
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> ENCONTRADO
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> ENCONTRADO

    ¤¤¤ As tarefas agendadas : 0 ¤¤¤

    ¤¤¤ Arquivos : 0 ¤¤¤

    ¤¤¤ Arquivo de Hosts : 1 ¤¤¤
    [C:\Windows\System32\drivers\etc\hosts] 127.0.0.1       localhost

    ¤¤¤ Antirootkit : 0 (Driver: Carregado) ¤¤¤

    ¤¤¤ Os navegadores da Web : 0 ¤¤¤

    ¤¤¤ Verificaçao do MBR : ¤¤¤
    +++++ PhysicalDrive0: WDC WD5000AAKX-003CA0 ATA Device +++++
    --- User ---
    [MBR] 51306528823da76791b0bf4eb77f92f8
    [BSP] f3e35c3e9dafaa8d57903de213dfb602 : Windows Vista/7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
    1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 476838 MB
    User = LL1 ... OK
    User = LL2 ... OK


    Todo desafio é aprendizado .   Após o bat a chave :


    HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent  e seus  valores     foram  removidos  cheers  cheers  cheers




    As outras  não.   Ou seja faltam  apenas  estas  duas :


     HKEY_LOCAL_MACHINE\software\COMODO\CIS


    HKEY_LOCAL_MACHINE\system\Software\COMODO



    [Você precisa estar registrado e conectado para ver este link.]

    [Você precisa estar registrado e conectado para ver este link.]



    Abraços

    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 608
    Data de inscrição : 14/08/2012
    Idade : 63
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Ter Jul 29, 2014 2:38 am

    Bom Dia! Agente da C&A

    |- Reparei que o Dragon necessita de uma das chaves.

    -/-

    |- Abra,novamente,a ferramenta RogueKiller.
    |- Clique em Verificar.

    [Você precisa estar registrado e conectado para ver esta imagem.]

    |- Clique na guia "Registro".

    [PUM.Proxy] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : 127.0.0.1:8080  -> ENCONTRADO
    [PUM.Proxy] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : 127.0.0.1:8080  -> ENCONTRADO
    [PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0  -> ENCONTRADO
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> ENCONTRADO
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> ENCONTRADO
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> ENCONTRADO
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> ENCONTRADO

    |- Marque as checkbox destas entradas! 
    |- Clique "Deletar" e aguarde a conclusão!
    |- Poste o relatório!

    -/-

    |- Baixe: < [Você precisa estar registrado e conectado para ver este link.] >

    |- Ou aqui: < [Você precisa estar registrado e conectado para ver este link.] >

    |- Descompacte-o para o seu pendrive!
    |- Abra a pasta "Tweaking.com - Windows Repair",que foi criada,e execute "Repair_Windows.exe".

    [Você precisa estar registrado e conectado para ver este link.] 

    |- Ps: Estabeleça 'salvaguardas',antes de executar a ferramenta!
    |- Clique: Step 4 -> Create -> Backup. << Nessa ordem!

    Reset Registry Permissions
    Reset File Permissions
    Repair WMI
    Remove Policies Set By Infections
    Remove Temp Files
    Repair File Associations


    |- Clique: < [Você precisa estar registrado e conectado para ver esta imagem.] >
    |- Marque somente as opções logo àcima.

    [Você precisa estar registrado e conectado para ver esta imagem.]

    |- Mantenha estas marcações e Clique Start.
    |- Haverá reboot! << Aguarde!

    |- Ps: Somente à noite poderei atendê-lo.

    Abs!

    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Ter Jul 29, 2014 11:52 am

    Bom dia !   


    Mas a chave HKEY_LOCAL_MACHINE\software\COMODO\CIS   (  que  inclusive não  constou nos seus scripts ao  combofix )    tem  a sigla  CIS e a mesma pelo editor de registro não abre; demonstrando  o caminho inteiro assim HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS] apenas  com malware defender abriu o regedit :


    [Você precisa estar registrado e conectado para ver este link.]



    [Você precisa estar registrado e conectado para ver este link.]


    [Você precisa estar registrado e conectado para ver este link.]



    Comprometendo demais  chaves do registro sem relação alguma  com  o  CIS da comodo :


    [Você precisa estar registrado e conectado para ver este link.]


    E a  HKEY_LOCAL_MACHINE\system\Software\COMODO; em  seu  diretório inteiro  ( HKEY_LOCAL_MACHINE\system\Software\COMODO\CAM\firewall PRO  )  contêm firewall PRO :




    [Você precisa estar registrado e conectado para ver este link.]





    Já  tinha excluido  arquivos  com o  roguekiller :




    RogueKiller V9.2.4.0 [Jul 11 2014] Por Adlice Software
    mail : [Você precisa estar registrado e conectado para ver este link.]
    Feedback : [Você precisa estar registrado e conectado para ver este link.]
    Site : [Você precisa estar registrado e conectado para ver este link.]
    Blog : [Você precisa estar registrado e conectado para ver este link.]


    Sistema Operacional : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Iniciado em : Modo Normal
    Usuario : EDSON [Privilegios de Admnistrador]
    Modo : Remover -- Data : 07/29/2014  12:22:43


    ¤¤¤ Entradas ruins : 0 ¤¤¤


    ¤¤¤ Entradas do Registro : 4 ¤¤¤
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> SUBSTITUIDO (0)
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> SUBSTITUIDO (0)
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> SUBSTITUIDO (0)
    [PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> SUBSTITUIDO (0)


    ¤¤¤ As tarefas agendadas : 0 ¤¤¤


    ¤¤¤ Arquivos : 0 ¤¤¤


    ¤¤¤ Arquivo de Hosts : 1 ¤¤¤
    [C:\Windows\System32\drivers\etc\hosts] 127.0.0.1       localhost


    ¤¤¤ Antirootkit : 0 (Driver: Carregado) ¤¤¤


    ¤¤¤ Os navegadores da Web : 6 ¤¤¤
    [CHROME:Addon] Default : Google Docs [aohghmighlieiainnegkcijnfilokake] -> DELETADO
    [CHROME:Addon] Default : Google Drive [apdfllckaahabafndbhieahigkjlhalf] -> ERROR [2]
    [CHROME:Addon] Default : YouTube [blpcfgokakmgnkcojhhkbfbldkacnbeo] -> ERROR [2]
    [CHROME:Addon] Default : Google Search [coobgpohoikkiipiblmjeljniedjpjpf] -> ERROR [2]
    [CHROME:Addon] Default : Google Wallet [nmmhkkegccagdldgiimedpiccmgmieda] -> ERROR [2]
    [CHROME:Addon] Default : Gmail [pjkljhegncpnkpknbcohdijeoejaedia] -> ERROR [2]


    ¤¤¤ Verificaçao do MBR : ¤¤¤
    +++++ PhysicalDrive0: WDC WD5000AAKX-003CA0 ATA Device +++++
    --- User ---
    [MBR] 51306528823da76791b0bf4eb77f92f8
    [BSP] f3e35c3e9dafaa8d57903de213dfb602 : Windows Vista/7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
    1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 476838 MB
    User = LL1 ... OK
    User = LL2 ... OK




    ============================================

    RKreport_SCN_07292014_121958.log






    Após a segunda remoção :





    RogueKiller V9.2.4.0 [Jul 11 2014] Por Adlice Software

    mail : [Você precisa estar registrado e conectado para ver este link.]

    Feedback : [Você precisa estar registrado e conectado para ver este link.]

    Site : [Você precisa estar registrado e conectado para ver este link.]

    Blog : [Você precisa estar registrado e conectado para ver este link.]



    Sistema Operacional : Windows 7 (6.1.7601 Service Pack 1) 32 bits version

    Iniciado em : Modo Normal

    Usuario : EDSON [Privilegios de Admnistrador]

    Modo : Verificar -- Data : 07/29/2014  12:38:25



    ¤¤¤ Entradas ruins : 0 ¤¤¤



    ¤¤¤ Entradas do Registro : 0 ¤¤¤



    ¤¤¤ As tarefas agendadas : 0 ¤¤¤



    ¤¤¤ Arquivos : 0 ¤¤¤



    ¤¤¤ Arquivo de Hosts : 1 ¤¤¤

    [C:\Windows\System32\drivers\etc\hosts] 127.0.0.1       localhost



    ¤¤¤ Antirootkit : 10 (Driver: Carregado) ¤¤¤

    [EAT:Addr] (explorer.exe) drprov.dll - DllCanUnloadNow : C:\Windows\System32\DAVHLPR.dll @ 0x72a55fb2

    [EAT:Addr] (explorer.exe) drprov.dll - DllGetClassObject : C:\Windows\System32\DAVHLPR.dll @ 0x72a519bd

    [EAT:Addr] (explorer.exe) drprov.dll - DllRegisterServer : Unknown @ 0x72a5e30b

    [EAT:Addr] (explorer.exe) drprov.dll - DllUnregisterServer : Unknown @ 0x72a5e324

    [EAT:Addr] (explorer.exe) ntlanman.dll - DllCanUnloadNow : Unknown @ 0x726fd874

    [EAT:Addr] (explorer.exe) ntlanman.dll - DllGetClassObject : Unknown @ 0x726fd880

    [EAT:Addr] (explorer.exe) ntlanman.dll - DllRegisterServer : Unknown @ 0x726fd89b

    [EAT:Addr] (explorer.exe) ntlanman.dll - DllUnregisterServer : Unknown @ 0x726fd8e9

    [EAT:Addr] (explorer.exe) DAVHLPR.dll - DllRegisterServer : Unknown @ 0x72a5e30b

    [EAT:Addr] (explorer.exe) DAVHLPR.dll - DllUnregisterServer : Unknown @ 0x72a5e324



    ¤¤¤ Os navegadores da Web : 0 ¤¤¤



    ¤¤¤ Verificaçao do MBR : ¤¤¤

    +++++ PhysicalDrive0: WDC WD5000AAKX-003CA0 ATA Device +++++

    --- User ---

    [MBR] 51306528823da76791b0bf4eb77f92f8

    [BSP] f3e35c3e9dafaa8d57903de213dfb602 : Windows Vista/7/8 MBR Code

    Partition table:

    0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB

    1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 476838 MB

    User = LL1 ... OK

    User = LL2 ... OK





    ============================================

    RKreport_SCN_07292014_121958.log - RKreport_DEL_07292014_122243.log









    Abraços

    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Ter Jul 29, 2014 1:40 pm

    Boa  tarde !

    A opção editar ao reiniciar o sistema não consta mais ! 

    Falha nossa ! A chave HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent; ainda consta aqui :


    [Você precisa estar registrado e conectado para ver este link.]



    E como disse no post acima/1ª página;  os valores destas chaves do CIS; pelo regedit ;  não abrem !


    Descobri a permanência  da mesma ao rodar o combofix (  um log de  script que eu estava lhe devendo ) ;  cfe.  este :




    [Você precisa estar registrado e conectado para ver este link.]





    E estes serviços  (  no caso deste log - o \Legacy_KFKAGIJF  ) de rootkits ao  tocá - los  vão se auto programando mesmo ; pois  cfe. log acima surgiram novos visitantes ( suas aparições ) :


    c:\windows\system32\drivers\qandr.sys
    2014-07-29 16:40 . 2014-07-29 16:40 0 ----a-w- c:\windows\system32\drivers\parport32.sys
    2014-07-29 16:40 . 2014-07-29 16:40 0 ----a-w- c:\windows\system32\drivers\ati4irxx.sys

    2014-07-29 16:35 . 2014-07-29 16:35 12568 ----a-w-


    Este constou novamente hoje:

    2014-07-29 16:35 . 2014-07-29 16:35 12568 ----a-w- c:\windows\system32\drivers\PROCEXP113.SYS



    Abraços

    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Ter Jul 29, 2014 6:23 pm

    Boa  noite !  joram


    Fineza juntar  os 3 posts ; pois a opção de editação  some .  Por que um fabricante de softwares de segurança ia colocar um bloqueio destes nas chaves de seus produtos ?

    Estranho !!!

    Hoje à tarde já tentei com o ccleanner com inclusão avançada de remoção, no modo seguro via regedit, o regassassin da malwarebytes e nada de removê - las  .


    Ratificando ; desde aqui :


    [Você precisa estar registrado e conectado para ver este link.] ; tenho sempre o  RunScanner  em minha máquina e nunca constou o   c:\windows\system32\drivers\PROCEXP113.SYS .        Estes  drivers maléficos cfe. acima   (  rootkits ) já deletei tudo  manualmente do system32 .




    Interessante .  Dá  estes  resultados positivo de comando e nada de excluir :



    Rapport de ZHPFix 2014.7.27.5 par Nicolas Coolman, Update du 27/07/2014

    Fichier d'export Registre : 

    Run by EDSON at 29/07/2014 20:09:18

    High Elevated Privileges : OK

    Windows 7 Home Basic Edition, 32-bit Service Pack 1 (Build 7601)




    Reciclagem vazia (00mn 01s)




    ========== Chaves do Registo ==========

    ELIMINÉ:³ HKLM\SOFTWARE\COMODO\CIS

    ELIMINÉ:³ HKLM\system\ControlSet001\services\CmdAgent

    ELIMINÉ:³ HKLM\system\Software\COMODO







    ========== Recapitulativo ==========

    3 : Chaves do Registo







    End of clean in 00mn 02s




    ========== Caminho do ficheiro do relatório ==========

    C:\Users\EDSON\AppData\Roaming\ZHP\ZHPFix[R1].txt - 29/07/2014 20:09:20 [594]





    [Você precisa estar registrado e conectado para ver este link.]




    [Você precisa estar registrado e conectado para ver este link.]





    Abraços

    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 608
    Data de inscrição : 14/08/2012
    Idade : 63
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Ter Jul 29, 2014 9:03 pm

    Boa Noite! Agente da C&A

    Agente da C&A escreveu:Mas a chave HKEY_LOCAL_MACHINE\software\COMODO\CIS   (  que  inclusive não  constou nos seus scripts ao  combofix )    tem  a sigla  CIS e a mesma pelo editor de registro não abre; demonstrando  o caminho inteiro assim HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS] apenas  com malware defender abriu o regedit :
    |- Você tem razão,já que essa entrada deveria constar no CFScript.

    [Você precisa estar registrado e conectado para ver este link.]

    |- Quanto ao PROCEXP113.SYS,pertence ao "Process Explorer".

    -/-

    KillAll::
    RegLock::
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode][HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS]
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]
    [HKEY_LOCAL_MACHINE\software\COMODO\CIS]

    Registry::
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode]
    [-HKEY_LOCAL_MACHINE\software\COMODO\CIS]
    [-HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    [-HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]

    |- Execute este script na ferramenta ComboFix e,ao concluir,poste o relatório.

    -/-

    |- Baixe: |[Você precisa estar registrado e conectado para ver este link.]|
    |- Salve-o no disco local e descompacte-o,direcionando-o ao desktop. ( Área de trabalho! )
    |- Feche aplicações que estejam abertas! << Importante!
    |- Desabilite seu antivírus e/ou antispyware. << Importante!
    |- Execute-o com um duplo clique em TDSSKiller.exe

    "%userprofile%\Desktop\TDSSKiller.exe" -l C:\TDSSKiller.txt

    |- Caso prefira executá-lo por linha de comando,digite ou cole a linha,em destaque,no executar.
    |- Vá em Iniciar -> Executar -> Digite a LC -> Clique OK.
    |- Ps: Essa modalidade na execução,somente funcionará se TDSSKiller.exe estiver no desktop.
    |- Ps: Para Windows Vista ou 7,clique direito no arquivo e execute-o como administrador.

     [Você precisa estar registrado e conectado para ver esta imagem.]

    |- Na tela principal,siga a ordem numérica até a obtenção do relatório.

     [Você precisa estar registrado e conectado para ver esta imagem.]

    |- Em "Change parameters",marque todas as caixinhas.
    |- Á seguir,clique em "Start scan"

    [Você precisa estar registrado e conectado para ver esta imagem.]

    |- Ao concluir,clique em "Skip" para detecções suspeitas.

    |- Clique "Continue". < [Você precisa estar registrado e conectado para ver esta imagem.] >

    |- Ao concluir,clique em "Report".

    |- Poste-o em: < [Você precisa estar registrado e conectado para ver este link.] >

    |- Ou... < [Você precisa estar registrado e conectado para ver este link.] >

    |- Ou... < [Você precisa estar registrado e conectado para ver este link.] >

    Abs!

    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Ter Jul 29, 2014 10:25 pm

    Bom fim de noite !


    Em ((((((((((((((((   Arquivos/Ficheiros criados de 2014-06-28 to 2014-07-30  )))))))))))))))))))))))))))) no log do combo já consta a data em 30/7 !!!     Sendo que agora são  23:30 h  .   Ainda constão as chaves .


    Eis :


    ComboFix 14-07-29.01 - EDSON 29/07/2014  22:56:02.1.2 - x86
    Microsoft Windows 7 Home Basic   6.1.7601.1.1252.55.1046.18.1981.1163 [GMT -3]
    Executando de: c:\users\EDSON\Desktop\ComboFix.exe
    Comandos utilizados :: c:\users\EDSON\Desktop\CFScript.txt
    AV: avast! Antivirus *Enabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
    SP: avast! Antivirus *Enabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
    .
    ADS - drivers: deleted 208 bytes in 1 streams.
    .
    ((((((((((((((((   Arquivos/Ficheiros criados de 2014-06-28 to 2014-07-30  ))))))))))))))))))))))))))))
    .
    .
    2014-07-30 02:02 . 2014-07-30 02:02 -------- d-----w- c:\users\Default\AppData\Local\temp
    2014-07-30 01:54 . 2014-07-30 01:54 12568 ----a-w- c:\windows\system32\drivers\PROCEXP113.SYS
    2014-07-29 23:08 . 2014-07-29 23:41 -------- d-----w- c:\users\EDSON\AppData\Roaming\ZHP
    2014-07-29 20:01 . 2014-07-29 20:03 -------- d-----w- c:\users\EDSON\AppData\Roaming\Runscanner.net
    2014-07-29 17:24 . 2014-07-29 17:24 -------- d-----w- c:\users\EDSON\AppData\Local\Diagnostics
    2014-07-29 01:57 . 2014-07-29 15:14 29160 ----a-w- c:\windows\system32\drivers\TrueSight.sys
    2014-07-29 01:12 . 2014-07-30 02:03 -------- d-----w- c:\windows\system32\wbem\repository
    2014-07-28 17:53 . 2014-07-28 20:12 -------- d-----w- c:\users\EDSON\AppData\Local\CrashDumps
    2014-07-25 00:04 . 2014-07-26 01:04 -------- d-----w- c:\users\EDSON\Governo da República Eslovaca - Controle anti-corrupção
    2014-07-23 14:58 . 2014-07-23 14:26 24064 ----a-w- c:\windows\zoek-delete.exe
    2014-07-23 14:58 . 2014-07-30 02:04 -------- d-----w- c:\users\EDSON\AppData\Local\Temp
    2014-07-18 21:03 . 2014-07-18 21:03 -------- d-----w- c:\users\EDSON\AppData\Local\Opera Software
    2014-07-18 16:08 . 2014-07-18 16:08 -------- d-----w- c:\program files\Common Files\Java
    2014-07-18 16:07 . 2014-07-18 16:07 96680 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
    2014-07-18 16:07 . 2014-07-18 16:07 -------- d-----w- c:\program files\Java
    2014-07-09 12:58 . 2014-06-18 01:52 399360 ----a-w- c:\program files\Common Files\Microsoft Shared\Ink\tabskb.dll
    2014-07-09 12:58 . 2014-06-18 01:51 646144 ----a-w- c:\windows\system32\osk.exe
    2014-07-09 12:58 . 2014-06-18 00:52 2350080 ----a-w- c:\windows\system32\win32k.sys
    2014-07-09 12:58 . 2014-05-30 07:52 247808 ----a-w- c:\windows\system32\schannel.dll
    2014-07-09 12:58 . 2014-05-30 07:52 550912 ----a-w- c:\windows\system32\kerberos.dll
    2014-07-09 12:58 . 2014-05-30 07:52 220160 ----a-w- c:\windows\system32\ncrypt.dll
    2014-07-09 12:58 . 2014-05-30 07:52 259584 ----a-w- c:\windows\system32\msv1_0.dll
    2014-07-09 12:58 . 2014-05-30 07:52 172032 ----a-w- c:\windows\system32\wdigest.dll
    2014-07-09 12:58 . 2014-05-30 07:52 65536 ----a-w- c:\windows\system32\TSpkg.dll
    2014-07-09 12:57 . 2014-05-30 07:52 17408 ----a-w- c:\windows\system32\credssp.dll
    2014-07-09 12:57 . 2014-05-30 06:36 338944 ----a-w- c:\windows\system32\drivers\afd.sys
    2014-07-09 12:57 . 2014-06-06 09:44 509440 ----a-w- c:\windows\system32\qedit.dll
    2014-07-09 12:57 . 2014-06-05 14:26 1059840 ----a-w- c:\windows\system32\lsasrv.dll
    2014-07-07 16:27 . 2014-07-07 16:27 -------- d-----w- c:\users\EDSON\AppData\Local\Programs
    2014-07-02 22:32 . 2014-07-02 22:32 -------- d-----w- c:\users\EDSON\AppData\Local\Gadwin
    2014-07-02 12:59 . 2014-07-02 12:59 43152 ----a-w- c:\windows\avastSS.scr
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((   Relatório Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2014-07-04 10:22 . 2013-11-08 12:43 414520 ----a-w- c:\windows\system32\drivers\aswsp.sys
    2014-07-02 12:59 . 2013-12-20 13:45 71944 ----a-w- c:\windows\system32\drivers\aswstm.sys
    2014-07-02 12:59 . 2013-11-02 23:21 192352 ----a-w- c:\windows\system32\drivers\aswVmm.sys
    2014-07-02 12:59 . 2013-11-02 23:21 779536 ----a-w- c:\windows\system32\drivers\aswsnx.sys
    2014-07-02 12:59 . 2014-04-30 16:56 24184 ----a-w- c:\windows\system32\drivers\aswHwid.sys
    2014-07-02 12:59 . 2013-11-02 23:21 49944 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
    2014-07-02 12:59 . 2013-11-02 23:21 67824 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
    2014-07-02 12:59 . 2013-11-02 23:21 81768 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
    2014-07-02 12:59 . 2013-04-28 18:33 276432 ------w- c:\windows\system32\aswBoot.exe
    2014-05-30 20:41 . 2014-05-30 20:35 13464 ----a-w- c:\windows\system32\drivers\SWDUMon.sys
    2014-05-29 13:42 . 2012-10-21 18:49 48392 ----a-w- c:\windows\system32\certsentry.dll
    2014-05-09 07:06 . 2014-05-14 10:56 369664 ----a-w- c:\windows\system32\aepdu.dll
    2014-05-09 07:04 . 2014-05-14 10:56 302592 ----a-w- c:\windows\system32\aeinv.dll
    2014-05-08 09:06 . 2014-06-11 12:59 2742784 ----a-w- c:\windows\system32\rdpcorets.dll
    2014-05-08 09:06 . 2014-06-11 12:59 13824 ----a-w- c:\windows\system32\RdpGroupPolicyExtension.dll
    .
    .
    ((((((((((((((((((((((((((   Pontos de Carregamento do Registro   )))))))))))))))))))))))))))))))))))))))
    .
    .
    *Nota* entradas vazias e legítimas por padrão não são apresentadas. 
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
    @="{472083B0-C522-11CF-8763-00608CC02F24}"
    [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
    2014-07-02 12:59 578240 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Gadwin PrintScreen Pro (32-bit)"="c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe" [2014-02-21 13022888]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AvastUI.exe"="c:\program files\AVAST Software\Avast\AvastUI.exe" [2014-07-02 4086432]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableLUA"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    "EnableSecureUIAPath"= 1 (0x1)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
    2014-06-26 20:21 1746984 ----a-w- c:\program files\GbPlugin\gbieh.dll
    .
    [HKLM\~\startupfolder\C:^Users^EDSON^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Recorte de tela e Iniciador do OneNote 2007.lnk]
    backup=c:\windows\pss\Recorte de tela e Iniciador do OneNote 2007.lnk.Startup
    backupExtension=.Startup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
    2013-11-21 16:57 959904 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadwin PrintScreen Pro (32-bit)]
    2014-02-21 10:47 13022888 ----a-w- c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
    2009-02-26 21:36 30040 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
    2011-02-11 22:26 171032 ------w- c:\windows\System32\hkcmd.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
    2011-02-11 22:26 137752 ------w- c:\windows\System32\igfxtray.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
    2011-02-11 22:26 172568 ------w- c:\windows\System32\igfxpers.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2014-07-11 05:39 256896 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesOverride"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "UpdatesOverride"=dword:00000001
    .
    R3 cxbu0wdm;OMNIKEY 3x21;c:\windows\system32\DRIVERS\cxbu0wdm.sys [2011-09-06 119040]
    R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2014-06-18 108032]
    R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 14848]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2013-10-02 49152]
    R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2012-08-23 27136]
    S0 aswRvrt;avast! Revert; [x]
    S0 aswVmm;avast! VM Monitor; [x]
    S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [2014-03-14 47192]
    S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2014-07-02 779536]
    S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2014-07-04 414520]
    S1 Ndisrd;GAS Tecnologia Filter Driver;c:\windows\system32\DRIVERS\gbpndisrdn.sys [2014-03-10 29400]
    S2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys [2014-07-02 24184]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2014-07-02 67824]
    S2 aswStm;aswStm;c:\windows\system32\drivers\aswStm.sys [2014-07-02 71944]
    S2 DragonUpdater;COMODO Dragon Update Service;c:\program files\Comodo\Dragon\dragon_updater.exe [2014-05-21 2135232]
    S2 GbpSv;Gbp Service;c:\progra~1\GbPlugin\GbpSv.exe [2014-06-26 555048]
    S2 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2013-06-19 107392]
    S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-03-02 139776]
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation REG_MULTI_SZ   SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc SensrSvc
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
    2014-07-17 13:38 1104200 ----a-w- c:\program files\Google\Chrome\Application\36.0.1985.125\Installer\chrmstp.exe
    .
    Conteúdo da pasta 'Tarefas Agendadas'
    .
    2014-07-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
    .
    2014-07-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
    .
    .
    ------- Scan Suplementar -------
    .
    mSearch Bar = [Você precisa estar registrado e conectado para ver este link.]
    uInternet Settings,ProxyOverride = *.local
    Trusted Zone: bancobrasil.com.br\www
    Trusted Zone: bancobrasil.com.br\www14
    Trusted Zone: bancobrasil.com.br\www2
    Trusted Zone: bb.com.br\seg
    Trusted Zone: bb.com.br\www
    TCP: DhcpNameServer = 192.168.0.1
    FF - ProfilePath - c:\users\EDSON\AppData\Roaming\Mozilla\Firefox\Profiles\s5mdtf9j.default\
    FF - prefs.js: browser.search.defaulturl - [Você precisa estar registrado e conectado para ver este link.]
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - [Você precisa estar registrado e conectado para ver este link.]
    FF - prefs.js: keyword.URL - [Você precisa estar registrado e conectado para ver este link.]
    .
    - - - - ORFÃOS REMOVIDOS - - - -
    .
    Toolbar-Locked - (no file)
    .
    .
    .
    --------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
    .
    [HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
    .
    [HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]
    "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
       00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
    .
    --------------------- DLLs Carregadas Sob os Processos em Execução ---------------------
    .
    - - - - - - - > 'Explorer.exe'(3488)
    c:\windows\System32\msxml6.dll
    .
    ------------------------ Outros Processos em Execução ------------------------
    .
    c:\program files\AVAST Software\Avast\AvastSvc.exe
    c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
    c:\windows\system32\sppsvc.exe
    c:\windows\system32\taskhost.exe
    c:\windows\system32\conhost.exe
    c:\program files\Windows Media Player\wmpnetwk.exe
    c:\windows\regedit.exe
    .
    **************************************************************************
    .
    Tempo para conclusão: 2014-07-29  23:08:25 - Máquina reiniciou
    ComboFix-quarantined-files.txt  2014-07-30 02:08
    .
    Pré-execução: 474.599.772.160 bytes disponíveis
    Pós execução: 474.397.925.376 bytes disponíveis
    .
    - - End Of File - - 4ACF1C9ECBB3FB5F66CD21762DD3A59F
    A36C5E4F47E84449FF07ED3517B43A31




    TDSSKILLER :

    [Você precisa estar registrado e conectado para ver este link.]

    [Você precisa estar registrado e conectado para ver este link.]


    Acho que as chaves  foram  removidas com o regseeker .   Acho !!!    Vou confirmar .



    Abraços

    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 608
    Data de inscrição : 14/08/2012
    Idade : 63
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Qua Jul 30, 2014 7:49 am

    Bom Dia! Agente da C&A

    S2 DragonUpdater;COMODO Dragon Update Service;c:\program files\Comodo\Dragon\dragon_updater.exe [2014-05-21 2135232]

    |- Você tem,ainda,o Comodo Dragon instalado?

    [Você precisa estar registrado e conectado para ver esta imagem.]

    |- Você consegue acesso às Permissões,indo ao Registro?
    |- Ps: Tomei o Baidu Security como exemplo.

    [Você precisa estar registrado e conectado para ver esta imagem.]

    |- Verifique se possui Controle total para SISTEMA,em relação ao Comodo.
    |- Verifique,também,os "Nomes de grupo ou de usuário".

    Abs!

    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Qua Jul 30, 2014 9:13 am

    Bom dia !  joram


    Sim !   Tenho o controle total e usuários consta  como  todos .  Porém nada de excluir .

    Regseeker  tbm  falhou .   Chaves indeletáveis .


    Abraços

    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Qua Jul 30, 2014 11:53 am

    Confirmando :


    [Você precisa estar registrado e conectado para ver este link.]


    [Você precisa estar registrado e conectado para ver este link.]


    Localizei a chave principal do dragon pelo  revo uninstall .


    Um  aplicativo que talvez pudesse removê - las seria o icesword  (  removedor de chaves de rootkits ) :

    [Você precisa estar registrado e conectado para ver este link.]

    [Você precisa estar registrado e conectado para ver este link.]   mas o mesmo  não  roda no seven; é até  o win vista :

     
    Que  inclusive fiquei  sabendo da existência desta ferramenta através de nosso colega ; o finado  wings .  Que Deus  o tenha .


    Vou  tentar  com ela  no modo seguro . Vamos ver se roda no modo safe .


    Abraços

    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 608
    Data de inscrição : 14/08/2012
    Idade : 63
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Qua Jul 30, 2014 12:22 pm

    Agente da C&A escreveu:Bom dia !  joram


    Sim !   Tenho o controle total e usuários consta  como  todos .  Porém nada de excluir .

    Regseeker  tbm  falhou .   Chaves indeletáveis .


    Abraços
    Boa Tarde! Agente da C&A

    |- Fora esta questão em vc querer deletar essas entradas do Comodo,o seu computador apresenta algum problema?
    |- Ps: Pesquisei e,ainda,não vi meios de resetar seu registro. No passado,utilizava a ferramenta da Microsoft subinacl.msi,que funcionava muito bem no Windows XP e inapropriada para Windows 7 (x64).

    < [Você precisa estar registrado e conectado para ver este link.] >

    |- Aqui podes ver o download do subinacl.msi e estabelecimento do arquivo ".cmd".

    < [Você precisa estar registrado e conectado para ver este link.] >

    |- Neste caso,encontramos o reset sem solução e estabelecimento de Novo Usuário,que satisfez o reclamante.

    Agente da C&A escreveu:Um  aplicativo que talvez pudesse removê - las seria o icesword  (  removedor de chaves de rootkits ) :
    [Você precisa estar registrado e conectado para ver este link.] >

    |- Tente com esta,onde o wings possui um tutorial da mesma.

    [Você precisa estar registrado e conectado para ver este link.] > ( ... by wings )

    Abs!


    Última edição por joram em Qua Jul 30, 2014 12:51 pm, editado 2 vez(es)

    Agente da C&A
    Membro
    Membro

    Mensagens : 70
    Data de inscrição : 03/01/2014

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Agente da C&A em Qua Jul 30, 2014 12:26 pm

    Boa tarde !


    Não;  o PC  está funcionando bem .  Mas a arquitetura de meu win seven é x86/32 bits .




    Abraços

    joram
    Administrador Fundador
    Administrador Fundador

    Mensagens : 608
    Data de inscrição : 14/08/2012
    Idade : 63
    Localização : Rio de Janeiro

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por joram em Qua Jul 30, 2014 12:36 pm

    Agente da C&A escreveu:Boa tarde !


    Não;  o PC  está funcionando bem .  Mas a arquitetura de meu win seven é x86/32 bits .




    Abraços
    Boa Tarde! Agente da C&A

    |- Então vc pode tentar a utilização da ferramenta da Microsoft,que irá resetar seu Registro,segundo as informações que serão salvas,em local adequado,na extensão ( .cmd ). Basta ler as instruções que estão em Inglês,mas que vc pode traduzi-las.

    Abs!

    Conteúdo patrocinado

    Re: Rootkits são mesmo sobras de vários softwares

    Mensagem por Conteúdo patrocinado Hoje à(s) 12:54 pm


      Data/hora atual: Sex Dez 02, 2016 12:54 pm