Trooper
|
Itáu Hackeado? DS Hackers ELP
09-05-15, 00:23
#1
Rapaziada, fui pagar minhas contas do dia 10 e acessei o ITAU.COM.BR, e recebi uma mensagem bem bizarra:
E após este alerta, vai pra esta page aqui: Estranhei absurdo pelo fato de 1) Não ter o https e o "cadeado" do certificado de segurança 2) Ter vários campos críticos como as duas senhas de acesso e do cartão; 3) Os campos pra inserção de senha estarem abertos; 4) O fundo da parada ser um PNG tosqueira Pensei que era algum scam normal, daqueles de e-mail que te manda pra uma landing page com tudo alterado. Mas dei refresh, acessei novamente e se manteve. Olhei as imagens, o css, o js e tudo aponta pro domínio do Itaú. Sei que existe um esquema de fazer dominios fakes com configuração dos hosts, acessei o meus hosts existia entradas do Itau: 92.123.199.170 www.itau.com.br # GbPlugin 92.123.199.170 itau.com.br # GbPlugin Achei bizarro, deletei as entradas mas continua entrando nessa página que parece ser hackeada. Outro ponto interessante: Acessando via WIFI no celular o itau da refused na conexão, via 3G acessa. Existe como hackear via provedor de acesso, no meu caso a NET? Tipo redirecionar minhas conexões? No fim fiquei receoso e obviamente não coloquei nenhuma informação. E ai? Que fazer? |
||||
Trooper
|
09-05-15, 00:29
#2
Outra parada, busquei a url correta do bankline e parece ser essa:
https://bankline.itau.com.br/GRIPNET/bklcom.dll Olha o Refused: |
Trooper
|
09-05-15, 00:54
#3
Provavelmente alteraram os servidores DNS no seu roteador, dá uma olhada.
|
Trooper
|
09-05-15, 00:58
#4
[MENTION=59]SparkS[/MENTION]; Tenho Tp Link modelo TL-WR740N
Ele tem senha própria e ainda mudei o ip pra sair daquele 192.168.1.1 clássico. Onde devo checar? No menu "Roteamento" não tem nada. |
Trooper
|
09-05-15, 01:09
#5
Na configuração da WAN, onde tem a parte de selecionar DNS. |
Trooper
|
09-05-15, 01:22
#6
Ninguém vai hackear banco pra dar golpe em usuário! Isso é alguma coisa no seu PC ou conexão, eu apostaria no PC!
Dá boot por um pendrive com Ubuntu e olha se o problema continua! |
Trooper
|
09-05-15, 01:25
#7
Entrei na minha conta do itau pessoa fisica e juridica agora e tudo ok....
|
Trooper
|
09-05-15, 01:51
#8
Aqui também está normal.
Manda esses prints pro Itaú, porque com certeza tem alguma coisa errada. E se tem alguma coisa errada deve ter um monte de gente preenchendo essas informações. |
Trooper
|
09-05-15, 05:12
#9
Voces usam NET? Parece que está tendo uma situação de redirecionamento de sites nos DNS da NET. A situação parece que é real. Eu postei no grupo do Facebook e venho aqui alerta-los sobre isso. Um amigo que tem NET confirmou ligando lá, mas eles não avisaram os usuários de forma alguma. Entre os sites que estão sendo redirecionados, está facebook, emails e bancos.
|
Trooper
|
09-05-15, 05:28
#10
normal aqui
virtua indaiatuba banco itau |
Trooper
|
09-05-15, 06:18
#11
Eu não tinha reparado sua pergunta potato, vi que é Virtua, mas é possível sim que o provedor de acesso redirecione seus domínios para um fake-host, que seria uma rotina trabalhosa demais em função que: Ela teria que dar o acesso de qualquer jeito ao site do itau pegando os dados no caminho, para não parecer tão hack assim.
Se voce tivesse continuado o processo e tivesse no final de tudo, dado uma tela de ERRO, possivelmente é um hack interno no provedor de acesso. Todo seu tráfego de internet passa de alguma forma pelo provedor de acesso, e se tiver algum malandro que insira uma rotina de captura de senha e usuario num provedor de acesso, ai quebra as pernas, porque isso deveria ser uma confiança do provedor de acesso ao seus dados. |
Trooper
|
09-05-15, 06:32
#12
C:\Users\Usuario>ping www.itau.com.br
Disparando e3852.b.akamaiedge.net [23.14.234.77] com 32 bytes de dados: Resposta de 23.14.234.77: bytes=32 tempo=39ms TTL=54 Tenta dar um ping e tracert na rota do seu ip até o www.itau.com.br |
Trooper
|
09-05-15, 06:51
#13
Altere pra esse dns
8.8.8.8 8.8.4.4 |
Trooper
|
09-05-15, 08:21
#14
Hacker do Porta dos Fundos, dado que pede senha do cartão de DÉDITO
|
Trooper
|
09-05-15, 08:53
#15
Tchesko genio, provou nossa teoria apenas pelo ato falho do portugues errado. Nem eu tinha reparado no Dédito.
Ou seja, isso é provavelmente coisa interna do provedor. Pois se o domínio está certo, e o DNS tá fazendo o redirecionamento do IP para o nome, então tem maracutaia na Virtua. Possivelmente fizeram o site na mesma estrutura que o da internet, mas ele tá num servidor dentro do Virtua. Sacou +-? Last edited by yahoo!?; 09-05-15 at 08:59.. |
Trooper
|
09-05-15, 09:25
#16
o que eh virtua?
|
Trooper
|
09-05-15, 09:27
#17
|
Trooper
|
09-05-15, 09:31
#18
Code:
Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. All rights reserved. C:\Users\Guilherme>ping itau.com.br Pinging itau.com.br [80.82.69.204] with 32 bytes of data: Reply from 80.82.69.204: bytes=32 time=495ms TTL=56 Reply from 80.82.69.204: bytes=32 time=503ms TTL=56 Reply from 80.82.69.204: bytes=32 time=570ms TTL=56 Reply from 80.82.69.204: bytes=32 time=564ms TTL=56 Ping statistics for 80.82.69.204: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 495ms, Maximum = 570ms, Average = 533ms Code:
Microsoft Windows [Version 6.1.7601] Copyright (c) 2009 Microsoft Corporation. All rights reserved. C:\Users\Guilherme>tracert itau.com.br Tracing route to itau.com.br [80.82.69.204] over a maximum of 30 hops: 1 1 ms 1 ms 3 ms 192.168.0.1 2 43 ms 30 ms 27 ms b1c27201.virtua.com.br [177.194.114.1] 3 36 ms 16 ms 14 ms c952005f.virtua.com.br [201.82.0.95] 4 11 ms 15 ms 15 ms c952005a.virtua.com.br [201.82.0.90] 5 23 ms 15 ms 11 ms embratel-t0-1-0-1-uacc03.cas.embratel.net.br [20 1.72.64.73] 6 15 ms 11 ms 15 ms 200.244.211.105 7 155 ms 141 ms 143 ms ebt-b11911-intl01.nyk.embratel.net.br [200.230.2 20.154] 8 * * 156 ms ebt-b101-intl01.nyk.embratel.net.br [200.230.252 .197] 9 236 ms * * ae-239-3615.edge6.amsterdam1.level3.net [4.69.16 2.250] 10 * * 226 ms ae-239-3615.edge6.amsterdam1.level3.net [4.69.16 2.250] 11 * 225 ms * 80.82.69.204 12 226 ms 226 ms 226 ms 80.82.69.204 Trace complete. |
Trooper
|
09-05-15, 09:36
#19
Caralho se isso for a nível da NET a treta é muito monstro.
Porra, como posso me proteger? Só mudando o DNS para o do Google já resolve? |
Trooper
|
09-05-15, 09:38
#20
Potato, eu perguntei pro meu irmão e ele falou casos que já aconteceram isso...
Passos: 1 - Reseta o modem 2 - troca usuário e senha admin do modem 3 - Coloca o DNS do Google 4 - ???? 5 - Profit É um golpe que eles entram no seu modem e colocam um DNS, geralmente o secundário, para um outro ip que resolve nomes num servidor fantasma. |
Trooper
|
09-05-15, 09:39
#21
nao pode ser esses spywares/malwares nao?
|
fagmin
|
09-05-15, 09:41
#22
- baixe o combofix ( http://www.bleepingcomputer.com/download/combofix/ )
- desligue seu antivirus - rode o combofix ele termina e reboota o micro, reinicia e gera um relatorio (as vezes demora), assim que aparecer o notepad com o log, pode usar o micro e ver se resolveu (religue o antivirus ). A possibilidade do yahoo tbm existe. No maximo instale um www.malwarebytes.org e rode por desencargo. |
Trooper
|
09-05-15, 09:50
#23
[MENTION=59]SparkS[/MENTION]; o meu DNS estava alterado mesmo. Olha o print:
Como posso checar se isto era a origem do problema? |
Trooper
|
09-05-15, 09:54
#24
Possíveis causas:
1) Malware/spyware Solução: To rodando o app que o [MENTION=1]Jeep[/MENTION]; sugeriu e os apps que costumo usar. 2) Hacking do DNS do meu modem / roteador Solução: Resetei o meu roteador, coloquei novas senhas. Tem como hackear o modem da rua como o @yahoo; sugeriu? Como acesso? Nunca acessei esse modem. 3) Hacking DNS da net Mudar o DNS via router resolve? |
Trooper
|
09-05-15, 10:01
#25
Coloca esse ip no browser, é ip de rede... 192.168.0.1
Voce vai acessar a pagina do modem, ele vai pedir usuário e senha... Antes de resetar, faça isso: procure na internet o usuario e senha padrão do modem e copie num papel... Resete o modem no botão reset geralmente atrás do modem, segurando ele com um clips ou caneta uns 10 segundos +- Volte no browser, coloque o ip 192.168.0.1 e coloque o usuário e senha, voce entra no sistema do modem. Ai é só seguir a imagem que o SparkS colocou, e ali em DNS, ativa aquela opção e coloca os dns do google, procura se informar sobre eles tambem. |
Trooper
|
09-05-15, 10:07
#26
Então mas pera aqui em casa o setup é
- Modem net rua, que só tem uma porta Wan - Roteador, que distribui o Wi-fi Por hora só mudei o Roteador. É o da rua qeu nao sei acessar =D |
fagmin
|
09-05-15, 10:08
#27
eu acho que foi combinacao de fatores.
esse dns é pirata, mas eu acho que um spyware da sua maquina que simplesmente fez o "servico sujo" e logou e reconfigurou seu roteador, especialemente se ele tinha senha padrao. Talvez seja algum exploit remoto diretamente no seu roteador? pode ser tambem, aconselho depois que a poeira baixar ir no site dele e aplicar atualizacoes. C:\Users\Wilton>nslookup Servidor PadrÒo: UnKnown (dns do meu roteador, no caso 200.189.80.131 e 200.189.80.136) Address: 192.168.0.1 > www.itau.com.br Servidor: UnKnown Address: 192.168.0.1 Não é resposta autoritativa: Nome: e3852.b.akamaiedge.net Address: 23.216.175.170 Aliases: www.itau.com.br www.itau.com.br.edgekey.net > server 216.245.220.155 (seu servidor dns suspeito) Servidor PadrÒo: 155-220-245-216.static.reverse.lstn.net Address: 216.245.220.155 > www.itau.com.br Servidor: 155-220-245-216.static.reverse.lstn.net Address: 216.245.220.155 DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. DNS request timed out. timeout was 2 seconds. *** O tempo limite da solicitação para 155-220-245-216.static.reverse.lstn.net expirou (pelo jeito ja foi derrubado, ta fora do ar) > server 216.245.220.156 (seu 2o servidor suspeito) DNS request timed out. timeout was 2 seconds. Servidor PadrÒo: [216.245.220.156] Address: 216.245.220.156 > www.itau.com.br Servidor: [216.245.220.156] Address: 216.245.220.156 Não é resposta autoritativa: Nome: itau.com.br Address: 80.82.69.204 (resolvendo pra um ip doido na holanda) Aliases: www.itau.com.br > https://who.is/whois-ip/ip-address/80.82.69.204 [SPOILER]% This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '80.82.64.0 - 80.82.79.255' % Abuse contact for '80.82.64.0 - 80.82.79.255' is '[email protected]' inetnum: 80.82.64.0 - 80.82.79.255 netname: NL-ECATEL-20100816 descr: Ecatel LTD country: NL org: ORG-EL38-RIPE admin-c: RvE16-RIPE tech-c: RvE16-RIPE status: ALLOCATED PA mnt-by: RIPE-NCC-HM-MNT mnt-lower: ECATEL-MNT mnt-routes: ECATEL-MNT created: 2010-08-16T07:32:00Z last-modified: 2010-08-16T07:32:00Z source: RIPE # Filtered organisation: ORG-EL38-RIPE org-name: Ecatel LTD org-type: LIR address: Ecatel LTD address: P.O.Box 19533 address: 2500 CM address: Den Haag address: NETHERLANDS phone: +31702204015 fax-no: +31702204015 abuse-c: AR16168-RIPE mnt-ref: ECATEL-MNT mnt-ref: RIPE-NCC-HM-MNT mnt-by: RIPE-NCC-HM-MNT admin-c: EL25-RIPE created: 2006-07-06T08:03:04Z last-modified: 2014-12-17T15:17:54Z source: RIPE # Filtered person: Reinier van Eeden address: Archangelkade 1-3 address: 1013 BE Amsterdam mnt-by: IQARUS-MNT phone: +31 64 607 11 12 nic-hdl: RvE16-RIPE created: 2004-08-05T13:53:07Z last-modified: 2005-10-17T19:12:25Z source: RIPE # Filtered % Information related to '80.82.69.0/24AS29073' route: 80.82.69.0/24 descr: AS29073 Route object origin: AS29073 mnt-by: ECATEL-MNT created: 2010-11-30T12:05:14Z last-modified: 2010-11-30T12:05:14Z source: RIPE # Filtered % This query was served by the RIPE Database Query Service version 1.79.2 (DB-2) e esse ecatel.net é um servico de hospedagem dedicada. Last edited by Jeep; 09-05-15 at 10:13.. |
Trooper
|
09-05-15, 10:08
#28
Ok... Não havia lido tudo... depois olho com mais calma
|
fagmin
|
09-05-15, 10:16
#29
hehehe, agora que vi na tela, bklcom.PHP
|
Trooper
|
09-05-15, 10:18
#30
Eu achei que era algo da NET/Virtua pois tem várias pessoas relatando casos dessa empresa. Poderia ser algo interno.
Mas pensando na pesquisa do Jeep, realmente, são vários fatores... |
R2D2
|
09-05-15, 10:28
#31
Vale lembrar que um
ipconfig /flushdns é necessário dps de trocar dns! |
The real (1)
|
09-05-15, 10:55
#32
|
Trooper
|
09-05-15, 11:00
#33
Pota, muda os ips da parte de dns para: 8.8.8.8 e 8.8.4.4 (google) ou 208.67.222.222 e 208.67.220.220 (opendns). Depois atualiza o firmware do seu roteador (se tiver versão nova). Finaliza fazendo oq Jeep disse para scanear o pc pois provavelmente o vírus alterou o host do win e mudou a config do roteador.
|
Trooper
|
09-05-15, 11:03
#34
Ae [MENTION=1]Jeep[/MENTION]; resultado do combofix
[SPOILER] ComboFix 15-05-09.01 - Guilherme 09/05/2015 10:10:23.2.4 - x64 Microsoft Windows 7 Home Basic 6.1.7601.1.1252.55.1033.18.6051.3041 [GMT -3:00] Executando de: d:\downloads\ComboFix.exe AV: Microsoft Security Essentials *Disabled/Updated* {B7ECF8CD-0188-6703-DBA4-AA65C6ACFB0A} SP: Microsoft Security Essentials *Disabled/Updated* {0C8D1929-27B2-688D-E114-9117BD2BB1B7} SP: Spybot - Search and Destroy *Disabled/Outdated* {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B0} SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . . ((((((((((((((((((((((((((((((((((((( Outras Exclusões ))))))))))))))))))))))))))))))))))))))))))))))))))) . . c:\programdata\16652327891689977091 c:\programdata\16652327891689977091\cd5b15e575e1c3d0d37165ee7943a462.ini c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\_ctypes.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\_elementtree.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\_hashlib.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\_multiprocessing.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\_socket.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\_ssl.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\_yappi.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\hashobjs_ext.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\pyexpat.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\pysqlite2._sqlite.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\python27.dll c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\pythoncom27.dll c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\PyWinTypes27.dll c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\select.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\unicodedata.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32api.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32com.shell.shell.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32crypt.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32event.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32file.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32gui.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32inet.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32pdh.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32pipe.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32process.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32profile.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32security.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\win32ts.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\windows._lib_cacheinvalidation.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wx._animate.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wx._controls_.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wx._core_.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wx._gdi_.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wx._html2.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wx._misc_.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wx._windows_.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wx._wizard.pyd c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wxbase294u_net_vc90.dll c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wxbase294u_vc90.dll c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wxmsw294u_adv_vc90.dll c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wxmsw294u_core_vc90.dll c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wxmsw294u_html_vc90.dll c:\users\GUILHE~1\AppData\Local\Temp\_MEI28202\wxmsw294u_webview_vc90.dll c:\users\GUILHE~1\AppData\Local\Temp\7zS0D79\HPSLPSVC64.DLL c:\users\Guilherme\AppData\Local\assembly\tmp c:\users\Guilherme\AppData\Local\Temp\_MEI28202\_ctypes.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\_elementtree.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\_hashlib.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\_multiprocessing.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\_socket.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\_ssl.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\_yappi.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\hashobjs_ext.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\pyexpat.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\pysqlite2._sqlite.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\python27.dll c:\users\Guilherme\AppData\Local\Temp\_MEI28202\pythoncom27.dll c:\users\Guilherme\AppData\Local\Temp\_MEI28202\PyWinTypes27.dll c:\users\Guilherme\AppData\Local\Temp\_MEI28202\select.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\unicodedata.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32api.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32com.shell.shell.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32crypt.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32event.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32file.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32gui.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32inet.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32pdh.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32pipe.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32process.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32profile.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32security.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\win32ts.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\windows._lib_cacheinvalidation.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wx._animate.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wx._controls_.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wx._core_.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wx._gdi_.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wx._html2.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wx._misc_.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wx._windows_.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wx._wizard.pyd c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wxbase294u_net_vc90.dll c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wxbase294u_vc90.dll c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wxmsw294u_adv_vc90.dll c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wxmsw294u_core_vc90.dll c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wxmsw294u_html_vc90.dll c:\users\Guilherme\AppData\Local\Temp\_MEI28202\wxmsw294u_webview_vc90.dll c:\users\Guilherme\AppData\Local\Temp\7zS0D79\HPSLPSVC64.DLL c:\users\Guilherme\AppData\Roaming\unins000.exe c:\users\Guilherme\Kontakt 5.dll c:\windows\SysWow64\hookdll.dll c:\windows\wininit.ini . . ((((((((((((((((((((((((((((((((((((((( Drivers/Serviços ))))))))))))))))))))))))))))))))))))))))))))))))) . . -------\Service_HPSLPSVC . . (((((((((((((((( Arquivos/Ficheiros criados de 2015-04-09 to 2015-05-09 )))))))))))))))))))))))))))) . . 2015-05-09 13:39 . 2015-05-09 13:39 -------- d-----w- c:\users\Default\AppData\Local\temp 2015-05-08 19:46 . 2015-04-04 06:25 12032440 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{53CD5533-3F2E-4DAF-AF69-603EA9BE7B3F}\mpengine.dll 2015-05-05 01:49 . 2015-04-04 06:25 12032440 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll 2015-05-03 00:26 . 2006-01-08 20:34 581632 ----a-w- C:\pdftohtml.exe 2015-05-03 00:24 . 2015-05-03 00:24 65536 ----a-r- c:\users\Guilherme\AppData\Roaming\Microsoft\Installer\{8C5845B5-729F-40E3-A945-4454E67F65F4}\NewShortcut1_8C5845B5729F40E3A9454454E67F65F4.exe 2015-05-03 00:24 . 2015-05-03 00:24 -------- d-----w- c:\program files (x86)\BCL Technologies 2015-05-03 00:20 . 2015-05-03 00:20 -------- d-----w- C:\nadia 2015-04-28 03:38 . 2015-04-28 03:38 -------- d-----w- c:\users\Guilherme\AppData\Local\openvr 2015-04-27 14:15 . 2015-03-25 21:20 1187344 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{43D6FDCD-00CA-4764-A21B-9AA842F4386D}\gapaengine.dll 2015-04-27 14:14 . 2015-04-27 14:14 -------- d-----w- c:\programdata\KONAMI 2015-04-25 03:54 . 2015-04-25 03:54 -------- dc-h--w- c:\programdata\{95B4F0ED-951F-4D36-B068-5EC1C4C19C14} 2015-04-25 03:54 . 2015-04-25 03:54 -------- d-----w- c:\program files\Common Files\Native Instruments 2015-04-25 03:54 . 2015-04-25 03:54 -------- d-----w- c:\program files\Native Instruments 2015-04-25 03:54 . 2015-04-25 03:54 -------- d-----w- c:\programdata\Native Instruments 2015-04-25 03:52 . 2015-04-25 03:55 -------- dc-h--w- c:\programdata\{A9158F4E-7914-4019-808A-D4D4993E9958} 2015-04-23 18:01 . 2015-04-23 18:01 -------- d-----w- c:\program files (x86)\GAS Tecnologia 2015-04-23 18:01 . 2015-04-23 18:01 -------- d-----w- c:\program files (x86)\Diebold 2015-04-23 18:00 . 2015-04-23 18:00 -------- d-----w- c:\program files\Diebold 2015-04-23 15:46 . 2015-04-23 16:46 -------- d-s---w- c:\windows\system32\GWX 2015-04-23 15:46 . 2015-04-23 15:46 -------- d-s---w- c:\windows\SysWow64\GWX 2015-04-23 14:36 . 2015-05-09 13:01 -------- d-----w- C:\AdwCleaner 2015-04-23 13:31 . 2015-03-17 04:56 96768 ----a-w- c:\windows\SysWow64\sspicli.dll 2015-04-23 13:28 . 2015-03-04 04:55 367552 ----a-w- c:\windows\system32\clfs.sys 2015-04-23 13:28 . 2015-03-04 04:41 79360 ----a-w- c:\windows\system32\clfsw32.dll 2015-04-23 13:28 . 2015-03-04 04:10 58880 ----a-w- c:\windows\SysWow64\clfsw32.dll 2015-04-18 02:11 . 2015-04-18 02:12 -------- d-----w- c:\program files (x86)\Total Video Converter 2015-04-11 13:41 . 2015-04-11 13:41 -------- d-----w- c:\users\Guilherme\AppData\Roaming\Glitch2 2015-04-11 13:38 . 2015-04-11 13:38 -------- d-----w- c:\users\Guilherme\AppData\Roaming\Waves Audio 2015-04-10 13:50 . 2013-10-30 05:49 2189312 ----a-w- c:\windows\system32\ReWire.dll 2015-04-10 13:50 . 2011-07-01 15:30 1431552 ----a-w- c:\windows\SysWow64\ReWire.dll 2015-04-10 13:50 . 2015-04-10 13:50 -------- d-----w- c:\users\Public\Waves Audio 2015-04-10 13:43 . 2015-04-10 13:43 -------- d-----w- c:\program files (x86)\Common Files\Propellerhead Software 2015-04-10 13:43 . 2015-04-25 03:54 -------- d-----w- c:\program files (x86)\VSTPlugIns 2015-04-10 13:43 . 2015-04-11 13:40 -------- d-----w- c:\program files (x86)\Common Files\VST3 2015-04-10 13:43 . 2015-04-11 13:38 -------- d-----w- c:\program files\VSTPlugIns 2015-04-10 13:43 . 2006-11-06 16:22 499712 ----a-w- c:\windows\SysWow64\msvcp71.dll 2015-04-10 13:42 . 2015-04-11 13:41 -------- d-----w- c:\program files (x86)\Waves . . . ((((((((((((((((((((((((((((((((((((( Relatório Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2015-04-23 15:02 . 2014-09-23 17:38 128913832 ----a-w- c:\windows\system32\MRT.exe 2015-04-13 21:33 . 2015-04-23 18:01 1864 ----a-w- c:\windows\Fonts\dbldwrsw.ttf 2015-03-25 21:20 . 2014-09-25 13:22 1187344 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll 2015-03-17 04:56 . 2015-04-23 13:32 44032 ----a-w- c:\windows\apppatch\acwow64.dll 2015-03-03 13:17 . 2010-11-21 03:27 295552 ------w- c:\windows\system32\MpSigStub.exe 2015-02-26 03:25 . 2015-03-10 22:38 3204096 ----a-w- c:\windows\system32\win32k.sys 2015-02-20 04:41 . 2015-03-10 22:40 41984 ----a-w- c:\windows\system32\lpk.dll 2015-02-20 04:40 . 2015-03-10 22:40 100864 ----a-w- c:\windows\system32\fontsub.dll 2015-02-20 04:40 . 2015-03-10 22:40 14336 ----a-w- c:\windows\system32\dciman32.dll 2015-02-20 04:40 . 2015-03-10 22:40 46080 ----a-w- c:\windows\system32\atmlib.dll 2015-02-20 04:13 . 2015-03-10 22:40 70656 ----a-w- c:\windows\SysWow64\fontsub.dll 2015-02-20 04:13 . 2015-03-10 22:40 10240 ----a-w- c:\windows\SysWow64\dciman32.dll 2015-02-20 04:13 . 2015-03-10 22:40 34304 ----a-w- c:\windows\SysWow64\atmlib.dll 2015-02-20 04:12 . 2015-03-10 22:40 25600 ----a-w- c:\windows\SysWow64\lpk.dll 2015-02-20 03:29 . 2015-03-10 22:40 372224 ----a-w- c:\windows\system32\atmfd.dll 2015-02-20 03:09 . 2015-03-10 22:40 299008 ----a-w- c:\windows\SysWow64\atmfd.dll 2015-02-17 18:19 . 2015-02-17 18:19 1614496 ----a-w- c:\windows\system32\FM20.DLL 2015-02-13 05:22 . 2015-03-10 22:39 14177280 ----a-w- c:\windows\system32\shell32.dll . . (((((((((((((((((((((((((( Pontos de Carregamento do Registro ))))))))))))))))))))))))))))))))))))))) . . *Nota* entradas vazias e legítimas por padrão não são apresentadas. REGEDIT4 . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt1"] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2015-02-11 01:12 152544 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt.25.dll . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt2"] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2015-02-11 01:12 152544 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt.25.dll . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt3"] @="{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}] 2015-02-11 01:12 152544 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt.25.dll . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt4"] @="{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}] 2015-02-11 01:12 152544 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt.25.dll . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt5"] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2015-02-11 01:12 152544 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt.25.dll . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt6"] @="{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}] 2015-02-11 01:12 152544 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt.25.dll . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt7"] @="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}] 2015-02-11 01:12 152544 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt.25.dll . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt8"] @="{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}] 2015-02-11 01:12 152544 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt.25.dll . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2015-03-25 31682144] "GoogleDriveSync"="c:\program files (x86)\Google\Drive\googledrivesync.exe" [2015-02-19 26232152] . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-11-06 343168] "RazerCortex"="c:\program files (x86)\Razer\Razer Cortex\RazerCortex.exe" [2015-01-26 98256] . c:\users\Guilherme\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Dropbox.lnk - c:\users\Guilherme\AppData\Roaming\Dropbox\bin\Dropbox.exe /systemstartup [2015-4-13 43376600] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 0 (0x0) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableLUA"= 0 (0x0) "EnableUIADesktopToggle"= 0 (0x0) "PromptOnSecureDesktop"= 0 (0x0) "DisableCAD"= 1 (0x1) . [hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{E37CB5F0-51F5-4395-A808-5FA49E399008}"= "c:\program files (x86)\GbPlugin\gbiehuni.dll" [2014-08-12 1760312] . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb] 2014-07-31 19:37 1754664 ------w- c:\program files (x86)\GbPlugin\gbieh.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginUni] 2014-08-12 16:19 1760312 ------w- c:\program files (x86)\GbPlugin\gbiehuni.dll . [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0\0sdnclean64.exe . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc] @="Service" . R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x] R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe;c:\program files (x86)\Skype\Updater\Updater.exe [x] R3 AthBTPort;Qualcomm Atheros Virtual Bluetooth Class;c:\windows\system32\DRIVERS\btath_flt.sys;c:\windows\SYSNATIVE\DRIVERS\btath_flt.sys [x] R3 BTATH_A2DP;Bluetooth A2DP Audio Driver;c:\windows\system32\drivers\btath_a2dp.sys;c:\windows\SYSNATIVE\drivers\btath_a2dp.sys [x] R3 btath_avdt;Qualcomm Atheros Bluetooth AVDT Service;c:\windows\system32\drivers\btath_avdt.sys;c:\windows\SYSNATIVE\drivers\btath_avdt.sys [x] R3 BTATH_HCRP;Bluetooth HCRP Server driver;c:\windows\system32\DRIVERS\btath_hcrp.sys;c:\windows\SYSNATIVE\DRIVERS\btath_hcrp.sys [x] R3 BTATH_LWFLT;Bluetooth LWFLT Device;c:\windows\system32\DRIVERS\btath_lwflt.sys;c:\windows\SYSNATIVE\DRIVERS\btath_lwflt.sys [x] R3 BTATH_RCP;Bluetooth AVRCP Device;c:\windows\system32\DRIVERS\btath_rcp.sys;c:\windows\SYSNATIVE\DRIVERS\btath_rcp.sys [x] R3 BtFilter;BtFilter;c:\windows\system32\DRIVERS\btfilter.sys;c:\windows\SYSNATIVE\DRIVERS\btfilter.sys [x] R3 DrvAgent64;DrvAgent64;c:\windows\SysWOW64\Drivers\DrvAgent64.SYS;c:\windows\SysWOW64\Drivers\DrvAgent64.SYS [x] R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe;c:\windows\SYSNATIVE\IEEtwCollector.exe [x] R3 Intel(R) Capability Licensing Service TCP IP Interface;Intel(R) Capability Licensing Service TCP IP Interface;c:\program files\Intel\iCLS Client\SocketHeciServer.exe;c:\program files\Intel\iCLS Client\SocketHeciServer.exe [x] R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys;c:\windows\SYSNATIVE\DRIVERS\NisDrvWFP.sys [x] R3 NisSrv;Microsoft Network Inspection;c:\program files\Microsoft Security Client\NisSrv.exe;c:\program files\Microsoft Security Client\NisSrv.exe [x] R3 Origin Client Service;Origin Client Service;c:\program files (x86)\Origin\OriginClientService.exe;c:\program files (x86)\Origin\OriginClientService.exe [x] R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [x] R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys;c:\windows\SYSNATIVE\drivers\rdpvideominiport.sys [x] R3 SWDUMon;SWDUMon;c:\windows\system32\DRIVERS\SWDUMon.sys;c:\windows\SYSNATIVE\DRIVERS\SWDUMon.sys [x] R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x] R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys;c:\windows\SYSNATIVE\drivers\TsUsbGD.sys [x] R4 FoxitCloudUpdateService;Foxit Cloud Safe Update Service;c:\program files (x86)\Foxit Software\Foxit Reader\Foxit Cloud\FCUpdateService.exe;c:\program files (x86)\Foxit Software\Foxit Reader\Foxit Cloud\FCUpdateService.exe [x] R4 SwitchBoard;Adobe SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [x] R4 TeamViewer9;TeamViewer 9;c:\program files (x86)\TeamViewer\Version9\TeamViewer_Service.exe;c:\program files (x86)\TeamViewer\Version9\TeamViewer_Service.exe [x] R4 Update service;Update service;c:\program files (x86)\Popcorn Time\Updater.exe;c:\program files (x86)\Popcorn Time\Updater.exe [x] R4 valWBFPolicyService;Synaptics FP WBF Policy Service;c:\windows\system32\valWBFPolicyService.exe;c:\windows\SYSNATIVE\valWBFPolicyService.exe [x] R4 Warsaw Technology;Warsaw Technology;c:\program files\Diebold\Warsaw\core.exe;c:\program files\Diebold\Warsaw\core.exe [x] S0 amdkmpfd;AMD PCI Root Bus Lower Filter;c:\windows\system32\DRIVERS\amdkmpfd.sys;c:\windows\SYSNATIVE\DRIVERS\amdkmpfd.sys [x] S0 iaStorA;iaStorA;c:\windows\system32\DRIVERS\iaStorA.sys;c:\windows\SYSNATIVE\DRIVERS\iaStorA.sys [x] S0 iaStorF;iaStorF;c:\windows\system32\DRIVERS\iaStorF.sys;c:\windows\SYSNATIVE\DRIVERS\iaStorF.sys [x] S1 HWiNFO32;HWiNFO32/64 Kernel Driver;c:\windows\system32\drivers\HWiNFO64A.SYS;c:\windows\SYSNATIVE\drivers\HWiNFO64A.SYS [x] S2 AESTFilters;Andrea ST Filters Service;c:\program files\IDT\WDM\AESTSr64.exe;c:\program files\IDT\WDM\AESTSr64.exe [x] S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe;c:\windows\SYSNATIVE\atiesrxx.exe [x] S2 AtherosSvc;AtherosSvc;c:\program files (x86)\Dell Wireless\Bluetooth Suite\adminservice.exe;c:\program files (x86)\Dell Wireless\Bluetooth Suite\adminservice.exe [x] S2 c2cautoupdatesvc;Skype Click to Call Updater;c:\program files (x86)\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe;c:\program files (x86)\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe [x] S2 c2cpnrsvc;Skype Click to Call PNR Service;c:\program files (x86)\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe;c:\program files (x86)\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe [x] S2 GbpSv;Gbp Service;c:\progra~2\GbPlugin\GbpSv.exe;c:\progra~2\GbPlugin\GbpSv.exe [x] S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [x] S2 Razer Game Scanner Service;Razer Game Scanner;c:\program files (x86)\Razer\Razer Services\GSS\GameScannerService.exe;c:\program files (x86)\Razer\Razer Services\GSS\GameScannerService.exe [x] S2 RzKLService;RzKLService;c:\program files (x86)\Razer\Razer Cortex\RzKLService.exe;c:\program files (x86)\Razer\Razer Cortex\RzKLService.exe [x] S2 rzpmgrk;rzpmgrk;c:\windows\system32\drivers\rzpmgrk.sys;c:\windows\SYSNATIVE\drivers\rzpmgrk.sys [x] S2 SBSDWSCService;SBSD Security Center Service;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe;c:\program files (x86)\Spybot - Search & Destroy\SDWinSec.exe [x] S2 ZAtheros Wlan Agent;ZAtheros Wlan Agent;c:\program files (x86)\Dell Wireless\Ath_WlanAgent.exe;c:\program files (x86)\Dell Wireless\Ath_WlanAgent.exe [x] S3 BTATH_BUS;Qualcomm Atheros Bluetooth Bus;c:\windows\system32\DRIVERS\btath_bus.sys;c:\windows\SYSNATIVE\DRIVERS\btath_bus.sys [x] S3 IntcDAud;Intel(R) Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys;c:\windows\SYSNATIVE\DRIVERS\IntcDAud.sys [x] S3 intelkmd;intelkmd;c:\windows\system32\DRIVERS\igdpmd64.sys;c:\windows\SYSNATIVE\DRIVERS\igdpmd64.sys [x] S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys;c:\windows\SYSNATIVE\DRIVERS\nusb3hub.sys [x] S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys;c:\windows\SYSNATIVE\DRIVERS\nusb3xhc.sys [x] S3 Point64;Microsoft Mouse and Keyboard Center Filter Driver;c:\windows\system32\DRIVERS\point64.sys;c:\windows\SYSNATIVE\DRIVERS\point64.sys [x] S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys;c:\windows\SYSNATIVE\Drivers\RtsUStor.sys [x] S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x] S3 SmbDrvI;SmbDrvI;c:\windows\system32\DRIVERS\Smb_driver_Intel.sys;c:\windows\SYSNATIVE\DRIVERS\Smb_driver_Intel.sys [x] . . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}] 2015-04-29 21:19 988488 ----a-w- c:\program files (x86)\Google\Chrome\Application\42.0.2311.135\Installer\chrmstp.exe . Conteúdo da pasta 'Tarefas Agendadas' . 2015-05-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2014-09-23 15:05] . 2015-05-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2014-09-23 15:05] . . --------- X64 Entries ----------- . . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt1"] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2015-02-11 01:12 185824 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt64.25.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt2"] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2015-02-11 01:12 185824 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt64.25.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt3"] @="{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}] 2015-02-11 01:12 185824 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt64.25.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt4"] @="{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}] 2015-02-11 01:12 185824 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt64.25.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt5"] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2015-02-11 01:12 185824 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt64.25.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt6"] @="{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}] 2015-02-11 01:12 185824 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt64.25.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt7"] @="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}] 2015-02-11 01:12 185824 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt64.25.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\"DropboxExt8"] @="{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}] 2015-02-11 01:12 185824 ----a-w- c:\users\Guilherme\AppData\Roaming\Dropbox\bin\DropboxExt64.25.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveBlacklistedOverlay] @="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}" [HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}] 2015-02-19 17:24 774472 ----a-w- c:\program files (x86)\Google\Drive\googledrivesync64.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedEditOverlay] @="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}" [HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}] 2015-02-19 17:24 774472 ----a-w- c:\program files (x86)\Google\Drive\googledrivesync64.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedViewOverlay] @="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}" [HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}] 2015-02-19 17:24 774472 ----a-w- c:\program files (x86)\Google\Drive\googledrivesync64.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSyncedOverlay] @="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40}" [HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40}] 2015-02-19 17:24 774472 ----a-w- c:\program files (x86)\Google\Drive\googledrivesync64.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSyncingOverlay] @="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}" [HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}] 2015-02-19 17:24 774472 ----a-w- c:\program files (x86)\Google\Drive\googledrivesync64.dll . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2000-01-01 1425408] "MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2015-01-30 1332296] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-09-26 167704] "Diebold - Warsaw"="c:\program files\Diebold\Warsaw\core.exe" [2014-09-06 847160] . ------- Scan Suplementar ------- . uLocal Page = c:\windows\system32\blank.htm uStart Page = about:blank mDefault_Search_URL = hxxp://www.google.com mDefault_Page_URL = about:blank mStart Page = about:blank mLocal Page = c:\windows\SysWOW64\blank.htm mSearch Page = hxxp://www.google.com IE: E&xport to Microsoft Excel - c:\progra~1\MIF5BA~1\Office14\EXCEL.EXE/3000 Trusted Zone: bancobrasil.com.br\www Trusted Zone: bancobrasil.com.br\www14 Trusted Zone: bancobrasil.com.br\www2 Trusted Zone: bb.com.br\seg Trusted Zone: bb.com.br\www Trusted Zone: itau.com.br Trusted Zone: itau.com.br\bankline Trusted Zone: itau.com.br\clickbanking Trusted Zone: itau.com.br\guardiao Trusted Zone: itau.com.br\www Trusted Zone: itaupersonnalite.com.br\www TCP: DhcpNameServer = 192.168.0.1 TCP: Interfaces\{267CF9D8-D75B-4198-9171-F55743037159}: NameServer = 8.8.8.8,8.8.4.4 TCP: Interfaces\{267CF9D8-D75B-4198-9171-F55743037159}\2416025602745796: NameServer = 8.8.8.8,8.8.4.4 TCP: Interfaces\{267CF9D8-D75B-4198-9171-F55743037159}\4505D2C494E4B4F5542364835383: NameServer = 8.8.8.8,8.8.4.4 FF - ProfilePath - c:\users\Guilherme\AppData\Roaming\Mozilla\Firefox\Profiles\0193i15a.default\ . - - - - ORFÃOS REMOVIDOS - - - - . Wow6432Node-HKCU-Run-AdobeBridge - (no file) AddRemove-{70e5f739-1d2a-40ae-bbc9-4b3e6af4c831}_is1 - c:\users\Guilherme\AppData\Roaming\unins000.exe AddRemove-{7E47C4CD-E144-449F-80CD-A5536244B982}_is1 - c:\users\Guilherme\Desktop\GPU Monitor\unins000.exe AddRemove-UnityWebPlayer - c:\users\Guilherme\AppData\Local\Unity\WebPlayer\Uninstall.exe . . . --------------------- CHAVES DO REGISTRO BLOQUEADAS --------------------- . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . ------------------------ Outros Processos em Execução ------------------------ . c:\program files (x86)\Screenhero, Inc\Screenhero\Screenhero.daemon.exe c:\users\Guilherme\AppData\Roaming\Dropbox\bin\Dropbox.exe c:\program files (x86)\Razer\Razer Cortex\main.exe c:\program files (x86)\Google\Update\1.3.26.9\GoogleCrashHandler.exe c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe . ************************************************************************** . Tempo para conclusão: 2015-05-09 10:56:56 - Máquina reiniciou ComboFix-quarantined-files.txt 2015-05-09 13:56 . Pré-execução: 192.920.440.832 bytes free Pós execução: 212.031.156.224 bytes free . - - End Of File - - ABB018823CD49538BDC0F6CE8ECF2DFE A36C5E4F47E84449FF07ED3517B43A31 @Sparks: Feito o DNS no router! Vou atualizar o firmware agora =) |
Trooper
|
09-05-15, 11:14
#35
O jeep, esse combofix não roda no win 8.1?
Me interessei em rodar ele aqui, mas diz que meu sistema operacional não é suportado... |
fagmin
|
09-05-15, 11:26
#36
vixi pota, tava lotado e pelo jeito esse era dos bons, rodava em python, nao? fica no
((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))) roda o malwarebytes.org, nao custa. yahoo, eu podia jurar que rodava, mas na pagina de download diz que nao "This program does not work on Windows 8.1 at this time!", mas rode o malwarebytes, é mt bom tbm. |
R2D2
|
09-05-15, 11:30
#37
hijackthis roda até em 3.11 oeahaoeuae :O
roda ele |
fagmin
|
09-05-15, 11:37
#38
alias, vou chutar que o crack do native instruments que iria patchear esse "kontak 5.dll" é um dos "suspeitos habituais"
|
Trooper
|
09-05-15, 12:34
#39
Tenta desinstalar o GbPlugin (vai ser um parto) e vê se muda.
Ou tenta acessar o seu banco pelo aplicativo do celular. |
Trooper
|
09-05-15, 12:35
#40
Viu galera, a ZICA É NO DNS DA VIRTUA... de algum jeito o dns da virtua ta resolvendo os dominios em servidores falsos de sites falsos... tá dando uma zica monstra na NET isso, ligaram lá e eles tão falando que o problema é lá mesmo.
|
Trooper
|
09-05-15, 12:36
#41
E se aconteceu na virtua, pode acontecer na GVT e em qualquer operadora... fiquem espertos hein.
|
Trooper
|
09-05-15, 12:40
#42
Virtua aqui (Campinas), DNS 201.82.0.61 e 201.82.0.64 e vai pro site normal.
De onde vocês são? O DNS é outro? |
Trooper
|
09-05-15, 13:01
#43
nao existe a possibilidade hoje em dia de criar um malware/ spyware / virus que modifique o dns do roteador para um dns suspeito ?
uma vez que geral usa roteador e a senha padrao eh admin/admin e ng troca? yahoo o problema eh na virtua ae de sorocaba, aqui em indaiatuba ta normal cara, do jeito que voce esta falando parece q eh em todas... vi ate imagem no face falando da NET, nao eh bem assim, os caras tao criando panico e vc ta caindo dns virtua indaiatuba 189.748.66 - 189.7.48.61 1 <1 ms <1 ms <1 ms 192.168.0.1 2 37 ms 17 ms 26 ms bbb48601.virtua.com.br [187.180.134.1] 3 7 ms 18 ms 8 ms bd073042.virtua.com.br [189.7.48.66] 1 <1 ms <1 ms <1 ms 192.168.0.1 2 37 ms 17 ms 26 ms bbb48601.virtua.com.br [187.180.134.1] 3 7 ms 18 ms 8 ms bd073042.virtua.com.br [189.7.48.66] |
09-05-15, 15:30
#44
Acho q sao botzinhos explorando falha desse tp-link aí... Geralmente são tudo cheio de falhas mesmo. Baixa firmware novo.
Mudaram o DNS pra um peixe deles e o resto é história. Imagina quantos já caíram hehe Mas me admira seu router wireless ser visível de fora pq geralmente ficam atrás de um cable modem q já é roteador. Só se tiver um NAT apontando pra ele. Ou veio de dentro mesmo como o Jeep cogitou. |
|
Mandalorian
|
09-05-15, 18:33
#45
|
Trooper
|
09-05-15, 19:52
#46
Quote:
Entrei no Não Salvo uma vez e a primeira linha do fonte da página era isso: um iframe que tentava modificar o DNS do seu roteador tentando logar com senhas padrão. Vi por acaso. Sorte que eu não salvo a senha no navegador e sempre que vou entrar nesses sites porcaria uso sessão anônima do Chrome. |
|
Trooper
|
10-05-15, 10:48
#47
Valeu rapaziada, com as dicas consegui sanar o problema =)
Dei positivo para todos \o/ Provavelmente foi algo de dentro pra fora, mas algo parrudo que mudou o dns do tp-link. Valeu pela força, DS sempre entrega!!!! =D |
Tags |
elp, hackers, itau |
|
|