Itáu Hackeado? DS Hackers ELP

[Potato]

Rapaziada, fui pagar minhas contas do dia 10 e acessei o ITAU.COM.BR, e recebi uma mensagem bem bizarra:

 

E após este alerta, vai pra esta page aqui:

 

Estranhei absurdo pelo fato de
1) Não ter o https e o "cadeado" do certificado de segurança
2) Ter vários campos críticos como as duas senhas de acesso e do cartão;
3) Os campos pra inserção de senha estarem abertos;
4) O fundo da parada ser um PNG tosqueira

Pensei que era algum scam normal, daqueles de e-mail que te manda pra uma landing page com tudo alterado. Mas dei refresh, acessei novamente e se manteve. Olhei as imagens, o css, o js e tudo aponta pro domínio do Itaú.

 

Sei que existe um esquema de fazer dominios fakes com configuração dos hosts, acessei o meus hosts existia entradas do Itau:

92.123.199.170 www.itau.com.br # GbPlugin
92.123.199.170 itau.com.br # GbPlugin

Achei bizarro, deletei as entradas mas continua entrando nessa página que parece ser hackeada.

Outro ponto interessante: Acessando via WIFI no celular o itau da refused na conexão, via 3G acessa. Existe como hackear via provedor de acesso, no meu caso a NET? Tipo redirecionar minhas conexões?

No fim fiquei receoso e obviamente não coloquei nenhuma informação.

E ai? Que fazer?

[Potato]

Outra parada, busquei a url correta do bankline e parece ser essa:

https://bankline.itau.com.br/GRIPNET/bklcom.dll

Olha o Refused:

 

[SparkS]

Provavelmente alteraram os servidores DNS no seu roteador, dá uma olhada.

[Potato]

[MENTION=59]SparkS[/MENTION]; Tenho Tp Link modelo TL-WR740N

Ele tem senha própria e ainda mudei o ip pra sair daquele 192.168.1.1 clássico.
Onde devo checar? No menu "Roteamento" não tem nada.

[SparkS]

 

Na configuração da WAN, onde tem a parte de selecionar DNS.

[vegetous]

Ninguém vai hackear banco pra dar golpe em usuário! Isso é alguma coisa no seu PC ou conexão, eu apostaria no PC!

Dá boot por um pendrive com Ubuntu e olha se o problema continua!

[EviLBraiN]

Entrei na minha conta do itau pessoa fisica e juridica agora e tudo ok....

[Baron]

Aqui também está normal.

Manda esses prints pro Itaú, porque com certeza tem alguma coisa errada. E se tem alguma coisa errada deve ter um monte de gente preenchendo essas informações.

[yahoo!?]

Voces usam NET? Parece que está tendo uma situação de redirecionamento de sites nos DNS da NET. A situação parece que é real. Eu postei no grupo do Facebook e venho aqui alerta-los sobre isso. Um amigo que tem NET confirmou ligando lá, mas eles não avisaram os usuários de forma alguma. Entre os sites que estão sendo redirecionados, está facebook, emails e bancos.

[pholder]

normal aqui
virtua indaiatuba
banco itau

[yahoo!?]

Eu não tinha reparado sua pergunta potato, vi que é Virtua, mas é possível sim que o provedor de acesso redirecione seus domínios para um fake-host, que seria uma rotina trabalhosa demais em função que: Ela teria que dar o acesso de qualquer jeito ao site do itau pegando os dados no caminho, para não parecer tão hack assim.

Se voce tivesse continuado o processo e tivesse no final de tudo, dado uma tela de ERRO, possivelmente é um hack interno no provedor de acesso.

Todo seu tráfego de internet passa de alguma forma pelo provedor de acesso, e se tiver algum malandro que insira uma rotina de captura de senha e usuario num provedor de acesso, ai quebra as pernas, porque isso deveria ser uma confiança do provedor de acesso ao seus dados.

[yahoo!?]

C:\Users\Usuario>ping www.itau.com.br

Disparando e3852.b.akamaiedge.net [23.14.234.77] com 32 bytes de dados:
Resposta de 23.14.234.77: bytes=32 tempo=39ms TTL=54

Tenta dar um ping e tracert na rota do seu ip até o www.itau.com.br

[CyBeR_JaCk]

Altere pra esse dns
8.8.8.8
8.8.4.4

[Tchesko]

Hacker do Porta dos Fundos, dado que pede senha do cartão de DÉDITO

[yahoo!?]

Tchesko genio, provou nossa teoria apenas pelo ato falho do portugues errado. Nem eu tinha reparado no Dédito.

Ou seja, isso é provavelmente coisa interna do provedor. Pois se o domínio está certo, e o DNS tá fazendo o redirecionamento do IP para o nome, então tem maracutaia na Virtua.

Possivelmente fizeram o site na mesma estrutura que o da internet, mas ele tá num servidor dentro do Virtua. Sacou +-?

[Oleleh]

o que eh virtua?

[yahoo!?]

Virtua é um provedor de internet, oleleh...

É esse aqui: http://www.netcombo.com.br/

[Potato]

Code:

Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Users\Guilherme>ping itau.com.br

Pinging itau.com.br [80.82.69.204] with 32 bytes of data:
Reply from 80.82.69.204: bytes=32 time=495ms TTL=56
Reply from 80.82.69.204: bytes=32 time=503ms TTL=56
Reply from 80.82.69.204: bytes=32 time=570ms TTL=56
Reply from 80.82.69.204: bytes=32 time=564ms TTL=56

Ping statistics for 80.82.69.204:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 495ms, Maximum = 570ms, Average = 533ms

Code:

Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Users\Guilherme>tracert itau.com.br

Tracing route to itau.com.br [80.82.69.204]
over a maximum of 30 hops:

  1     1 ms     1 ms     3 ms  192.168.0.1
  2    43 ms    30 ms    27 ms  b1c27201.virtua.com.br [177.194.114.1]
  3    36 ms    16 ms    14 ms  c952005f.virtua.com.br [201.82.0.95]
  4    11 ms    15 ms    15 ms  c952005a.virtua.com.br [201.82.0.90]
  5    23 ms    15 ms    11 ms  embratel-t0-1-0-1-uacc03.cas.embratel.net.br [20
1.72.64.73]
  6    15 ms    11 ms    15 ms  200.244.211.105
  7   155 ms   141 ms   143 ms  ebt-b11911-intl01.nyk.embratel.net.br [200.230.2
20.154]
  8     *        *      156 ms  ebt-b101-intl01.nyk.embratel.net.br [200.230.252
.197]
  9   236 ms     *        *     ae-239-3615.edge6.amsterdam1.level3.net [4.69.16
2.250]
 10     *        *      226 ms  ae-239-3615.edge6.amsterdam1.level3.net [4.69.16
2.250]
 11     *      225 ms     *     80.82.69.204
 12   226 ms   226 ms   226 ms  80.82.69.204

Trace complete.

[Potato]

Caralho se isso for a nível da NET a treta é muito monstro.
Porra, como posso me proteger? Só mudando o DNS para o do Google já resolve?

[yahoo!?]

Potato, eu perguntei pro meu irmão e ele falou casos que já aconteceram isso...

Passos:

1 - Reseta o modem
2 - troca usuário e senha admin do modem
3 - Coloca o DNS do Google
4 - ????
5 - Profit

É um golpe que eles entram no seu modem e colocam um DNS, geralmente o secundário, para um outro ip que resolve nomes num servidor fantasma.

[kakarotto]

nao pode ser esses spywares/malwares nao?

[Jeep]

- baixe o combofix ( http://www.bleepingcomputer.com/download/combofix/ )
- desligue seu antivirus
- rode o combofix

ele termina e reboota o micro, reinicia e gera um relatorio (as vezes demora), assim que aparecer o notepad com o log, pode usar o micro e ver se resolveu (religue o antivirus ). A possibilidade do yahoo tbm existe.

No maximo instale um www.malwarebytes.org e rode por desencargo.

[Potato]

[MENTION=59]SparkS[/MENTION]; o meu DNS estava alterado mesmo. Olha o print:

 

Como posso checar se isto era a origem do problema?

[Potato]

Possíveis causas:

1) Malware/spyware
Solução: To rodando o app que o [MENTION=1]Jeep[/MENTION]; sugeriu e os apps que costumo usar.

2) Hacking do DNS do meu modem / roteador
Solução: Resetei o meu roteador, coloquei novas senhas.
Tem como hackear o modem da rua como o @yahoo; sugeriu? Como acesso? Nunca acessei esse modem.

3) Hacking DNS da net
Mudar o DNS via router resolve?

[yahoo!?]

Coloca esse ip no browser, é ip de rede... 192.168.0.1

Voce vai acessar a pagina do modem, ele vai pedir usuário e senha... Antes de resetar, faça isso: procure na internet o usuario e senha padrão do modem e copie num papel...

Resete o modem no botão reset geralmente atrás do modem, segurando ele com um clips ou caneta uns 10 segundos +-

Volte no browser, coloque o ip 192.168.0.1 e coloque o usuário e senha, voce entra no sistema do modem.

Ai é só seguir a imagem que o SparkS colocou, e ali em DNS, ativa aquela opção e coloca os dns do google, procura se informar sobre eles tambem.

[Potato]

Então mas pera aqui em casa o setup é

- Modem net rua, que só tem uma porta Wan
- Roteador, que distribui o Wi-fi

Por hora só mudei o Roteador.
É o da rua qeu nao sei acessar =D

[Jeep]

eu acho que foi combinacao de fatores.

esse dns é pirata, mas eu acho que um spyware da sua maquina que simplesmente fez o "servico sujo" e logou e reconfigurou seu roteador, especialemente se ele tinha senha padrao. Talvez seja algum exploit remoto diretamente no seu roteador? pode ser tambem, aconselho depois que a poeira baixar ir no site dele e aplicar atualizacoes.

C:\Users\Wilton>nslookup
Servidor PadrÒo: UnKnown (dns do meu roteador, no caso 200.189.80.131 e 200.189.80.136)
Address: 192.168.0.1

> www.itau.com.br
Servidor: UnKnown
Address: 192.168.0.1

Não é resposta autoritativa:
Nome: e3852.b.akamaiedge.net
Address: 23.216.175.170
Aliases: www.itau.com.br
www.itau.com.br.edgekey.net

> server 216.245.220.155 (seu servidor dns suspeito)
Servidor PadrÒo: 155-220-245-216.static.reverse.lstn.net
Address: 216.245.220.155

> www.itau.com.br
Servidor: 155-220-245-216.static.reverse.lstn.net
Address: 216.245.220.155

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** O tempo limite da solicitação para 155-220-245-216.static.reverse.lstn.net expirou (pelo jeito ja foi derrubado, ta fora do ar)

> server 216.245.220.156 (seu 2o servidor suspeito)
DNS request timed out.
timeout was 2 seconds.
Servidor PadrÒo: [216.245.220.156]
Address: 216.245.220.156

> www.itau.com.br
Servidor: [216.245.220.156]
Address: 216.245.220.156

Não é resposta autoritativa:
Nome: itau.com.br
Address: 80.82.69.204 (resolvendo pra um ip doido na holanda)
Aliases: www.itau.com.br

>



https://who.is/whois-ip/ip-address/80.82.69.204

[SPOILER]% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '80.82.64.0 - 80.82.79.255'

% Abuse contact for '80.82.64.0 - 80.82.79.255' is '[email protected]'

inetnum: 80.82.64.0 - 80.82.79.255
netname: NL-ECATEL-20100816
descr: Ecatel LTD
country: NL
org: ORG-EL38-RIPE
admin-c: RvE16-RIPE
tech-c: RvE16-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: ECATEL-MNT
mnt-routes: ECATEL-MNT
created: 2010-08-16T07:32:00Z
last-modified: 2010-08-16T07:32:00Z
source: RIPE # Filtered

organisation: ORG-EL38-RIPE
org-name: Ecatel LTD
org-type: LIR
address: Ecatel LTD
address: P.O.Box 19533
address: 2500 CM
address: Den Haag
address: NETHERLANDS
phone: +31702204015
fax-no: +31702204015
abuse-c: AR16168-RIPE
mnt-ref: ECATEL-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
admin-c: EL25-RIPE
created: 2006-07-06T08:03:04Z
last-modified: 2014-12-17T15:17:54Z
source: RIPE # Filtered

person: Reinier van Eeden
address: Archangelkade 1-3
address: 1013 BE Amsterdam
mnt-by: IQARUS-MNT
phone: +31 64 607 11 12
nic-hdl: RvE16-RIPE
created: 2004-08-05T13:53:07Z
last-modified: 2005-10-17T19:12:25Z
source: RIPE # Filtered

% Information related to '80.82.69.0/24AS29073'

route: 80.82.69.0/24
descr: AS29073 Route object
origin: AS29073
mnt-by: ECATEL-MNT
created: 2010-11-30T12:05:14Z
last-modified: 2010-11-30T12:05:14Z
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.79.2 (DB-2)

e esse ecatel.net é um servico de hospedagem dedicada.

[Aveia-Quaker]

Ok... Não havia lido tudo... depois olho com mais calma

[Jeep]

hehehe, agora que vi na tela, bklcom.PHP

[yahoo!?]

Eu achei que era algo da NET/Virtua pois tem várias pessoas relatando casos dessa empresa. Poderia ser algo interno.

Mas pensando na pesquisa do Jeep, realmente, são vários fatores...

[Sabbath]

Vale lembrar que um

ipconfig /flushdns

é necessário dps de trocar dns!

[Many Kalaveraa]

Quote:

Postado por Tchesko

Hacker do Porta dos Fundos, dado que pede senha do cartão de DÉDITO

é, bem porta dos fundos. Mas se acontecer isso com meus pais certeza que eles acreditam e mandam as coisas

[SparkS]

Pota, muda os ips da parte de dns para: 8.8.8.8 e 8.8.4.4 (google) ou 208.67.222.222 e 208.67.220.220 (opendns). Depois atualiza o firmware do seu roteador (se tiver versão nova). Finaliza fazendo oq Jeep disse para scanear o pc pois provavelmente o vírus alterou o host do win e mudou a config do roteador.

[Potato]

Ae [MENTION=1]Jeep[/MENTION]; resultado do combofix

[SPOILER]

ComboFix 15-05-09.01 - Guilherme 09/05/2015 10:10:23.2.4 - x64
Microsoft Windows 7 Home Basic 6.1.7601.1.1252.55.1033.18.6051.3041 [GMT -3:00]
Executando de: d:\downloads\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {B7ECF8CD-0188-6703-DBA4-AA65C6ACFB0A}
SP: Microsoft Security Essentials *Disabled/Updated* {0C8D1929-27B2-688D-E114-9117BD2BB1B7}
SP: Spybot - Search and Destroy *Disabled/Outdated* {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B0}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\16652327891689977091
c:\programdata\16652327891689977091\cd5b15e575e1c3d0d37165ee7943a462.ini
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\_ctypes.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\_elementtree.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\_hashlib.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\_multiprocessing.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\_socket.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\_ssl.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\_yappi.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\hashobjs_ext.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\pyexpat.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\pysqlite2._sqlite.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\python27.dll
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\pythoncom27.dll
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\PyWinTypes27.dll
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\select.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\unicodedata.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32api.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32com.shell.shell.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32crypt.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32event.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32file.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32gui.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32inet.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32pdh.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32pipe.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32process.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32profile.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32security.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32ts.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\windows._lib_cacheinvalidation.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wx._animate.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wx._controls_.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wx._core_.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wx._gdi_.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wx._html2.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wx._misc_.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wx._windows_.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wx._wizard.pyd
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wxbase294u_net_vc90.dll
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wxbase294u_vc90.dll
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wxmsw294u_adv_vc90.dll
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wxmsw294u_core_vc90.dll
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wxmsw294u_html_vc90.dll
c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wxmsw294u_webview_vc90.dll
c:\users\GUILHE~1\AppData\Local\Temp\7zS0D79\HPSLPSVC64.DLL
c:\users\Guilherme\AppData\Local\assembly\tmp
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\_ctypes.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\_elementtree.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\_hashlib.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\_multiprocessing.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\_socket.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\_ssl.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\_yappi.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\hashobjs_ext.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\pyexpat.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\pysqlite2._sqlite.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\python27.dll
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\pythoncom27.dll
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\PyWinTypes27.dll
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\select.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\unicodedata.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32api.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32com.shell.shell.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32crypt.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32event.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32file.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32gui.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32inet.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32pdh.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32pipe.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32process.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32profile.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32security.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32ts.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\windows._lib_cacheinvalidation.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wx._animate.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wx._controls_.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wx._core_.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wx._gdi_.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wx._html2.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wx._misc_.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wx._windows_.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wx._wizard.pyd
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wxbase294u_net_vc90.dll
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wxbase294u_vc90.dll
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wxmsw294u_adv_vc90.dll
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wxmsw294u_core_vc90.dll
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wxmsw294u_html_vc90.dll
c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wxmsw294u_webview_vc90.dll
c:\users\Guilherme\AppData\Local\Temp\7zS0D79\HPSLPSVC64.DLL
c:\users\Guilherme\AppData\Roaming\unins000.exe
c:\users\Guilherme\Kontakt 5.dll
c:\windows\SysWow64\hookdll.dll
c:\windows\wininit.ini
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_HPSLPSVC
.
.
(((((((((((((((( Arquivos/Ficheiros criados de 2015-04-09 to 2015-05-09 ))))))))))))))))))))))))))))
.
.
2015-05-09 13:39 . 2015-05-09 13:39 -------- d-----w- c:\users\Default\AppData\Local\temp
2015-05-08 19:46 . 2015-04-04 06:25 12032440 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{53CD5533-3F2E-4DAF-AF69-603EA9BE7B3F}\mpengine.dll
2015-05-05 01:49 . 2015-04-04 06:25 12032440 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2015-05-03 00:26 . 2006-01-08 20:34 581632 ----a-w- C:\pdftohtml.exe
2015-05-03 00:24 . 2015-05-03 00:24 65536 ----a-r- c:\users\Guilherme\AppData\Roaming\Microsoft\Installer\{8C5845B5-729F-40E3-A945-4454E67F65F4}\NewShortcut1_8C5845B5729F40E3A9454454E67F65F4.exe
2015-05-03 00:24 . 2015-05-03 00:24 -------- d-----w- c:\program files (x86)\BCL Technologies
2015-05-03 00:20 . 2015-05-03 00:20 -------- d-----w- C:\nadia
2015-04-28 03:38 . 2015-04-28 03:38 -------- d-----w- c:\users\Guilherme\AppData\Local\openvr
2015-04-27 14:15 . 2015-03-25 21:20 1187344 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{43D6FDCD-00CA-4764-A21B-9AA842F4386D}\gapaengine.dll
2015-04-27 14:14 . 2015-04-27 14:14 -------- d-----w- c:\programdata\KONAMI
2015-04-25 03:54 . 2015-04-25 03:54 -------- dc-h--w- c:\programdata\{95B4F0ED-951F-4D36-B068-5EC1C4C19C14}
2015-04-25 03:54 . 2015-04-25 03:54 -------- d-----w- c:\program files\Common Files\Native Instruments
2015-04-25 03:54 . 2015-04-25 03:54 -------- d-----w- c:\program files\Native Instruments
2015-04-25 03:54 . 2015-04-25 03:54 -------- d-----w- c:\programdata\Native Instruments
2015-04-25 03:52 . 2015-04-25 03:55 -------- dc-h--w- c:\programdata\{A9158F4E-7914-4019-808A-D4D4993E9958}
2015-04-23 18:01 . 2015-04-23 18:01 -------- d-----w- c:\program files (x86)\GAS Tecnologia
2015-04-23 18:01 . 2015-04-23 18:01 -------- d-----w- c:\program files (x86)\Diebold
2015-04-23 18:00 . 2015-04-23 18:00 -------- d-----w- c:\program files\Diebold
2015-04-23 15:46 . 2015-04-23 16:46 -------- d-s---w- c:\windows\system32\GWX
2015-04-23 15:46 . 2015-04-23 15:46 -------- d-s---w- c:\windows\SysWow64\GWX
2015-04-23 14:36 . 2015-05-09 13:01 -------- d-----w- C:\AdwCleaner
2015-04-23 13:31 . 2015-03-17 04:56 96768 ----a-w- c:\windows\SysWow64\sspicli.dll
2015-04-23 13:28 . 2015-03-04 04:55 367552 ----a-w- c:\windows\system32\clfs.sys
2015-04-23 13:28 . 2015-03-04 04:41 79360 ----a-w- c:\windows\system32\clfsw32.dll
2015-04-23 13:28 . 2015-03-04 04:10 58880 ----a-w- c:\windows\SysWow64\clfsw32.dll
2015-04-18 02:11 . 2015-04-18 02:12 -------- d-----w- c:\program files (x86)\Total Video Converter
2015-04-11 13:41 . 2015-04-11 13:41 -------- d-----w- c:\users\Guilherme\AppData\Roaming\Glitch2
2015-04-11 13:38 . 2015-04-11 13:38 -------- d-----w- c:\users\Guilherme\AppData\Roaming\Waves Audio
2015-04-10 13:50 . 2013-10-30 05:49 2189312 ----a-w- c:\windows\system32\ReWire.dll
2015-04-10 13:50 . 2011-07-01 15:30 1431552 ----a-w- c:\windows\SysWow64\ReWire.dll
2015-04-10 13:50 . 2015-04-10 13:50 -------- d-----w- c:\users\Public\Waves Audio
2015-04-10 13:43 . 2015-04-10 13:43 -------- d-----w- c:\program files (x86)\Common Files\Propellerhead Software
2015-04-10 13:43 . 2015-04-25 03:54 -------- d-----w- c:\program files (x86)\VSTPlugIns
2015-04-10 13:43 . 2015-04-11 13:40 -------- d-----w- c:\program files (x86)\Common Files\VST3
2015-04-10 13:43 . 2015-04-11 13:38 -------- d-----w- c:\program files\VSTPlugIns
2015-04-10 13:43 . 2006-11-06 16:22 499712 ----a-w- c:\windows\SysWow64\msvcp71.dll
2015-04-10 13:42 . 2015-04-11 13:41 -------- d-----w- c:\program files (x86)\Waves
.
.
.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2015-04-23 15:02 . 2014-09-23 17:38 128913832 ----a-w- c:\windows\system32\MRT.exe
2015-04-13 21:33 . 2015-04-23 18:01 1864 ----a-w- c:\windows\Fonts\dbldwrsw.ttf
2015-03-25 21:20 . 2014-09-25 13:22 1187344 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2015-03-17 04:56 . 2015-04-23 13:32 44032 ----a-w- c:\windows\apppatch\acwow64.dll
2015-03-03 13:17 . 2010-11-21 03:27 295552 ------w- c:\windows\system32\MpSigStub.exe
2015-02-26 03:25 . 2015-03-10 22:38 3204096 ----a-w- c:\windows\system32\win32k.sys
2015-02-20 04:41 . 2015-03-10 22:40 41984 ----a-w- c:\windows\system32\lpk.dll
2015-02-20 04:40 . 2015-03-10 22:40 100864 ----a-w- c:\windows\system32\fontsub.dll
2015-02-20 04:40 . 2015-03-10 22:40 14336 ----a-w- c:\windows\system32\dciman32.dll
2015-02-20 04:40 . 2015-03-10 22:40 46080 ----a-w- c:\windows\system32\atmlib.dll
2015-02-20 04:13 . 2015-03-10 22:40 70656 ----a-w- c:\windows\SysWow64\fontsub.dll
2015-02-20 04:13 . 2015-03-10 22:40 10240 ----a-w- c:\windows\SysWow64\dciman32.dll
2015-02-20 04:13 . 2015-03-10 22:40 34304 ----a-w- c:\windows\SysWow64\atmlib.dll
2015-02-20 04:12 . 2015-03-10 22:40 25600 ----a-w- c:\windows\SysWow64\lpk.dll
2015-02-20 03:29 . 2015-03-10 22:40 372224 ----a-w- c:\windows\system32\atmfd.dll
2015-02-20 03:09 . 2015-03-10 22:40 299008 ----a-w- c:\windows\SysWow64\atmfd.dll
2015-02-17 18:19 . 2015-02-17 18:19 1614496 ----a-w- c:\windows\system32\FM20.DLL
2015-02-13 05:22 . 2015-03-10 22:39 14177280 ----a-w- c:\windows\system32\shell32.dll
.
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por padrão não são apresentadas.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt1"]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2015-02-11 01:12 152544 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt.25.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt2"]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2015-02-11 01:12 152544 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt.25.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt3"]
@="{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}]
2015-02-11 01:12 152544 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt.25.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt4"]
@="{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}]
2015-02-11 01:12 152544 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt.25.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt5"]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2015-02-11 01:12 152544 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt.25.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt6"]
@="{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}]
2015-02-11 01:12 152544 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt.25.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt7"]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2015-02-11 01:12 152544 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt.25.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt8"]
@="{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}]
2015-02-11 01:12 152544 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt.25.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2015-03-25 31682144]
"GoogleDriveSync"="c:\program files (x86)\Google\Drive\googledrivesync.exe" [2015-02-19 26232152]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-11-06 343168]
"RazerCortex"="c:\program files (x86)\Razer\Razer Cortex\RazerCortex.exe" [2015-01-26 98256]
.
c:\users\Guilherme\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Guilherme\AppData\Roaming\Dropbox\bin\Dropbox.exe /systemstartup [2015-4-13 43376600]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"DisableCAD"= 1 (0x1)
.
[hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{E37CB5F0-51F5-4395-A808-5FA49E399008}"= "c:\program files (x86)\GbPlugin\gbiehuni.dll" [2014-08-12 1760312]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
2014-07-31 19:37 1754664 ------w- c:\program files (x86)\GbPlugin\gbieh.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginUni]
2014-08-12 16:19 1760312 ------w- c:\program files (x86)\GbPlugin\gbiehuni.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0\0sdnclean64.exe
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe;c:\program files (x86)\Skype\Updater\Updater.exe [x]
R3 AthBTPort;Qualcomm Atheros Virtual Bluetooth Class;c:\windows\system32\DRIVERS\btath_flt.sys;c:\windows\SYSNATIVE\DRIVERS\btath_flt.sys [x]
R3 BTATH_A2DP;Bluetooth A2DP Audio Driver;c:\windows\system32\drivers\btath_a2dp.sys;c:\windows\SYSNATIVE\drivers\btath_a2dp.sys [x]
R3 btath_avdt;Qualcomm Atheros Bluetooth AVDT Service;c:\windows\system32\drivers\btath_avdt.sys;c:\windows\SYSNATIVE\drivers\btath_avdt.sys [x]
R3 BTATH_HCRP;Bluetooth HCRP Server driver;c:\windows\system32\DRIVERS\btath_hcrp.sys;c:\windows\SYSNATIVE\DRIVERS\btath_hcrp.sys [x]
R3 BTATH_LWFLT;Bluetooth LWFLT Device;c:\windows\system32\DRIVERS\btath_lwflt.sys;c:\windows\SYSNATIVE\DRIVERS\btath_lwflt.sys [x]
R3 BTATH_RCP;Bluetooth AVRCP Device;c:\windows\system32\DRIVERS\btath_rcp.sys;c:\windows\SYSNATIVE\DRIVERS\btath_rcp.sys [x]
R3 BtFilter;BtFilter;c:\windows\system32\DRIVERS\btfilter.sys;c:\windows\SYSNATIVE\DRIVERS\btfilter.sys [x]
R3 DrvAgent64;DrvAgent64;c:\windows\SysWOW64\Drivers\DrvAgent64.SYS;c:\windows\SysWOW64\Drivers\DrvAgent64.SYS [x]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe;c:\windows\SYSNATIVE\IEEtwCollector.exe [x]
R3 Intel(R) Capability Licensing Service TCP IP Interface;Intel(R) Capability Licensing Service TCP IP Interface;c:\program files\Intel\iCLS Client\SocketHeciServer.exe;c:\program files\Intel\iCLS Client\SocketHeciServer.exe [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys;c:\windows\SYSNATIVE\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Microsoft Network Inspection;c:\program files\Microsoft Security Client\NisSrv.exe;c:\program files\Microsoft Security Client\NisSrv.exe [x]
R3 Origin Client Service;Origin Client Service;c:\program files (x86)\Origin\OriginClientService.exe;c:\program files (x86)\Origin\OriginClientService.exe [x]
R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys;c:\windows\SYSNATIVE\drivers\rdpvideominiport.sys [x]
R3 SWDUMon;SWDUMon;c:\windows\system32\DRIVERS\SWDUMon.sys;c:\windows\SYSNATIVE\DRIVERS\SWDUMon.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys;c:\windows\SYSNATIVE\drivers\TsUsbGD.sys [x]
R4 FoxitCloudUpdateService;Foxit Cloud Safe Update Service;c:\program files (x86)\Foxit Software\Foxit Reader\Foxit Cloud\FCUpdateService.exe;c:\program files (x86)\Foxit Software\Foxit Reader\Foxit Cloud\FCUpdateService.exe [x]
R4 SwitchBoard;Adobe SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [x]
R4 TeamViewer9;TeamViewer 9;c:\program files (x86)\TeamViewer\Version9\TeamViewer_Service.exe;c:\program files (x86)\TeamViewer\Version9\TeamViewer_Service.exe [x]
R4 Update service;Update service;c:\program files (x86)\Popcorn Time\Updater.exe;c:\program files (x86)\Popcorn Time\Updater.exe [x]
R4 valWBFPolicyService;Synaptics FP WBF Policy Service;c:\windows\system32\valWBFPolicyService.exe;c:\windows\SYSNATIVE\valWBFPolicyService.exe [x]
R4 Warsaw Technology;Warsaw Technology;c:\program files\Diebold\Warsaw\core.exe;c:\program files\Diebold\Warsaw\core.exe [x]
S0 amdkmpfd;AMD PCI Root Bus Lower Filter;c:\windows\system32\DRIVERS\amdkmpfd.sys;c:\windows\SYSNATIVE\DRIVERS\amdkmpfd.sys [x]
S0 iaStorA;iaStorA;c:\windows\system32\DRIVERS\iaStorA.sys;c:\windows\SYSNATIVE\DRIVERS\iaStorA.sys [x]
S0 iaStorF;iaStorF;c:\windows\system32\DRIVERS\iaStorF.sys;c:\windows\SYSNATIVE\DRIVERS\iaStorF.sys [x]
S1 HWiNFO32;HWiNFO32/64 Kernel Driver;c:\windows\system32\drivers\HWiNFO64A.SYS;c:\windows\SYSNATIVE\drivers\HWiNFO64A.SYS [x]
S2 AESTFilters;Andrea ST Filters Service;c:\program files\IDT\WDM\AESTSr64.exe;c:\program files\IDT\WDM\AESTSr64.exe [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe;c:\windows\SYSNATIVE\atiesrxx.exe [x]
S2 AtherosSvc;AtherosSvc;c:\program files (x86)\Dell Wireless\Bluetooth Suite\adminservice.exe;c:\program files (x86)\Dell Wireless\Bluetooth Suite\adminservice.exe [x]
S2 c2cautoupdatesvc;Skype Click to Call Updater;c:\program files (x86)\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe;c:\program files (x86)\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe [x]
S2 c2cpnrsvc;Skype Click to Call PNR Service;c:\program files (x86)\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe;c:\program files (x86)\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe [x]
S2 GbpSv;Gbp Service;c:\progra~2\GbPlugin\GbpSv.exe;c:\progra~2\GbPlugin\GbpSv.exe [x]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [x]
S2 Razer Game Scanner Service;Razer Game Scanner;c:\program files (x86)\Razer\Razer Services\GSS\GameScannerService.exe;c:\program files (x86)\Razer\Razer Services\GSS\GameScannerService.exe [x]
S2 RzKLService;RzKLService;c:\program files (x86)\Razer\Razer Cortex\RzKLService.exe;c:\program files (x86)\Razer\Razer Cortex\RzKLService.exe [x]
S2 rzpmgrk;rzpmgrk;c:\windows\system32\drivers\rzpmgrk.sys;c:\windows\SYSNATIVE\drivers\rzpmgrk.sys [x]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [x]
S2 ZAtheros Wlan Agent;ZAtheros Wlan Agent;c:\program files (x86)\Dell Wireless\Ath_WlanAgent.exe;c:\program files (x86)\Dell Wireless\Ath_WlanAgent.exe [x]
S3 BTATH_BUS;Qualcomm Atheros Bluetooth Bus;c:\windows\system32\DRIVERS\btath_bus.sys;c:\windows\SYSNATIVE\DRIVERS\btath_bus.sys [x]
S3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys;c:\windows\SYSNATIVE\DRIVERS\IntcDAud.sys [x]
S3 intelkmd;intelkmd;c:\windows\system32\DRIVERS\igdpmd64.sys;c:\windows\SYSNATIVE\DRIVERS\igdpmd64.sys [x]
S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys;c:\windows\SYSNATIVE\DRIVERS\nusb3hub.sys [x]
S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys;c:\windows\SYSNATIVE\DRIVERS\nusb3xhc.sys [x]
S3 Point64;Microsoft Mouse and Keyboard Center Filter Driver;c:\windows\system32\DRIVERS\point64.sys;c:\windows\SYSNATIVE\DRIVERS\point64.sys [x]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys;c:\windows\SYSNATIVE\Drivers\RtsUStor.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x]
S3 SmbDrvI;SmbDrvI;c:\windows\system32\DRIVERS\Smb_driver_Intel.sys;c:\windows\SYSNATIVE\DRIVERS\Smb_driver_Intel.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2015-04-29 21:19 988488 ----a-w- c:\program files (x86)\Google\Chrome\Application\42.0.2311.135\Installer\chrmstp.exe
.
Conteúdo da pasta 'Tarefas Agendadas'
.
2015-05-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2014-09-23 15:05]
.
2015-05-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2014-09-23 15:05]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt1"]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2015-02-11 01:12 185824 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt64.25.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt2"]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2015-02-11 01:12 185824 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt64.25.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt3"]
@="{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}]
2015-02-11 01:12 185824 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt64.25.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt4"]
@="{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}]
2015-02-11 01:12 185824 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt64.25.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt5"]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2015-02-11 01:12 185824 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt64.25.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt6"]
@="{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}]
2015-02-11 01:12 185824 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt64.25.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt7"]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2015-02-11 01:12 185824 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt64.25.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt8"]
@="{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}]
2015-02-11 01:12 185824 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt64.25.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveBlacklistedOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}]
2015-02-19 17:24 774472 ----a-w- c:\program files (x86)\Google\Drive\googledrivesync64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedEditOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}]
2015-02-19 17:24 774472 ----a-w- c:\program files (x86)\Google\Drive\googledrivesync64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedViewOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}]
2015-02-19 17:24 774472 ----a-w- c:\program files (x86)\Google\Drive\googledrivesync64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSyncedOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40}]
2015-02-19 17:24 774472 ----a-w- c:\program files (x86)\Google\Drive\googledrivesync64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSyncingOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}]
2015-02-19 17:24 774472 ----a-w- c:\program files (x86)\Google\Drive\googledrivesync64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2000-01-01 1425408]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2015-01-30 1332296]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-09-26 167704]
"Diebold - Warsaw"="c:\program files\Diebold\Warsaw\core.exe" [2014-09-06 847160]
.
------- Scan Suplementar -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = about:blank
mDefault_Search_URL = hxxp://www.google.com
mDefault_Page_URL = about:blank
mStart Page = about:blank
mLocal Page = c:\windows\SysWOW64\blank.htm
mSearch Page = hxxp://www.google.com
IE: E&xport to Microsoft Excel - c:\progra~1\MIF5BA~1\Office14\EXCEL.EXE/3000
Trusted Zone: bancobrasil.com.br\www
Trusted Zone: bancobrasil.com.br\www14
Trusted Zone: bancobrasil.com.br\www2
Trusted Zone: bb.com.br\seg
Trusted Zone: bb.com.br\www
Trusted Zone: itau.com.br
Trusted Zone: itau.com.br\bankline
Trusted Zone: itau.com.br\clickbanking
Trusted Zone: itau.com.br\guardiao
Trusted Zone: itau.com.br\www
Trusted Zone: itaupersonnalite.com.br\www
TCP: DhcpNameServer = 192.168.0.1
TCP: Interfaces\{267CF9D8-D75B-4198-9171-F55743037159}: NameServer = 8.8.8.8,8.8.4.4
TCP: Interfaces\{267CF9D8-D75B-4198-9171-F55743037159}\2416025602745796: NameServer = 8.8.8.8,8.8.4.4
TCP: Interfaces\{267CF9D8-D75B-4198-9171-F55743037159}\4505D2C494E4B4F5542364835383: NameServer = 8.8.8.8,8.8.4.4
FF - ProfilePath - c:\users\Guilherme\AppData\Roaming\Mozilla\Firefox\Profiles\0193i15a.default\
.
- - - - ORFÃOS REMOVIDOS - - - -
.
Wow6432Node-HKCU-Run-AdobeBridge - (no file)
AddRemove-{70e5f739-1d2a-40ae-bbc9-4b3e6af4c831}_is1 - c:\users\Guilherme\AppData\Roaming\unins000.exe
AddRemove-{7E47C4CD-E144-449F-80CD-A5536244B982}_is1 - c:\users\Guilherme\Desktop\GPU Monitor\unins000.exe
AddRemove-UnityWebPlayer - c:\users\Guilherme\AppData\Local\Unity\WebPlayer\Uninstall.exe
.
.
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Outros Processos em Execução ------------------------
.
c:\program files (x86)\Screenhero, Inc\Screenhero\Screenhero.daemon.exe
c:\users\Guilherme\AppData\Roaming\Dropbox\bin\Dropbox.exe
c:\program files (x86)\Razer\Razer Cortex\main.exe
c:\program files (x86)\Google\Update\1.3.26.9\GoogleCrashHandler.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
.
**************************************************************************
.
Tempo para conclusão: 2015-05-09 10:56:56 - Máquina reiniciou
ComboFix-quarantined-files.txt 2015-05-09 13:56
.
Pré-execução: 192.920.440.832 bytes free
Pós execução: 212.031.156.224 bytes free
.
- - End Of File - - ABB018823CD49538BDC0F6CE8ECF2DFE
A36C5E4F47E84449FF07ED3517B43A31



@Sparks: Feito o DNS no router! Vou atualizar o firmware agora =)

[yahoo!?]

O jeep, esse combofix não roda no win 8.1?

Me interessei em rodar ele aqui, mas diz que meu sistema operacional não é suportado...

[Jeep]

vixi pota, tava lotado e pelo jeito esse era dos bons, rodava em python, nao? fica no
((((((((((((((((((((((((((((((((((((( Outras Exclusões ))))))))))))))))))))))))))))))))))))))))))))))))))

roda o malwarebytes.org, nao custa.

yahoo, eu podia jurar que rodava, mas na pagina de download diz que nao
"This program does not work on Windows 8.1 at this time!", mas rode o malwarebytes, é mt bom tbm.

[Sabbath]

hijackthis roda até em 3.11 oeahaoeuae :O

roda ele

[Jeep]

alias, vou chutar que o crack do native instruments que iria patchear esse "kontak 5.dll" é um dos "suspeitos habituais"

[Hobbes]

Tenta desinstalar o GbPlugin (vai ser um parto) e vê se muda.

Ou tenta acessar o seu banco pelo aplicativo do celular.

[yahoo!?]

Viu galera, a ZICA É NO DNS DA VIRTUA... de algum jeito o dns da virtua ta resolvendo os dominios em servidores falsos de sites falsos... tá dando uma zica monstra na NET isso, ligaram lá e eles tão falando que o problema é lá mesmo.

[yahoo!?]

E se aconteceu na virtua, pode acontecer na GVT e em qualquer operadora... fiquem espertos hein.

[Hobbes]

Virtua aqui (Campinas), DNS 201.82.0.61 e 201.82.0.64 e vai pro site normal.

De onde vocês são? O DNS é outro?

[pholder]

nao existe a possibilidade hoje em dia de criar um malware/ spyware / virus que modifique o dns do roteador para um dns suspeito ?
uma vez que geral usa roteador e a senha padrao eh admin/admin e ng troca?

yahoo o problema eh na virtua ae de sorocaba, aqui em indaiatuba ta normal cara, do jeito que voce esta falando parece q eh em todas...
vi ate imagem no face falando da NET, nao eh bem assim, os caras tao criando panico e vc ta caindo


dns virtua indaiatuba 189.748.66 - 189.7.48.61

1 <1 ms <1 ms <1 ms 192.168.0.1
2 37 ms 17 ms 26 ms bbb48601.virtua.com.br [187.180.134.1]
3 7 ms 18 ms 8 ms bd073042.virtua.com.br [189.7.48.66]


1 <1 ms <1 ms <1 ms 192.168.0.1
2 37 ms 17 ms 26 ms bbb48601.virtua.com.br [187.180.134.1]
3 7 ms 18 ms 8 ms bd073042.virtua.com.br [189.7.48.66]

[tdf]

Acho q sao botzinhos explorando falha desse tp-link aí... Geralmente são tudo cheio de falhas mesmo. Baixa firmware novo.

Mudaram o DNS pra um peixe deles e o resto é história.

Imagina quantos já caíram hehe

Mas me admira seu router wireless ser visível de fora pq geralmente ficam atrás de um cable modem q já é roteador. Só se tiver um NAT apontando pra ele.
Ou veio de dentro mesmo como o Jeep cogitou.

[Mordred_X]

 

[Hobbes]

Quote:

Postado por pholder

nao existe a possibilidade hoje em dia de criar um malware/ spyware / virus que modifique o dns do roteador para um dns suspeito ?
uma vez que geral usa roteador e a senha padrao eh admin/admin e ng troca?]

Sim.

Entrei no Não Salvo uma vez e a primeira linha do fonte da página era isso: um iframe que tentava modificar o DNS do seu roteador tentando logar com senhas padrão.

Vi por acaso. Sorte que eu não salvo a senha no navegador e sempre que vou entrar nesses sites porcaria uso sessão anônima do Chrome.

[Potato]

Valeu rapaziada, com as dicas consegui sanar o problema =)
Dei positivo para todos \o/

Provavelmente foi algo de dentro pra fora, mas algo parrudo que mudou o dns do tp-link.


Valeu pela força, DS sempre entrega!!!! =D