Rootkits são mesmo sobras de vários softwares

Boa  tarde !

Rootkits são  mesmo sobras de vários softwares  !!!


Se não  vejamos .   Em uma otimização  ( seção windows ) do sistema :


[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

E :

Desenvolveram sozinhos de ontem para hoje :

c:\windows\system32\drivers\boecfccm.sys
2014-07-28 17:55 . 2012-01-10 03:21 258392 ------w- c:\windows\system32\drivers\kfkagijf.sys

No penúltimo log e recente não constava :


[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Abraços

Boa Noite! Agente da C&A


|- Rootkits não são sobras de softwares e geralmente vem como serviços ocultos,que possuem a função de proteger ou 'camuflar' objetos maliciosos,evitando que sejam detectados por antivírus. 
Costuma-se comprimi-los em UPX,onde somente ferramentas especializadas podem detectá-los.

RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
[HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
[HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]

|- Este script deverá ser rodado no CFScript para desbloquear as entradas.

RegLockDel::
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
[HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
[HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]

|- Este outro pode ser rodado,na tentativa de remoção.

Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
[-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
[-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
[-HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
[-HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]

|- Ou este,após o desbloqueio.

Abs!


nn

Boa noite !


Mas estes CFScript   com  combofix ?  OTM ?  OTL ?




Abraços

Agente da C&A escreveu:Boa noite !


Mas estes CFScript   com  combofix ?  OTM ?  OTL ?




Abraços

Olá!

|- São scripts para serem executados no ComboFix.

Agente da C&A escreveu:Vc  leu  minha editação  sobre :

c:\windows\system32\drivers\boecfccm.sys
2014-07-28 17:55 . 2012-01-10 03:21 258392 ------w- c:\windows\system32\drivers\kfkagijf.sys

|- Não! O que queres saber?

Abs!

Boa  noite !


Sobre estes dois  drivers não  constarem no log do combofix;  no de ontem .   E agora  constam !

Irei de executar combofix com os devidos  scripts .


Abraços

Agente da C&A escreveu:Boa  noite !


Sobre estes dois  drivers não  constarem no log do combofix;  no de ontem .   E agora  constam !

Irei de executar combofix com os devidos  scripts .


Abraços

Olá!

|- São suspeitos,já que não encontrei referências aos mesmos.

rootkit::
c\windows\system32\drivers\boecfccm.sys
c:\windows\system32\drivers\kfkagijf.sys

Driver::
boecfccm
kfkagijf


|- Inclua,também,este outro.

S2 MalwareDefenderService;Malware Defender Service;c:\program files\malware defender\mdservice.exe [2012-01-10 90968]

|- Desinstale: Malware Defender <<
|- Ps: Parece estar associado aos objetos.

< http://systemexplorer.net/pt/file-database/file/mdservice-exe >


|- Foi vc que o instalou?
|- Ps: Editei erros de comando ao script no ComboFix. Portanto,refaça o scan caso a ferramenta não funcione adequadamente.

Abs!

Sim ; instalei para remover as chaves bloqueadas . Ele  remove as  mesmas e até rootkits .   Com exceção das  do CIS . rsrsrs .


Exato :

c:\windows\system32\drivers\mjmjkodk.sys .   Este  constou no log gerado; o para desbloqueiar as chaves do CIS :


[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]


Abraços

Boa Noite! Agente da C&A

RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
[HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
[HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]


Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
[-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
[-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
[-HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
[-HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]


rootkit::
c:\windows\system32\drivers\mjmjkodk.sys


Driver::
mjmjkodk

|- Execute este script ao ComboFix.
|- Se possível,faça-o em Modo de Segurança.

Abs!

Nada de remover as chaves :

ComboFix 14-07-25.01 - EDSON 28/07/2014  20:18:06.2.2 - x86
Microsoft Windows 7 Home Basic   6.1.7601.1.1252.55.1046.18.1981.782 [GMT -3]
Executando de: c:\users\EDSON\Desktop\ComboFix.exe
Comandos utilizados :: c:\users\EDSON\Desktop\CFScript.txt
AV: avast! Antivirus *Enabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
SP: avast! Antivirus *Enabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
.
ADS - drivers: deleted 208 bytes in 1 streams.
.
((((((((((((((((   Arquivos/Ficheiros criados de 2014-06-28 to 2014-07-28  ))))))))))))))))))))))))))))
.
.
2014-07-28 23:28 . 2014-07-28 23:28 -------- d-----w- c:\users\Default\AppData\Local\temp
2014-07-28 17:55 . 2014-07-28 23:15 -------- d-----w- c:\program files\Malware Defender
2014-07-28 17:53 . 2014-07-28 20:12 -------- d-----w- c:\users\EDSON\AppData\Local\CrashDumps
2014-07-26 17:21 . 2014-07-26 17:27 -------- d-sh--w- c:\users\EDSON\AppData\Local\EmieUserList
2014-07-26 17:21 . 2014-07-26 17:27 -------- d-sh--w- c:\users\EDSON\AppData\Local\EmieSiteList
2014-07-25 00:04 . 2014-07-26 01:04 -------- d-----w- c:\users\EDSON\Governo da República Eslovaca - Controle anti-corrupção
2014-07-23 14:58 . 2014-07-23 14:26 24064 ----a-w- c:\windows\zoek-delete.exe
2014-07-23 14:58 . 2014-07-28 23:28 -------- d-----w- c:\users\EDSON\AppData\Local\Temp
2014-07-18 21:03 . 2014-07-18 21:03 -------- d-----w- c:\users\EDSON\AppData\Local\Opera Software
2014-07-18 16:08 . 2014-07-18 16:08 -------- d-----w- c:\program files\Common Files\Java
2014-07-18 16:07 . 2014-07-18 16:07 96680 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2014-07-18 16:07 . 2014-07-18 16:07 -------- d-----w- c:\program files\Java
2014-07-09 12:58 . 2014-06-18 01:52 399360 ----a-w- c:\program files\Common Files\Microsoft Shared\Ink\tabskb.dll
2014-07-09 12:58 . 2014-06-18 01:51 646144 ----a-w- c:\windows\system32\osk.exe
2014-07-09 12:58 . 2014-06-18 00:52 2350080 ----a-w- c:\windows\system32\win32k.sys
2014-07-09 12:58 . 2014-05-30 07:52 247808 ----a-w- c:\windows\system32\schannel.dll
2014-07-09 12:58 . 2014-05-30 07:52 550912 ----a-w- c:\windows\system32\kerberos.dll
2014-07-09 12:58 . 2014-05-30 07:52 220160 ----a-w- c:\windows\system32\ncrypt.dll
2014-07-09 12:58 . 2014-05-30 07:52 259584 ----a-w- c:\windows\system32\msv1_0.dll
2014-07-09 12:58 . 2014-05-30 07:52 172032 ----a-w- c:\windows\system32\wdigest.dll
2014-07-09 12:58 . 2014-05-30 07:52 65536 ----a-w- c:\windows\system32\TSpkg.dll
2014-07-09 12:57 . 2014-05-30 07:52 17408 ----a-w- c:\windows\system32\credssp.dll
2014-07-09 12:57 . 2014-05-30 06:36 338944 ----a-w- c:\windows\system32\drivers\afd.sys
2014-07-09 12:57 . 2014-06-06 09:44 509440 ----a-w- c:\windows\system32\qedit.dll
2014-07-09 12:57 . 2014-06-05 14:26 1059840 ----a-w- c:\windows\system32\lsasrv.dll
2014-07-07 16:27 . 2014-07-07 16:27 -------- d-----w- c:\users\EDSON\AppData\Local\Programs
2014-07-02 22:32 . 2014-07-02 22:32 -------- d-----w- c:\users\EDSON\AppData\Local\Gadwin
2014-07-02 12:59 . 2014-07-02 12:59 43152 ----a-w- c:\windows\avastSS.scr
.
.
.
(((((((((((((((((((((((((((((((((((((   Relatório Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-07-04 10:22 . 2013-11-08 12:43 414520 ----a-w- c:\windows\system32\drivers\aswsp.sys
2014-07-02 12:59 . 2013-12-20 13:45 71944 ----a-w- c:\windows\system32\drivers\aswstm.sys
2014-07-02 12:59 . 2013-11-02 23:21 192352 ----a-w- c:\windows\system32\drivers\aswVmm.sys
2014-07-02 12:59 . 2013-11-02 23:21 779536 ----a-w- c:\windows\system32\drivers\aswsnx.sys
2014-07-02 12:59 . 2014-04-30 16:56 24184 ----a-w- c:\windows\system32\drivers\aswHwid.sys
2014-07-02 12:59 . 2013-11-02 23:21 49944 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
2014-07-02 12:59 . 2013-11-02 23:21 67824 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2014-07-02 12:59 . 2013-11-02 23:21 81768 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
2014-07-02 12:59 . 2013-04-28 18:33 276432 ----a-w- c:\windows\system32\aswBoot.exe
2014-05-30 20:41 . 2014-05-30 20:35 13464 ----a-w- c:\windows\system32\drivers\SWDUMon.sys
2014-05-29 13:42 . 2012-10-21 18:49 48392 ----a-w- c:\windows\system32\certsentry.dll
2014-05-09 07:06 . 2014-05-14 10:56 369664 ----a-w- c:\windows\system32\aepdu.dll
2014-05-09 07:04 . 2014-05-14 10:56 302592 ----a-w- c:\windows\system32\aeinv.dll
2014-05-08 09:06 . 2014-06-11 12:59 2742784 ----a-w- c:\windows\system32\rdpcorets.dll
2014-05-08 09:06 . 2014-06-11 12:59 13824 ----a-w- c:\windows\system32\RdpGroupPolicyExtension.dll
.
.
((((((((((((((((((((((((((   Pontos de Carregamento do Registro   )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por padrão não são apresentadas. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2014-07-02 12:59 578240 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadwin PrintScreen Pro (32-bit)"="c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe" [2014-02-21 13022888]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AvastUI.exe"="c:\program files\AVAST Software\Avast\AvastUI.exe" [2014-07-02 4086432]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
2014-06-26 20:21 1746984 ----a-w- c:\program files\GbPlugin\gbieh.dll
.
[HKLM\~\startupfolder\C:^Users^EDSON^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Recorte de tela e Iniciador do OneNote 2007.lnk]
backup=c:\windows\pss\Recorte de tela e Iniciador do OneNote 2007.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2013-11-21 16:57 959904 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadwin PrintScreen Pro (32-bit)]
2014-02-21 10:47 13022888 ----a-w- c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2009-02-26 21:36 30040 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2011-02-11 22:26 171032 ----a-w- c:\windows\System32\hkcmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2011-02-11 22:26 137752 ----a-w- c:\windows\System32\igfxtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2011-02-11 22:26 172568 ----a-w- c:\windows\System32\igfxpers.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2014-07-11 05:39 256896 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"UpdatesOverride"=dword:00000001
.
R1 kfkagijf;kfkagijf;c:\windows\system32\drivers\kfkagijf.sys [x]
R3 cxbu0wdm;OMNIKEY 3x21;c:\windows\system32\DRIVERS\cxbu0wdm.sys [2011-09-06 119040]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2014-06-18 108032]
S0 aswRvrt;avast! Revert; [x]
S0 aswVmm;avast! VM Monitor; [x]
S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [2014-03-14 47192]
S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2014-07-02 779536]
S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2014-07-04 414520]
S2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys [2014-07-02 24184]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2014-07-02 67824]
S2 aswStm;aswStm;c:\windows\system32\drivers\aswStm.sys [2014-07-02 71944]
S2 DragonUpdater;COMODO Dragon Update Service;c:\program files\Comodo\Dragon\dragon_updater.exe [2014-05-21 2135232]
S2 GbpSv;Gbp Service;c:\progra~1\GbPlugin\GbpSv.exe [2014-06-26 555048]
.
.
--- =Outros Serviços/Drivers Na Memória ---
.
*NewlyCreated* - MJMJKODK
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ   SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc SensrSvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-07-17 13:38 1104200 ----a-w- c:\program files\Google\Chrome\Application\36.0.1985.125\Installer\chrmstp.exe
.
Conteúdo da pasta 'Tarefas Agendadas'
.
2014-07-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
.
2014-07-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
.
.
------- Scan Suplementar -------
.
uStart Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
mStart Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
mSearch Bar = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = 127.0.0.1:8080
Trusted Zone: bancobrasil.com.br\www
Trusted Zone: bancobrasil.com.br\www14
Trusted Zone: bancobrasil.com.br\www2
Trusted Zone: bb.com.br\seg
Trusted Zone: bb.com.br\www
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\EDSON\AppData\Roaming\Mozilla\Firefox\Profiles\s5mdtf9j.default\
FF - prefs.js: browser.search.defaulturl - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
FF - prefs.js: keyword.URL - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
.
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
.
[HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
.
Tempo para conclusão: 2014-07-28  20:30:29
ComboFix-quarantined-files.txt  2014-07-28 23:30
.
Pré-execução: 475.140.030.464 bytes disponíveis
Pós execução: 475.091.869.696 bytes disponíveis
.
- - End Of File - - 75ACB599E37C721AAE625EFB8AD66329
A36C5E4F47E84449FF07ED3517B43A31


Não tem  mais os  novos rootkits :


Runscanner logfile [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

* = signed file
- = file not found

General info
------------
Computer name : EDSON-PC
Creation time : 28/07/2014 21:13:17
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 9.11.9600.17207
OS : Windows 7 Home Basic
OS Build : 7601
OS SP : Service Pack 1
RunScanner Version : 2.0.0.60
User Language : Português (Brasil)
User rights : Administrator
Windows folder : C:\Windows

Running processes
-----------------
* C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
* C:\Windows\System32\wininit.exe (Microsoft Corporation)
* C:\Windows\System32\winlogon.exe (Microsoft Corporation)
* C:\Windows\System32\services.exe (Microsoft Corporation)
* C:\Windows\System32\spoolsv.exe (Microsoft Corporation)
* C:\Program Files\AVAST Software\Avast\AvastUI.exe (AVAST Software)
* C:\Program Files\AVAST Software\Avast\AvastSvc.exe (AVAST Software)
* C:\Program Files\Comodo\Dragon\dragon_updater.exe
* C:\Program Files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe (Gadwin Systems)
* C:\PROGRA~1\GbPlugin\gbpsv.exe (GAS Tecnologia)
* C:\Windows\System32\dwm.exe (Microsoft Corporation)
* C:\Windows\System32\smss.exe (Microsoft Corporation)
* C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.)
* C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.)
* C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.)
* C:\Windows\System32\SearchIndexer.exe (Microsoft Corporation)
* C:\Windows\servicing\TrustedInstaller.exe (Microsoft Corporation)
* C:\Windows\System32\lsass.exe (Microsoft Corporation)
* C:\Windows\System32\taskeng.exe (Microsoft Corporation)
* C:\Windows\System32\SearchFilterHost.exe (Microsoft Corporation)
* C:\Windows\System32\SearchProtocolHost.exe (Microsoft Corporation)
* C:\Windows\System32\svchost.exe (Microsoft Corporation)
* C:\Windows\System32\svchost.exe (Microsoft Corporation)
* C:\Windows\System32\svchost.exe (Microsoft Corporation)
* C:\Windows\System32\svchost.exe (Microsoft Corporation)
* C:\Windows\System32\svchost.exe (Microsoft Corporation)
* C:\Windows\System32\svchost.exe (Microsoft Corporation)
* C:\Windows\System32\svchost.exe (Microsoft Corporation)
* C:\Windows\System32\svchost.exe (Microsoft Corporation)
* C:\Windows\System32\svchost.exe (Microsoft Corporation)
* C:\Windows\System32\svchost.exe (Microsoft Corporation)
* C:\Windows\System32\taskhost.exe (Microsoft Corporation)
* C:\Windows\System32\taskhost.exe (Microsoft Corporation)
* C:\Windows\System32\csrss.exe (Microsoft Corporation)
* C:\Windows\System32\csrss.exe (Microsoft Corporation)
* C:\Users\EDSON\Downloads\runscanner.exe (Runscanner.net)
* C:\Program Files\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
* C:\Windows\System32\lsm.exe (Microsoft Corporation)
* C:\Windows\explorer.exe (Microsoft Corporation)
* C:\Windows\System32\wbem\WmiPrvSE.exe (Microsoft Corporation)

Unrated items
-------------
002 * C:\Program Files\AVAST Software\Avast\AvastUI.exe (AVAST Software)
003 * C:\Program Files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe (Gadwin Systems)
010 * C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (.NET Runtime Optimization Service)
010 * C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Acrobat Update Service)
010 * C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe® Flash® Player Update Service 12.0 r0)
010 * C:\Program Files\AVAST Software\Avast\AvastSvc.exe (avast! Service)
010 * C:\Program Files\Comodo\Dragon\dragon_updater.exe (dragon_updater.exe)
010 * C:\PROGRA~1\GbPlugin\GbpSv.exe (G-Buster Browser Defense - Service)
010 * C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe (maintenanceservice.exe)
011   c:\windows\system32\drivers\aswHwid.sys (aswHwid.sys)
011 * C:\Windows\system32\drivers\aswRvrt.sys (aswRvrt.sys)
011 * C:\Windows\system32\drivers\aswVmm.sys (aswVmm.sys)
011 * c:\windows\system32\drivers\aswMonFlt.sys (avast! File System Minifilter for Windows 2003/Vista)
011 * c:\windows\system32\drivers\aswSP.sys (avast! self protection module)
011 * c:\windows\system32\drivers\aswSnx.sys (avast! Virtualization Driver)
011 * c:\windows\system32\drivers\aswRdr2.sys (avast! WFP Redirect Driver)
011 * C:\Windows\system32\DRIVERS\gbpndisrdn.sys (GAS Tecnologia - LWF Helper Driver)
011 * C:\Windows\system32\drivers\gbpkm.sys (GbPlugin Device Driver)
011 * c:\windows\system32\drivers\aswStm.sys (Stream Filter)
035 * C:\Program Files\Google\Chrome\Application\36.0.1985.125\Installer\chrmstp.exe (Google Inc.) {8A69D345-D564-463c-AFF1-A69D9E530F96}
047   Zone: seg.bb.com.br : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
047   Zone: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] : *.www.bancobrasil.com.br
047   Zone: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] : *.www.bb.com.br
047   Zone: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
047   Zone: www14.bancobrasil.com.br : *.www14.bancobrasil.com.br
047   Zone: www14.bancobrasil.com.br : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
047   Zone: www2.bancobrasil.com.br : *.www2.bancobrasil.com.br
047   Zone: www2.bancobrasil.com.br : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
050 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil) {E37CB5F0-51F5-4395-A808-5FA49E399F83}
052 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil) {C41A1C0E-EA6C-11D4-B1B8-444553540000}
052 * C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software) {8E5E2654-AD2D-48bf-AC2D-D17F00898D06}
052 * C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation) {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
052 * C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) {DBC80044-A445-435b-BC74-9C25C1C588A9}
061 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
061 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil) {98C11555-BC81-40aa-A053-DAADC5630000}
061 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil) {E37CB5F0-51F5-4395-A808-5FA49E399F83}
062 * C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}
067 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil)
100   ProxyServer HKCU : 127.0.0.1:8080
100   ProxyServer HKLM : 127.0.0.1:8080
100   Start Page HKCU : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
100   Start Page HKLM : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
104 * C:\Windows\system32\Macromed\Flash\Flash32_12_0_0_70.ocx (Adobe Systems, Inc.) {D27CDB6E-AE6D-11CF-96B8-444553540000}
173 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
221 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
223 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
225 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
225 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
231 * C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) PDF Column Info
241 * C:\Program Files\AVAST Software\Avast\ashShell.dll (AVAST Software) {472083B0-C522-11CF-8763-00608CC02F24}
254 * C:\PROGRAM FILES\GBPLUGIN\gbieh.dll (Banco do Brasil) {98C11555-BC81-40aa-A053-DAADC5630000}

Missing files
-------------
011 c:\windows\system32\drivers\mjmjkodk.sys
032 rdpclip



Abraços

Boa Noite! Agente da C&A

|- Como vc desinstalou o Comodo?

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

|- Chegou a utilizar este batch?

Abs!

Boa noite !


Vamos em  partes ; combofix no modo seguro :

ComboFix 14-07-25.01 - EDSON 28/07/2014  21:41:37.1.2 - x86 MINIMAL
Microsoft Windows 7 Home Basic   6.1.7601.1.1252.55.1046.18.1981.1372 [GMT -3]
Executando de: c:\users\EDSON\Desktop\ComboFix.exe
Comandos utilizados :: c:\users\EDSON\Desktop\CFScript.txt
AV: avast! Antivirus *Enabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
SP: avast! Antivirus *Enabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
 * Criado um novo ponto de restauração
.
ADS - drivers: deleted 208 bytes in 1 streams.
.
(((((((((((((((((((((((((((((((((((((   Outras Exclusões   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((   Drivers/Serviços   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_MJMJKODK
.
.
((((((((((((((((   Arquivos/Ficheiros criados de 2014-06-28 to 2014-07-29  ))))))))))))))))))))))))))))
.
.
2014-07-29 00:45 . 2014-07-29 00:45 -------- d-----w- c:\users\Default\AppData\Local\temp
2014-07-29 00:40 . 2014-07-29 00:45 12568 ----a-w- c:\windows\system32\drivers\PROCEXP113.SYS
2014-07-28 23:40 . 2014-07-28 23:43 -------- d-----w- c:\users\EDSON\AppData\Roaming\Runscanner.net
2014-07-28 17:53 . 2014-07-28 20:12 -------- d-----w- c:\users\EDSON\AppData\Local\CrashDumps
2014-07-26 17:21 . 2014-07-26 17:27 -------- d-sh--w- c:\users\EDSON\AppData\Local\EmieUserList
2014-07-26 17:21 . 2014-07-26 17:27 -------- d-sh--w- c:\users\EDSON\AppData\Local\EmieSiteList
2014-07-25 00:04 . 2014-07-26 01:04 -------- d-----w- c:\users\EDSON\Governo da República Eslovaca - Controle anti-corrupção
2014-07-23 14:58 . 2014-07-23 14:26 24064 ----a-w- c:\windows\zoek-delete.exe
2014-07-23 14:58 . 2014-07-29 00:54 -------- d-----w- c:\users\EDSON\AppData\Local\Temp
2014-07-18 21:03 . 2014-07-18 21:03 -------- d-----w- c:\users\EDSON\AppData\Local\Opera Software
2014-07-18 16:08 . 2014-07-18 16:08 -------- d-----w- c:\program files\Common Files\Java
2014-07-18 16:07 . 2014-07-18 16:07 96680 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2014-07-18 16:07 . 2014-07-18 16:07 -------- d-----w- c:\program files\Java
2014-07-09 12:58 . 2014-06-18 01:52 399360 ----a-w- c:\program files\Common Files\Microsoft Shared\Ink\tabskb.dll
2014-07-09 12:58 . 2014-06-18 01:51 646144 ----a-w- c:\windows\system32\osk.exe
2014-07-09 12:58 . 2014-06-18 00:52 2350080 ----a-w- c:\windows\system32\win32k.sys
2014-07-09 12:58 . 2014-05-30 07:52 247808 ----a-w- c:\windows\system32\schannel.dll
2014-07-09 12:58 . 2014-05-30 07:52 550912 ----a-w- c:\windows\system32\kerberos.dll
2014-07-09 12:58 . 2014-05-30 07:52 220160 ----a-w- c:\windows\system32\ncrypt.dll
2014-07-09 12:58 . 2014-05-30 07:52 259584 ----a-w- c:\windows\system32\msv1_0.dll
2014-07-09 12:58 . 2014-05-30 07:52 172032 ----a-w- c:\windows\system32\wdigest.dll
2014-07-09 12:58 . 2014-05-30 07:52 65536 ----a-w- c:\windows\system32\TSpkg.dll
2014-07-09 12:57 . 2014-05-30 07:52 17408 ----a-w- c:\windows\system32\credssp.dll
2014-07-09 12:57 . 2014-05-30 06:36 338944 ----a-w- c:\windows\system32\drivers\afd.sys
2014-07-09 12:57 . 2014-06-06 09:44 509440 ----a-w- c:\windows\system32\qedit.dll
2014-07-09 12:57 . 2014-06-05 14:26 1059840 ----a-w- c:\windows\system32\lsasrv.dll
2014-07-07 16:27 . 2014-07-07 16:27 -------- d-----w- c:\users\EDSON\AppData\Local\Programs
2014-07-02 22:32 . 2014-07-02 22:32 -------- d-----w- c:\users\EDSON\AppData\Local\Gadwin
2014-07-02 12:59 . 2014-07-02 12:59 43152 ----a-w- c:\windows\avastSS.scr
.
.
.
(((((((((((((((((((((((((((((((((((((   Relatório Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-07-04 10:22 . 2013-11-08 12:43 414520 ----a-w- c:\windows\system32\drivers\aswsp.sys
2014-07-02 12:59 . 2013-12-20 13:45 71944 ----a-w- c:\windows\system32\drivers\aswstm.sys
2014-07-02 12:59 . 2013-11-02 23:21 192352 ----a-w- c:\windows\system32\drivers\aswVmm.sys
2014-07-02 12:59 . 2013-11-02 23:21 779536 ----a-w- c:\windows\system32\drivers\aswsnx.sys
2014-07-02 12:59 . 2014-04-30 16:56 24184 ----a-w- c:\windows\system32\drivers\aswHwid.sys
2014-07-02 12:59 . 2013-11-02 23:21 49944 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
2014-07-02 12:59 . 2013-11-02 23:21 67824 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2014-07-02 12:59 . 2013-11-02 23:21 81768 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
2014-07-02 12:59 . 2013-04-28 18:33 276432 ----a-w- c:\windows\system32\aswBoot.exe
2014-05-30 20:41 . 2014-05-30 20:35 13464 ----a-w- c:\windows\system32\drivers\SWDUMon.sys
2014-05-29 13:42 . 2012-10-21 18:49 48392 ----a-w- c:\windows\system32\certsentry.dll
2014-05-09 07:06 . 2014-05-14 10:56 369664 ----a-w- c:\windows\system32\aepdu.dll
2014-05-09 07:04 . 2014-05-14 10:56 302592 ----a-w- c:\windows\system32\aeinv.dll
2014-05-08 09:06 . 2014-06-11 12:59 2742784 ----a-w- c:\windows\system32\rdpcorets.dll
2014-05-08 09:06 . 2014-06-11 12:59 13824 ----a-w- c:\windows\system32\RdpGroupPolicyExtension.dll
.
.
((((((((((((((((((((((((((   Pontos de Carregamento do Registro   )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por padrão não são apresentadas. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2014-07-02 12:59 578240 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadwin PrintScreen Pro (32-bit)"="c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe" [2014-02-21 13022888]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AvastUI.exe"="c:\program files\AVAST Software\Avast\AvastUI.exe" [2014-07-02 4086432]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
2014-06-26 20:21 1746984 ----a-w- c:\program files\GbPlugin\gbieh.dll
.
[HKLM\~\startupfolder\C:^Users^EDSON^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Recorte de tela e Iniciador do OneNote 2007.lnk]
backup=c:\windows\pss\Recorte de tela e Iniciador do OneNote 2007.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2013-11-21 16:57 959904 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadwin PrintScreen Pro (32-bit)]
2014-02-21 10:47 13022888 ----a-w- c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2009-02-26 21:36 30040 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2011-02-11 22:26 171032 ----a-w- c:\windows\System32\hkcmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2011-02-11 22:26 137752 ----a-w- c:\windows\System32\igfxtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2011-02-11 22:26 172568 ----a-w- c:\windows\System32\igfxpers.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2014-07-11 05:39 256896 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"UpdatesOverride"=dword:00000001
.
R0 aswRvrt;avast! Revert; [x]
R0 aswVmm;avast! VM Monitor; [x]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2014-07-02 779536]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2014-07-04 414520]
R1 Ndisrd;GAS Tecnologia Filter Driver;c:\windows\system32\DRIVERS\gbpndisrdn.sys [2014-03-10 29400]
R2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys [2014-07-02 24184]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2014-07-02 67824]
R2 aswStm;aswStm;c:\windows\system32\drivers\aswStm.sys [2014-07-02 71944]
R2 DragonUpdater;COMODO Dragon Update Service;c:\program files\Comodo\Dragon\dragon_updater.exe [2014-05-21 2135232]
R2 GbpSv;Gbp Service;c:\progra~1\GbPlugin\GbpSv.exe [2014-06-26 555048]
R2 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2013-06-19 107392]
R3 cxbu0wdm;OMNIKEY 3x21;c:\windows\system32\DRIVERS\cxbu0wdm.sys [2011-09-06 119040]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2014-06-18 108032]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 14848]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-03-02 139776]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2013-10-02 49152]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2012-08-23 27136]
S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [2014-03-14 47192]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ   SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc SensrSvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-07-17 13:38 1104200 ----a-w- c:\program files\Google\Chrome\Application\36.0.1985.125\Installer\chrmstp.exe
.
Conteúdo da pasta 'Tarefas Agendadas'
.
2014-07-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
.
2014-07-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
.
.
------- Scan Suplementar -------
.
uStart Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
mStart Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
mSearch Bar = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = 127.0.0.1:8080
Trusted Zone: bancobrasil.com.br\www
Trusted Zone: bancobrasil.com.br\www14
Trusted Zone: bancobrasil.com.br\www2
Trusted Zone: bb.com.br\seg
Trusted Zone: bb.com.br\www
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\EDSON\AppData\Roaming\Mozilla\Firefox\Profiles\s5mdtf9j.default\
FF - prefs.js: browser.search.defaulturl - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
FF - prefs.js: keyword.URL - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
.
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
.
[HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
.
------------------------ Outros Processos em Execução ------------------------
.
c:\windows\system32\conhost.exe
c:\windows\regedit.exe
.
**************************************************************************
.
Tempo para conclusão: 2014-07-28  21:57:04 - Máquina reiniciou
ComboFix-quarantined-files.txt  2014-07-29 00:57
.
Pré-execução: 475.344.121.856 bytes disponíveis
Pós execução: 475.036.438.528 bytes disponíveis
.
- - End Of File - - 6D7A3268F65CEB56086EE8D9EC5170BD
A36C5E4F47E84449FF07ED3517B43A31


[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]



A  cada hora um  suspeito diferente <<<<<    c:\windows\system32\drivers\PROCEXP113.SYS




Desinstalei o CIS com o  revo e faz há algum tempo .


Executei o bat  agora :


Pelos  prints das telas em DOS;  vários arquivos/caminhos ficheiros do mesmo não foram encontrados e algo no registro foi moved :


[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]





Desativou a central de segurança !


[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]




[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]


Abraços

Boa Noite! Agente da C&A

A  cada hora um  suspeito diferente <<<<<    c:\windows\system32\drivers\PROCEXP113.SYS

|- Pertence ao RunScanner e é legítimo.

Agente da C&A escreveu:Desativou a central de segurança !

|- Depois vc ativa-a novamente. 

-/-

|- Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... par tigzy ) ( 32 bits version )

|- Ou: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]  > ( ... par tigzy ) ( 64 bits version )

|- Salve-o no desktop! [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
|- Feche aplicativos que estejam abertos!
|- Execute RogueKiller.exe e aceite a Eula.

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 

|- Aguarde a finalização de seu Pre-scan.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Dê início ao diagnóstico,clicando no botão "Verificar". 
|- Exemplo: Mode: Verificar -- Date: mm/dd/2014 00:52:24
|- Poste o relatório: RKreport[1].txt

Abs!

Boa noite !


Eis :


RogueKiller V9.2.4.0 [Jul 11 2014] Por Adlice Software
mail : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Feedback : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Site : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Blog : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Sistema Operacional : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Iniciado em : Modo Normal
Usuario : EDSON [Privilegios de Admnistrador]
Modo : Verificar -- Data : 07/28/2014  23:03:11

¤¤¤ Entradas ruins : 0 ¤¤¤

¤¤¤ Entradas do Registro : 7 ¤¤¤
[PUM.Proxy] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : 127.0.0.1:8080  -> ENCONTRADO
[PUM.Proxy] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : 127.0.0.1:8080  -> ENCONTRADO
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0  -> ENCONTRADO
[PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> ENCONTRADO
[PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> ENCONTRADO
[PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> ENCONTRADO
[PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> ENCONTRADO

¤¤¤ As tarefas agendadas : 0 ¤¤¤

¤¤¤ Arquivos : 0 ¤¤¤

¤¤¤ Arquivo de Hosts : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1       localhost

¤¤¤ Antirootkit : 0 (Driver: Carregado) ¤¤¤

¤¤¤ Os navegadores da Web : 0 ¤¤¤

¤¤¤ Verificaçao do MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD5000AAKX-003CA0 ATA Device +++++
--- User ---
[MBR] 51306528823da76791b0bf4eb77f92f8
[BSP] f3e35c3e9dafaa8d57903de213dfb602 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 476838 MB
User = LL1 ... OK
User = LL2 ... OK


Todo desafio é aprendizado .   Após o bat a chave :


HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent  e seus  valores     foram  removidos      




As outras  não.   Ou seja faltam  apenas  estas  duas :


 HKEY_LOCAL_MACHINE\software\COMODO\CIS


HKEY_LOCAL_MACHINE\system\Software\COMODO



[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]



Abraços

Bom Dia! Agente da C&A

|- Reparei que o Dragon necessita de uma das chaves.

-/-

|- Abra,novamente,a ferramenta RogueKiller.
|- Clique em Verificar.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Clique na guia "Registro".

[PUM.Proxy] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : 127.0.0.1:8080  -> ENCONTRADO
[PUM.Proxy] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : 127.0.0.1:8080  -> ENCONTRADO
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0  -> ENCONTRADO
[PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> ENCONTRADO
[PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> ENCONTRADO
[PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> ENCONTRADO
[PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> ENCONTRADO

|- Marque as checkbox destas entradas! 
|- Clique "Deletar" e aguarde a conclusão!
|- Poste o relatório!

-/-

|- Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

|- Ou aqui: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

|- Descompacte-o para o seu pendrive!
|- Abra a pasta "Tweaking.com - Windows Repair",que foi criada,e execute "Repair_Windows.exe".

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] 

|- Ps: Estabeleça 'salvaguardas',antes de executar a ferramenta!
|- Clique: Step 4 -> Create -> Backup. << Nessa ordem!

Reset Registry Permissions
Reset File Permissions
Repair WMI
Remove Policies Set By Infections
Remove Temp Files
Repair File Associations


|- Clique: < [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] >
|- Marque somente as opções logo àcima.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Mantenha estas marcações e Clique Start.
|- Haverá reboot! << Aguarde!

|- Ps: Somente à noite poderei atendê-lo.

Abs!

Bom dia !   


Mas a chave HKEY_LOCAL_MACHINE\software\COMODO\CIS   (  que  inclusive não  constou nos seus scripts ao  combofix )    tem  a sigla  CIS e a mesma pelo editor de registro não abre; demonstrando  o caminho inteiro assim HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS] apenas  com malware defender abriu o regedit :


[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]



[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]


[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]



Comprometendo demais  chaves do registro sem relação alguma  com  o  CIS da comodo :


[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]


E a  HKEY_LOCAL_MACHINE\system\Software\COMODO; em  seu  diretório inteiro  ( HKEY_LOCAL_MACHINE\system\Software\COMODO\CAM\firewall PRO  )  contêm firewall PRO :




[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]





Já  tinha excluido  arquivos  com o  roguekiller :




RogueKiller V9.2.4.0 [Jul 11 2014] Por Adlice Software
mail : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Feedback : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Site : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Blog : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]


Sistema Operacional : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Iniciado em : Modo Normal
Usuario : EDSON [Privilegios de Admnistrador]
Modo : Remover -- Data : 07/29/2014  12:22:43


¤¤¤ Entradas ruins : 0 ¤¤¤


¤¤¤ Entradas do Registro : 4 ¤¤¤
[PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> SUBSTITUIDO (0)
[PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> SUBSTITUIDO (0)
[PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> SUBSTITUIDO (0)
[PUM.DesktopIcons] HKEY_USERS\S-1-5-21-4116200772-1247309439-3526663088-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> SUBSTITUIDO (0)


¤¤¤ As tarefas agendadas : 0 ¤¤¤


¤¤¤ Arquivos : 0 ¤¤¤


¤¤¤ Arquivo de Hosts : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1       localhost


¤¤¤ Antirootkit : 0 (Driver: Carregado) ¤¤¤


¤¤¤ Os navegadores da Web : 6 ¤¤¤
[CHROME:Addon] Default : Google Docs [aohghmighlieiainnegkcijnfilokake] -> DELETADO
[CHROME:Addon] Default : Google Drive [apdfllckaahabafndbhieahigkjlhalf] -> ERROR [2]
[CHROME:Addon] Default : YouTube [blpcfgokakmgnkcojhhkbfbldkacnbeo] -> ERROR [2]
[CHROME:Addon] Default : Google Search [coobgpohoikkiipiblmjeljniedjpjpf] -> ERROR [2]
[CHROME:Addon] Default : Google Wallet [nmmhkkegccagdldgiimedpiccmgmieda] -> ERROR [2]
[CHROME:Addon] Default : Gmail [pjkljhegncpnkpknbcohdijeoejaedia] -> ERROR [2]


¤¤¤ Verificaçao do MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD5000AAKX-003CA0 ATA Device +++++
--- User ---
[MBR] 51306528823da76791b0bf4eb77f92f8
[BSP] f3e35c3e9dafaa8d57903de213dfb602 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 476838 MB
User = LL1 ... OK
User = LL2 ... OK




============================================

RKreport_SCN_07292014_121958.log






Após a segunda remoção :





RogueKiller V9.2.4.0 [Jul 11 2014] Por Adlice Software

mail : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Feedback : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Site : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Blog : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]



Sistema Operacional : Windows 7 (6.1.7601 Service Pack 1) 32 bits version

Iniciado em : Modo Normal

Usuario : EDSON [Privilegios de Admnistrador]

Modo : Verificar -- Data : 07/29/2014  12:38:25



¤¤¤ Entradas ruins : 0 ¤¤¤



¤¤¤ Entradas do Registro : 0 ¤¤¤



¤¤¤ As tarefas agendadas : 0 ¤¤¤



¤¤¤ Arquivos : 0 ¤¤¤



¤¤¤ Arquivo de Hosts : 1 ¤¤¤

[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1       localhost



¤¤¤ Antirootkit : 10 (Driver: Carregado) ¤¤¤

[EAT:Addr] (explorer.exe) drprov.dll - DllCanUnloadNow : C:\Windows\System32\DAVHLPR.dll @ 0x72a55fb2

[EAT:Addr] (explorer.exe) drprov.dll - DllGetClassObject : C:\Windows\System32\DAVHLPR.dll @ 0x72a519bd

[EAT:Addr] (explorer.exe) drprov.dll - DllRegisterServer : Unknown @ 0x72a5e30b

[EAT:Addr] (explorer.exe) drprov.dll - DllUnregisterServer : Unknown @ 0x72a5e324

[EAT:Addr] (explorer.exe) ntlanman.dll - DllCanUnloadNow : Unknown @ 0x726fd874

[EAT:Addr] (explorer.exe) ntlanman.dll - DllGetClassObject : Unknown @ 0x726fd880

[EAT:Addr] (explorer.exe) ntlanman.dll - DllRegisterServer : Unknown @ 0x726fd89b

[EAT:Addr] (explorer.exe) ntlanman.dll - DllUnregisterServer : Unknown @ 0x726fd8e9

[EAT:Addr] (explorer.exe) DAVHLPR.dll - DllRegisterServer : Unknown @ 0x72a5e30b

[EAT:Addr] (explorer.exe) DAVHLPR.dll - DllUnregisterServer : Unknown @ 0x72a5e324



¤¤¤ Os navegadores da Web : 0 ¤¤¤



¤¤¤ Verificaçao do MBR : ¤¤¤

+++++ PhysicalDrive0: WDC WD5000AAKX-003CA0 ATA Device +++++

--- User ---

[MBR] 51306528823da76791b0bf4eb77f92f8

[BSP] f3e35c3e9dafaa8d57903de213dfb602 : Windows Vista/7/8 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB

1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 476838 MB

User = LL1 ... OK

User = LL2 ... OK





============================================

RKreport_SCN_07292014_121958.log - RKreport_DEL_07292014_122243.log









Abraços

Boa  tarde !

A opção editar ao reiniciar o sistema não consta mais ! 

Falha nossa ! A chave HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent; ainda consta aqui :


[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]



E como disse no post acima/1ª página;  os valores destas chaves do CIS; pelo regedit ;  não abrem !


Descobri a permanência  da mesma ao rodar o combofix (  um log de  script que eu estava lhe devendo ) ;  cfe.  este :




[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]





E estes serviços  (  no caso deste log - o \Legacy_KFKAGIJF  ) de rootkits ao  tocá - los  vão se auto programando mesmo ; pois  cfe. log acima surgiram novos visitantes ( suas aparições ) :


c:\windows\system32\drivers\qandr.sys
2014-07-29 16:40 . 2014-07-29 16:40 0 ----a-w- c:\windows\system32\drivers\parport32.sys
2014-07-29 16:40 . 2014-07-29 16:40 0 ----a-w- c:\windows\system32\drivers\ati4irxx.sys

2014-07-29 16:35 . 2014-07-29 16:35 12568 ----a-w-


Este constou novamente hoje:

2014-07-29 16:35 . 2014-07-29 16:35 12568 ----a-w- c:\windows\system32\drivers\PROCEXP113.SYS



Abraços

Boa  noite !  joram


Fineza juntar  os 3 posts ; pois a opção de editação  some .  Por que um fabricante de softwares de segurança ia colocar um bloqueio destes nas chaves de seus produtos ?

Estranho !!!

Hoje à tarde já tentei com o ccleanner com inclusão avançada de remoção, no modo seguro via regedit, o regassassin da malwarebytes e nada de removê - las  .


Ratificando ; desde aqui :


[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] ; tenho sempre o  RunScanner  em minha máquina e nunca constou o   c:\windows\system32\drivers\PROCEXP113.SYS .        Estes  drivers maléficos cfe. acima   (  rootkits ) já deletei tudo  manualmente do system32 .




Interessante .  Dá  estes  resultados positivo de comando e nada de excluir :



Rapport de ZHPFix 2014.7.27.5 par Nicolas Coolman, Update du 27/07/2014

Fichier d'export Registre : 

Run by EDSON at 29/07/2014 20:09:18

High Elevated Privileges : OK

Windows 7 Home Basic Edition, 32-bit Service Pack 1 (Build 7601)




Reciclagem vazia (00mn 01s)




========== Chaves do Registo ==========

ELIMINÉ:³ HKLM\SOFTWARE\COMODO\CIS

ELIMINÉ:³ HKLM\system\ControlSet001\services\CmdAgent

ELIMINÉ:³ HKLM\system\Software\COMODO







========== Recapitulativo ==========

3 : Chaves do Registo







End of clean in 00mn 02s




========== Caminho do ficheiro do relatório ==========

C:\Users\EDSON\AppData\Roaming\ZHP\ZHPFix[R1].txt - 29/07/2014 20:09:20 [594]





[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]




[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]





Abraços

Boa Noite! Agente da C&A

Agente da C&A escreveu:Mas a chave HKEY_LOCAL_MACHINE\software\COMODO\CIS   (  que  inclusive não  constou nos seus scripts ao  combofix )    tem  a sigla  CIS e a mesma pelo editor de registro não abre; demonstrando  o caminho inteiro assim HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS] apenas  com malware defender abriu o regedit :

|- Você tem razão,já que essa entrada deveria constar no CFScript.

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

|- Quanto ao PROCEXP113.SYS,pertence ao "Process Explorer".

-/-

KillAll::
RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode][HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS]
[HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
[HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]
[HKEY_LOCAL_MACHINE\software\COMODO\CIS]

Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode]
[-HKEY_LOCAL_MACHINE\software\COMODO\CIS]
[-HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
[-HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]

|- Execute este script na ferramenta ComboFix e,ao concluir,poste o relatório.

-/-

|- Baixe: |[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]|
|- Salve-o no disco local e descompacte-o,direcionando-o ao desktop. ( Área de trabalho! )
|- Feche aplicações que estejam abertas! << Importante!
|- Desabilite seu antivírus e/ou antispyware. << Importante!
|- Execute-o com um duplo clique em TDSSKiller.exe

"%userprofile%\Desktop\TDSSKiller.exe" -l C:\TDSSKiller.txt

|- Caso prefira executá-lo por linha de comando,digite ou cole a linha,em destaque,no executar.
|- Vá em Iniciar -> Executar -> Digite a LC -> Clique OK.
|- Ps: Essa modalidade na execução,somente funcionará se TDSSKiller.exe estiver no desktop.
|- Ps: Para Windows Vista ou 7,clique direito no arquivo e execute-o como administrador.

 [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Na tela principal,siga a ordem numérica até a obtenção do relatório.

 [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Em "Change parameters",marque todas as caixinhas.
|- Á seguir,clique em "Start scan"

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Ao concluir,clique em "Skip" para detecções suspeitas.

|- Clique "Continue". < [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] >

|- Ao concluir,clique em "Report".

|- Poste-o em: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

|- Ou... < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

|- Ou... < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

Abs!

Bom fim de noite !


Em ((((((((((((((((   Arquivos/Ficheiros criados de 2014-06-28 to 2014-07-30  )))))))))))))))))))))))))))) no log do combo já consta a data em 30/7 !!!     Sendo que agora são  23:30 h  .   Ainda constão as chaves .


Eis :


ComboFix 14-07-29.01 - EDSON 29/07/2014  22:56:02.1.2 - x86
Microsoft Windows 7 Home Basic   6.1.7601.1.1252.55.1046.18.1981.1163 [GMT -3]
Executando de: c:\users\EDSON\Desktop\ComboFix.exe
Comandos utilizados :: c:\users\EDSON\Desktop\CFScript.txt
AV: avast! Antivirus *Enabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
SP: avast! Antivirus *Enabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
.
ADS - drivers: deleted 208 bytes in 1 streams.
.
((((((((((((((((   Arquivos/Ficheiros criados de 2014-06-28 to 2014-07-30  ))))))))))))))))))))))))))))
.
.
2014-07-30 02:02 . 2014-07-30 02:02 -------- d-----w- c:\users\Default\AppData\Local\temp
2014-07-30 01:54 . 2014-07-30 01:54 12568 ----a-w- c:\windows\system32\drivers\PROCEXP113.SYS
2014-07-29 23:08 . 2014-07-29 23:41 -------- d-----w- c:\users\EDSON\AppData\Roaming\ZHP
2014-07-29 20:01 . 2014-07-29 20:03 -------- d-----w- c:\users\EDSON\AppData\Roaming\Runscanner.net
2014-07-29 17:24 . 2014-07-29 17:24 -------- d-----w- c:\users\EDSON\AppData\Local\Diagnostics
2014-07-29 01:57 . 2014-07-29 15:14 29160 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2014-07-29 01:12 . 2014-07-30 02:03 -------- d-----w- c:\windows\system32\wbem\repository
2014-07-28 17:53 . 2014-07-28 20:12 -------- d-----w- c:\users\EDSON\AppData\Local\CrashDumps
2014-07-25 00:04 . 2014-07-26 01:04 -------- d-----w- c:\users\EDSON\Governo da República Eslovaca - Controle anti-corrupção
2014-07-23 14:58 . 2014-07-23 14:26 24064 ----a-w- c:\windows\zoek-delete.exe
2014-07-23 14:58 . 2014-07-30 02:04 -------- d-----w- c:\users\EDSON\AppData\Local\Temp
2014-07-18 21:03 . 2014-07-18 21:03 -------- d-----w- c:\users\EDSON\AppData\Local\Opera Software
2014-07-18 16:08 . 2014-07-18 16:08 -------- d-----w- c:\program files\Common Files\Java
2014-07-18 16:07 . 2014-07-18 16:07 96680 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2014-07-18 16:07 . 2014-07-18 16:07 -------- d-----w- c:\program files\Java
2014-07-09 12:58 . 2014-06-18 01:52 399360 ----a-w- c:\program files\Common Files\Microsoft Shared\Ink\tabskb.dll
2014-07-09 12:58 . 2014-06-18 01:51 646144 ----a-w- c:\windows\system32\osk.exe
2014-07-09 12:58 . 2014-06-18 00:52 2350080 ----a-w- c:\windows\system32\win32k.sys
2014-07-09 12:58 . 2014-05-30 07:52 247808 ----a-w- c:\windows\system32\schannel.dll
2014-07-09 12:58 . 2014-05-30 07:52 550912 ----a-w- c:\windows\system32\kerberos.dll
2014-07-09 12:58 . 2014-05-30 07:52 220160 ----a-w- c:\windows\system32\ncrypt.dll
2014-07-09 12:58 . 2014-05-30 07:52 259584 ----a-w- c:\windows\system32\msv1_0.dll
2014-07-09 12:58 . 2014-05-30 07:52 172032 ----a-w- c:\windows\system32\wdigest.dll
2014-07-09 12:58 . 2014-05-30 07:52 65536 ----a-w- c:\windows\system32\TSpkg.dll
2014-07-09 12:57 . 2014-05-30 07:52 17408 ----a-w- c:\windows\system32\credssp.dll
2014-07-09 12:57 . 2014-05-30 06:36 338944 ----a-w- c:\windows\system32\drivers\afd.sys
2014-07-09 12:57 . 2014-06-06 09:44 509440 ----a-w- c:\windows\system32\qedit.dll
2014-07-09 12:57 . 2014-06-05 14:26 1059840 ----a-w- c:\windows\system32\lsasrv.dll
2014-07-07 16:27 . 2014-07-07 16:27 -------- d-----w- c:\users\EDSON\AppData\Local\Programs
2014-07-02 22:32 . 2014-07-02 22:32 -------- d-----w- c:\users\EDSON\AppData\Local\Gadwin
2014-07-02 12:59 . 2014-07-02 12:59 43152 ----a-w- c:\windows\avastSS.scr
.
.
.
(((((((((((((((((((((((((((((((((((((   Relatório Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-07-04 10:22 . 2013-11-08 12:43 414520 ----a-w- c:\windows\system32\drivers\aswsp.sys
2014-07-02 12:59 . 2013-12-20 13:45 71944 ----a-w- c:\windows\system32\drivers\aswstm.sys
2014-07-02 12:59 . 2013-11-02 23:21 192352 ----a-w- c:\windows\system32\drivers\aswVmm.sys
2014-07-02 12:59 . 2013-11-02 23:21 779536 ----a-w- c:\windows\system32\drivers\aswsnx.sys
2014-07-02 12:59 . 2014-04-30 16:56 24184 ----a-w- c:\windows\system32\drivers\aswHwid.sys
2014-07-02 12:59 . 2013-11-02 23:21 49944 ----a-w- c:\windows\system32\drivers\aswRvrt.sys
2014-07-02 12:59 . 2013-11-02 23:21 67824 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2014-07-02 12:59 . 2013-11-02 23:21 81768 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
2014-07-02 12:59 . 2013-04-28 18:33 276432 ------w- c:\windows\system32\aswBoot.exe
2014-05-30 20:41 . 2014-05-30 20:35 13464 ----a-w- c:\windows\system32\drivers\SWDUMon.sys
2014-05-29 13:42 . 2012-10-21 18:49 48392 ----a-w- c:\windows\system32\certsentry.dll
2014-05-09 07:06 . 2014-05-14 10:56 369664 ----a-w- c:\windows\system32\aepdu.dll
2014-05-09 07:04 . 2014-05-14 10:56 302592 ----a-w- c:\windows\system32\aeinv.dll
2014-05-08 09:06 . 2014-06-11 12:59 2742784 ----a-w- c:\windows\system32\rdpcorets.dll
2014-05-08 09:06 . 2014-06-11 12:59 13824 ----a-w- c:\windows\system32\RdpGroupPolicyExtension.dll
.
.
((((((((((((((((((((((((((   Pontos de Carregamento do Registro   )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por padrão não são apresentadas. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2014-07-02 12:59 578240 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadwin PrintScreen Pro (32-bit)"="c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe" [2014-02-21 13022888]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AvastUI.exe"="c:\program files\AVAST Software\Avast\AvastUI.exe" [2014-07-02 4086432]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnableSecureUIAPath"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
2014-06-26 20:21 1746984 ----a-w- c:\program files\GbPlugin\gbieh.dll
.
[HKLM\~\startupfolder\C:^Users^EDSON^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Recorte de tela e Iniciador do OneNote 2007.lnk]
backup=c:\windows\pss\Recorte de tela e Iniciador do OneNote 2007.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2013-11-21 16:57 959904 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadwin PrintScreen Pro (32-bit)]
2014-02-21 10:47 13022888 ----a-w- c:\program files\Gadwin\Gadwin PrintScreenPro\PrintScreenPro32.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2009-02-26 21:36 30040 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2011-02-11 22:26 171032 ------w- c:\windows\System32\hkcmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2011-02-11 22:26 137752 ------w- c:\windows\System32\igfxtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2011-02-11 22:26 172568 ------w- c:\windows\System32\igfxpers.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2014-07-11 05:39 256896 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"UpdatesOverride"=dword:00000001
.
R3 cxbu0wdm;OMNIKEY 3x21;c:\windows\system32\DRIVERS\cxbu0wdm.sys [2011-09-06 119040]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2014-06-18 108032]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2012-08-23 14848]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2013-10-02 49152]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2012-08-23 27136]
S0 aswRvrt;avast! Revert; [x]
S0 aswVmm;avast! VM Monitor; [x]
S0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [2014-03-14 47192]
S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2014-07-02 779536]
S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2014-07-04 414520]
S1 Ndisrd;GAS Tecnologia Filter Driver;c:\windows\system32\DRIVERS\gbpndisrdn.sys [2014-03-10 29400]
S2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys [2014-07-02 24184]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2014-07-02 67824]
S2 aswStm;aswStm;c:\windows\system32\drivers\aswStm.sys [2014-07-02 71944]
S2 DragonUpdater;COMODO Dragon Update Service;c:\program files\Comodo\Dragon\dragon_updater.exe [2014-05-21 2135232]
S2 GbpSv;Gbp Service;c:\progra~1\GbPlugin\GbpSv.exe [2014-06-26 555048]
S2 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2013-06-19 107392]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-03-02 139776]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ   SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc SensrSvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-07-17 13:38 1104200 ----a-w- c:\program files\Google\Chrome\Application\36.0.1985.125\Installer\chrmstp.exe
.
Conteúdo da pasta 'Tarefas Agendadas'
.
2014-07-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
.
2014-07-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-04-23 01:46]
.
.
------- Scan Suplementar -------
.
mSearch Bar = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
uInternet Settings,ProxyOverride = *.local
Trusted Zone: bancobrasil.com.br\www
Trusted Zone: bancobrasil.com.br\www14
Trusted Zone: bancobrasil.com.br\www2
Trusted Zone: bb.com.br\seg
Trusted Zone: bb.com.br\www
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\users\EDSON\AppData\Roaming\Mozilla\Firefox\Profiles\s5mdtf9j.default\
FF - prefs.js: browser.search.defaulturl - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
FF - prefs.js: keyword.URL - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
.
- - - - ORFÃOS REMOVIDOS - - - -
.
Toolbar-Locked - (no file)
.
.
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
.
[HKEY_LOCAL_MACHINE\software\COMODO\CIS\Installer\Sym_Cam\CIS]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Configurations]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Data]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\CmdAgent\Mode\Options]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\system\Software\COMODO\Cam]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
[HKEY_LOCAL_MACHINE\system\Software\COMODO\Firewall Pro]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,59,00,53,00,\
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------
.
- - - - - - - > 'Explorer.exe'(3488)
c:\windows\System32\msxml6.dll
.
------------------------ Outros Processos em Execução ------------------------
.
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\windows\system32\sppsvc.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\regedit.exe
.
**************************************************************************
.
Tempo para conclusão: 2014-07-29  23:08:25 - Máquina reiniciou
ComboFix-quarantined-files.txt  2014-07-30 02:08
.
Pré-execução: 474.599.772.160 bytes disponíveis
Pós execução: 474.397.925.376 bytes disponíveis
.
- - End Of File - - 4ACF1C9ECBB3FB5F66CD21762DD3A59F
A36C5E4F47E84449FF07ED3517B43A31




TDSSKILLER :

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]


Acho que as chaves  foram  removidas com o regseeker .   Acho !!!    Vou confirmar .



Abraços

Bom Dia! Agente da C&A

S2 DragonUpdater;COMODO Dragon Update Service;c:\program files\Comodo\Dragon\dragon_updater.exe [2014-05-21 2135232]

|- Você tem,ainda,o Comodo Dragon instalado?

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Você consegue acesso às Permissões,indo ao Registro?
|- Ps: Tomei o Baidu Security como exemplo.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Verifique se possui Controle total para SISTEMA,em relação ao Comodo.
|- Verifique,também,os "Nomes de grupo ou de usuário".

Abs!

Bom dia !  joram


Sim !   Tenho o controle total e usuários consta  como  todos .  Porém nada de excluir .

Regseeker  tbm  falhou .   Chaves indeletáveis .


Abraços

Confirmando :


[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]


Localizei a chave principal do dragon pelo  revo uninstall .


Um  aplicativo que talvez pudesse removê - las seria o icesword  (  removedor de chaves de rootkits ) :

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]   mas o mesmo  não  roda no seven; é até  o win vista :

 
Que  inclusive fiquei  sabendo da existência desta ferramenta através de nosso colega ; o finado  wings .  Que Deus  o tenha .


Vou  tentar  com ela  no modo seguro . Vamos ver se roda no modo safe .


Abraços

Agente da C&A escreveu:Bom dia !  joram


Sim !   Tenho o controle total e usuários consta  como  todos .  Porém nada de excluir .

Regseeker  tbm  falhou .   Chaves indeletáveis .


Abraços

Boa Tarde! Agente da C&A

|- Fora esta questão em vc querer deletar essas entradas do Comodo,o seu computador apresenta algum problema?
|- Ps: Pesquisei e,ainda,não vi meios de resetar seu registro. No passado,utilizava a ferramenta da Microsoft subinacl.msi,que funcionava muito bem no Windows XP e inapropriada para Windows 7 (x64).

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

|- Aqui podes ver o download do subinacl.msi e estabelecimento do arquivo ".cmd".

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

|- Neste caso,encontramos o reset sem solução e estabelecimento de Novo Usuário,que satisfez o reclamante.

Agente da C&A escreveu:Um  aplicativo que talvez pudesse removê - las seria o icesword  (  removedor de chaves de rootkits ) :

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

|- Tente com esta,onde o wings possui um tutorial da mesma.

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... by wings )

Abs!

Boa tarde !


Não;  o PC  está funcionando bem .  Mas a arquitetura de meu win seven é x86/32 bits .




Abraços

Agente da C&A escreveu:Boa tarde !


Não;  o PC  está funcionando bem .  Mas a arquitetura de meu win seven é x86/32 bits .




Abraços

Boa Tarde! Agente da C&A

|- Então vc pode tentar a utilização da ferramenta da Microsoft,que irá resetar seu Registro,segundo as informações que serão salvas,em local adequado,na extensão ( .cmd ). Basta ler as instruções que estão em Inglês,mas que vc pode traduzi-las.

Abs!