:) Olá alfa77! Seja bem-vindo ao Fórum Imasters.

:seta: Abra o HijackThis, clique em Do a system scan only, marque a entrada abaixo e clique em Fix checked:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

_______________________________________

:seta: Faça uma atualização (update) do seu antivirus Avast e faça o seguinte:

Escaneamento no boot com o Avast:

Clique com o botão direito do mouse sobre o símbolo do Avast (aquele ´´a`` azul que fica rodando ao lado do relógio do Windows e escolha a opção: Iniciar o Antivírus Avast! - Quando a tela principal do Avast aparecer, clique com o botão esquerdo do mouse sobre aquela setinha virada para cima que fica no canto superior esquerdo da tela do Avast e escolha a opção: Agendar escaneamento no boot... - Selecione então as opções: Escanear todos os discos locais, Escanear o conteúdo dos arquivos, Opções avançadas - Solicitar ação. - E aí clique em Agendar. E confirme a reinicialização do computador, então o Avast fará um escaneamento completo do seu computador e a medida em que ele for achando os vírus escolha a opção de desinfectar estes arquivos contaminados ou vá enviando eles para a quarentena. E no caso dos arquivos terem sido enviados para a quarentena, depois de algumas semanas, se o seu computador estiver funcionando normalmente sem estes arquivos que foram para a quarentena, você pode ir na quarentena e excluí-los definitivamente.

______________________________________

:seta: Faça também uma atualização (update) do Spybot > faça uma verificação completa com ele e remova todos os problemas que ele encontrar.

_____________________________________

:seta: Siga também, por gentileza, as dicas deste tutorial para fazer uma limpeza de seu PC com o Malwarebytes:

'>http://dicasetutoriaisparapc.blogspot.com/2009/10/tutorial-do-malwarebytes-anti-malware.html"]Tutorial do Malwarebytes Anti-Malware

Na sua próxima resposta poste este log do Malwarebytes juntamente com um novo log do Hijackthis e nos diga como está o seu PC após estes procedimentos e se algum virus foi removido pelo Avast e pelo Spybot.

Ficamos no aguardo.

:seta: Abra o HijackThis, clique em Do a system scan only, marque a entrada abaixo e clique em Fix checked:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) ----->Já fiz isto.

:seta: Faça uma atualização (update) do seu antivirus Avast e faça o seguinte:

Atualizei o Avast! para a versão 4.8.1368 Home. (Build Sep 2009). O VPS é de 19/01/2010, versão 100119-0. Fiz o que mandou, mas ainda no início do escaneamento no boot, com 0% escaneados, o PC desligou e só ligou de novo na 8ª tentativa.

______________________________________

:seta: Faça também uma atualização (update) do Spybot > faça uma verificação completa com ele e remova todos os problemas que ele encontrar.

Já fiz (Spybot - Search & Destroy Version 1.6.2.0/ System Settings Protector 1.6.6.32) e removi os problemas que ele encontrou. Não era nenhuma ameaça, só coisas em cor verde (não-ameaças).

:seta: Siga também, por gentileza, as dicas deste tutorial para fazer uma limpeza de seu PC com o Malwarebytes:

Segue o log do MBAM:

Malwarebytes' Anti-Malware 1.44

Versão do banco de dados: 3599

Windows 6.0.6000

Internet Explorer 8.0.6001.18865

19/01/2010 18:29:51

mbam-log-2010-01-19 (18-29-51).txt

Tipo de Verificação: Completa (C:\|)

Objetos verificados: 191646

Tempo decorrido: 1 hour(s), 6 minute(s), 8 second(s)

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 0

Ítens do Registro infectados: 0

Pastas infectadas: 0

Arquivos infectados: 0

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

Valores do Registro infectados:

(Nenhum ítem malicioso foi detectado)

Ítens do Registro infectados:

(Nenhum ítem malicioso foi detectado)

Pastas infectadas:

(Nenhum ítem malicioso foi detectado)

Arquivos infectados:

(Nenhum ítem malicioso foi detectado)

O que é muito estranho, pois abre toda hora rundll32.exe, sem abrir janela alguma e abre também toda hora o SearchProtocol.exe. Apareceu um arquivo chamado WindowsUpdate.log e não consigo excluí-lo (apesar de ele não existir antes). Diz na hora de excluir que não tenho permissão. Ele registra as atividades do Windows Update (wuauclt.exe) e parece estar ligado a ele.

Apareceu enquanto eu estava no orkut, uma notificação vazia (que tinha desaparecido há uns 15 dias). Ela aparece do nada e some do nada. Segue o link do ImageShack.us (640x480):

/applications/core/interface/imageproxy/imageproxy.php?img=http://img46.imageshack.us/img46/6973/notificaovazia2.jpg&key=3ff0a25baa456c7efd3805df6877207365f5cef423db826d5e2d7b4944f0396f" alt="notificaovazia2.jpg" />

Às vezes, enquanto navego, o navegador fica carregando (como se fosse carregar um item, imagem ou página), sem abrir nada, como por exemplo, hoje quando acessei meu orkut.

Segue o log do HijackThisThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:01:51, on 19/01/2010

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v8.00 (8.00.6001.18865)

Boot mode: Normal

Running processes:

C:\Windows\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Windows\System32\VTTimer.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\wuauclt.exe

C:\Windows\system32\SearchFilterHost.exe

C:\HijackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O2 - BHO: DAPIELoader Class - {FF6C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\DAP\DAPIEL~1.DLL

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [EPSON Stylus C79 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIBGL.EXE /FU "C:\Windows\TEMP\E_SDB42.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [speedBitVideoAccelerator] C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O13 - Gopher Prefix:

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/pt/uno1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe

--

End of file - 6591 bytes

Aguardo URGENTEMENTE resposta, pois desejo ficar livre deste vírus o mais rápido possível.

Agradeço grandemente a atenção, paciência e compreensão a mim prestadas.

Aguardo resposta o mais URGENTE possível.

Abraço,

Grato desde já,

Sem mais,

Alfa77.

:seta: Siga, por gentileza, as dicas deste tutorial:

Tutorial do Norman Malware Cleaner

Na sua próxima resposta poste o conteúdo do log do Norman Malware Cleaner juntamente com um novo log do Hijackthis e nos diga como está o seu PC depois disto.

Ficamos na espera.

Norman Malware Cleaner

Version 1.6.2

Copyright © 1990 - 2009, Norman ASA. Built 2010/01/21 07:34:59

Norman Scanner Engine Version: 6.04.03

Nvcbin.def Version: 6.04.00, Date: 2010/01/21 07:34:59, Variants: 4788023

Scan started: 21/01/2010 20:57:15

Running pre-scan cleanup routine:

Operating System: Microsoft Windows Vista 6.0.6000

Logged on user: PCCasa\Anthony Charles

Scanning bootsectors...

Number of sectors found: 0

Number of sectors scanned: 0

Number of sectors not scanned: 0

Number of infections found: 0

Number of infections removed: 0

Total scanning time: 0s 60ms

Scanning running processes and process memory...

Number of processes/threads found: 4701

Number of processes/threads scanned: 4701

Number of processes/threads not scanned: 0

Number of infected processes/threads terminated: 0

Total scanning time: 10m 44s

Scanning file system...

Scanning: prescan

Scanning: C:\.

C:\Program Files\Nero\Nero8\Nero BackItUp\BackItUp_ImageTool\root.img/root.img (Error whilst scanning file: I/O Error (0x0022000A))

C:\Program Files\Nero\Nero8\Nero BackItUp\BackItUp_ImageTool\root.img (Possible archive bomb)

C:\Users\Anthony Charles\Desktop\PenClean.exe (Infected with W32/Banker.ELLD)

Deleted file

C:\Windows\System32\drivers\uti3nzc0.sys (Infected with W32/Bagle.GEX)

Removed driver: uti3nzc0

Deleted file

C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl (Error opening file: Access denied)

 

C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl (Error opening file: Access denied)

 

C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl (Error opening file: Access denied)

 

C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl (Error opening file: Access denied)

 

C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession.etl (Error opening file: Access denied)

 

Por que acesso negado a estes 4 arquivos???

Scanning: C:\System Volume Information\.

Scanning: postscan

Running post-scan cleanup routine:

Set TCP/IP autotuning to "normal" (or it was already "normal")

Number of files found: 160120

Number of archives unpacked: 812

Number of files scanned: 160084

Number of files not scanned: 36

Number of files skipped due to exclude list: 0

Number of infected files found: 3

Number of infected files repaired/deleted: 2

Number of infections removed: 2

Total scanning time: 2h 10m 58s

Segue o log do HijackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:31:40, on 22/01/2010

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v8.00 (8.00.6001.18865)

Boot mode: Normal

Running processes:

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Windows\System32\VTTimer.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe

C:\Windows\explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\wuauclt.exe

C:\Windows\system32\taskeng.exe

C:\HijackThis\HiJackThis.exe

C:\Windows\System32\mspaint.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O2 - BHO: DAPIELoader Class - {FF6C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\DAP\DAPIEL~1.DLL

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [EPSON Stylus C79 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIBGL.EXE /FU "C:\Windows\TEMP\E_SDB42.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [speedBitVideoAccelerator] C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O13 - Gopher Prefix:

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/pt/uno1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe

--

End of file - 6615 bytes

Estes erros desapareceram: (PrintScreen - ImageShack.us em 640x480):

http://img194.imageshack.us/img194/6973/notificaovazia2.jpg

http://img718.imageshack.us/img718/6828/nmc2.jpg

http://img716.imageshack.us/img716/4662/nmc.jpg

http://img218.imageshack.us/img218/1989/menuiniciarbiruta.jpg

http://img696.imageshack.us/img696/8454/errousarseguranaaprimor.jpg

http://img194.imageshack.us/img194/6007/erronoterramail.jpg

http://img30.imageshack.us/img30/4760/errologinseguranapadrol.jpg

http://img30.imageshack.us/g/errologinseguranapadrol.jpg/

Agradeço grandemente a atenção, compreensão e paciência a mim prestados.

Valeu mesmo!

Aguardo resposta URGENTE,

Profundamente Grato,

Alfa77.

:) Alguns problemas foram removidos pelo Norman.

__________________________________

Por que acesso negado a estes 4 arquivos???

Isto acontece mesmo às vezes. Normalmente quando se faz o escaneamento no '>http://dicasetutoriaisparapc.blogspot.com/2009/11/ferramentas-para-reparar-o-modo-seguro.html"]Modo Seguro do Windows o Norman consegue escanear e remover (quando for o caso) estes itens que tiveram o acesso negado.

___________________________________

:seta: Siga, por gentileza, as dicas deste tutorial para fazer uma limpeza de seu PC com o Findykill:

'>http://dicasetutoriaisparapc.blogspot.com/2009/08/tutorial-do-findykill.html"]Tutorial do Findykill

O log do Findykill estará em C:\FindyKill.txt.

___________________________________

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

Faça o download do ComboFix

Salve-o no Desktop (área de trabalho).

* Desabilite as proteções residente de: antivírus, antispywares e firewall ( menos o do Windows! )

* Feche todas as janelas e execute a ferramenta.

* Ps: A execução, por comando, também é possível:

* Vá em Iniciar --> Executar --> Digite ou cole:

"%userprofile%\desktop\Combofix.exe" /killall

/applications/core/interface/imageproxy/imageproxy.php?img=http://img181.imageshack.us/img181/5825/combofixejr8.gif&key=0d882a59a7a65b06e1b50e837804afc9002b25433ef74e0c3f66f43a58058f7b" alt="combofixejr8.gif" />

* Clique em Ok.

* Na solicitação: "Negação de garantia de software" --> Clique em Sim.

/applications/core/interface/imageproxy/imageproxy.php?img=http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif&key=0010234c6eff8b98a829fe5910d3fd47cc8c551f0c1836fc4748c11079a71d03" alt="RcAuto1.gif" />

* Não possuindo o "'>http://support.microsoft.com/kb/307654/pt-br"]Console de Recuperação",aceite optar pela instalação do mesmo.

* Terminando,clique Sim ou Yes. --> Aguarde.

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

:!: Caso aconteça a notificação de: Aplicativo Win32 inválido ou alguma mensagem parecida com esta, delete a ferramenta ComboFix.exe e faça, novamente, seu download.

* Salve-a no Desktop,renomeada como: Kombo.exe

* Ps: Nomeie durante o salvamento,e não após salvá-la!

* Ps: Surgindo alguma mensagem de erro, rode o ComboFix.exe em "'>http://dicasetutoriaisparapc.blogspot.com/2009/11/ferramentas-para-reparar-o-modo-seguro.html"]Modo Seguro". <-- Link!

* Ps: Na presença de atividades rootkit,teremos a seguinte janela de notificação:

/applications/core/interface/imageproxy/imageproxy.php?img=http://img.photobucket.com/albums/v666/sUBs/Rookit_found.gif&key=eb1b849776e4208479b15adbf0e86845810495533720ff18c63647e4d0943f29" alt="Rookit_found.gif" />

* Ps: Anote essas detecções, e dê o OK. Neste caso poste estas detecções que você terá anotado em sua próxima resposta juntamente com os logs pedidos.

* Ps: Para completar as remoções, talvez haja necessidade da ferramenta reiniciar o computador. <-- Aguarde!

* Ps: Para evitar problemas, siga todas as recomendações propostas.

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

* Abrir-se-á a janela Auto Scan. --> Aguarde!

* Para finalizar remoções, o ComboFix poderá reiniciar o computador.

* Se houver necessidade, digite a opção ( 1 ) --> Aperte Enter! --> Aguarde a conclusão!

* Durante o scan, evite manusear o mouse ou teclado! <-- Importante!

* Caso, por algum motivo de força maior, precise parar ou sair do ComboFix,tecle "N" ou "2" --> Aperte Enter.

<><><><><><><><><><><><>

Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com o log que estará em C:\FindyKill.txt e um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC depois disto.

Ficamos no aguardo.

Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com o log que estará em C:\FindyKill.txt (Este log sumiu!!!) e um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC depois disto.

Ficamos no aguardo.

Seguem os logs:

ComboFix 10-01-29.05 - Anthony Charles 29/01/2010 23:38:55.1.1 - x86

Microsoft® Windows Vista™ Starter 6.0.6000.0.1252.55.1046.18.446.150 [GMT -2:00]

Executando de: c:\users\Anthony Charles\Desktop\ComboFix.exe

AV: avast! antivirus 4.8.1368 [VPS 100129-1] On-access scanning disabled (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

SP: avast! antivirus 4.8.1368 [VPS 100129-1] disabled (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

SP: Spybot - Search and Destroy disabled (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}

SP: Windows Defender enabled (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\$recycle.bin\S-1-5-21-2910466638-3441421308-3930598225-500

c:\$recycle.bin\S-1-5-21-958044304-2991863760-2350216972-500

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-12-28 to 2010-01-30 ))))))))))))))))))))))))))))

.

2010-01-29 22:20 . 2010-01-30 01:29 -------- d-----w- C:\FyK

2010-01-29 21:48 . 2010-01-29 21:52 -------- d-----w- c:\programdata\NOS

2010-01-29 21:48 . 2010-01-29 21:48 -------- d-----w- c:\program files\NOS

2010-01-19 20:58 . 2010-01-22 03:30 -------- d-----w- C:\HijackThis

2010-01-18 23:33 . 2010-01-18 23:33 5115824 ----a-w- c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

2010-01-03 01:41 . 2010-01-03 16:06 -------- d-----w- c:\programdata\Kaspersky Lab

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-19 19:01 . 2009-07-13 21:02 -------- d-----w- c:\programdata\Spybot - Search & Destroy

2010-01-18 23:33 . 2009-07-20 18:26 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-01-14 13:12 . 2009-10-03 04:40 181120 ------w- c:\windows\system32\MpSigStub.exe

2010-01-07 18:07 . 2009-07-20 18:26 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-01-07 18:07 . 2009-07-20 18:26 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-12-31 19:01 . 2009-07-13 21:02 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-12-30 17:42 . 2009-12-30 17:42 -------- d-----w- c:\program files\Realtek AC97

2009-12-30 17:41 . 2009-07-13 19:10 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-12-30 17:16 . 2009-12-30 17:16 -------- d-----w- c:\users\Anthony Charles\AppData\Roaming\DeviceDoctorSoftware

2009-12-30 17:15 . 2009-12-30 17:15 -------- d-----w- c:\program files\Device Doctor

2009-12-28 02:24 . 2009-12-28 02:23 -------- d-----w- c:\program files\Speccy

2009-12-20 13:11 . 2009-07-13 19:45 -------- d-----w- c:\users\Anthony Charles\AppData\Roaming\uTorrent

2009-12-05 01:34 . 2009-07-13 22:41 -------- d-----w- c:\program files\Glary Utilities

2009-12-02 00:33 . 2006-11-06 01:33 79038 ----a-w- c:\windows\system32\prfc0416.dat

2009-12-02 00:33 . 2006-11-06 01:33 480674 ----a-w- c:\windows\system32\prfh0416.dat

2009-12-01 22:43 . 2009-10-13 18:59 -------- d-----w- c:\program files\Microsoft Silverlight

2009-12-01 22:28 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail

2009-12-01 22:22 . 2009-07-13 21:52 -------- d-----w- c:\programdata\Microsoft Help

2009-12-01 19:40 . 2009-12-01 19:40 -------- d-----w- c:\program files\MSXML 4.0

2009-11-24 23:54 . 2009-07-13 19:05 1280480 ----a-w- c:\windows\system32\aswBoot.exe

2009-11-24 23:50 . 2009-07-14 03:17 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys

2009-11-24 23:50 . 2009-07-14 03:17 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2009-11-24 23:49 . 2009-07-13 19:05 53328 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys

2009-11-24 23:49 . 2009-07-13 19:05 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2009-11-24 23:48 . 2009-07-13 19:06 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2009-11-24 23:47 . 2009-07-13 19:05 97480 ----a-w- c:\windows\system32\AvastSS.scr

2009-11-21 06:40 . 2009-12-29 17:51 916480 ----a-w- c:\windows\system32\wininet.dll

2009-11-21 06:34 . 2009-12-29 17:51 109056 ----a-w- c:\windows\system32\iesysprep.dll

2009-11-21 06:34 . 2009-12-29 17:51 71680 ----a-w- c:\windows\system32\iesetup.dll

2009-11-21 04:59 . 2009-12-29 17:51 133632 ----a-w- c:\windows\system32\ieUnatt.exe

2004-10-01 18:00 . 2009-07-23 03:17 40960 ----a-w- c:\program files\Uninstall_CDS.exe

2009-08-09 03:11 . 2009-07-21 19:40 11229216 --sha-w- c:\windows\System32\drivers\fidbox.dat

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

Nota entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FF6C3CF0-4B15-11D1-ABED-709549C10000}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

"SpeedBitVideoAccelerator"="c:\program files\SpeedBit Video Accelerator\VideoAccelerator.exe" [2009-07-20 1443432]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

"VTTimer"="VTTimer.exe" [2005-03-07 53248]

"VTTrayp"="VTtrayp.exe" [2005-10-31 163840]

"SoundMan"="SOUNDMAN.EXE" [2007-03-09 598016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"UacDisableNotify"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoDFSTab"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoDFSTab"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" -osboot

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [14/07/2009 01:17 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [14/07/2009 01:17 20560]

R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [13/07/2009 17:05 53328]

S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\System32\drivers\b57nd60x.sys [02/11/2006 08:25 167936]

S3 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [13/10/2009 16:58 54632]

S3 fsssvc;Serviço Windows Live Proteção para a Família;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 23:48 704864]

S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\System32\drivers\nmwcdnsu.sys [19/03/2009 15:48 136704]

--- =Outros Serviços/Drivers Na Memória ---

NewlyCreated - NATIVEWIFIP

NewlyCreated - NDISUIO

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

getPlusHelper REG_MULTI_SZ getPlusHelper

.

Conteúdo da pasta 'Tarefas Agendadas'

2010-01-30 c:\windows\Tasks\GlaryInitialize.job

• c:\program files\Glary Utilities\initialize.exe [2009-07-13 16:22]

2010-01-30 c:\windows\Tasks\User_Feed_Synchronization-{DC4D74CA-34B4-495F-A66E-8E3F37A55690}.job

• c:\windows\system32\msfeedssync.exe [2009-12-29 04:59]

.

.

------- Scan Suplementar -------

.

IE: &Clean Traces - c:\program files\DAP\Privacy Package\dapcleanerie.htm

IE: &Download with &DAP - c:\program files\DAP\dapextie.htm

IE: Download &all with DAP - c:\program files\DAP\dapextie2.htm

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

LSP: c:\progra~1\SPEEDB~1\sblsp.dll

Name-Space Handler: FTP\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll

Name-Space Handler: HTTP\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll

FF - ProfilePath - c:\users\Anthony Charles\AppData\Roaming\Mozilla\Firefox\Profiles\2gsrjye7.default\

FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157

FF - component: c:\program files\DAP\DAPFireFox\components\DAPFireFox.dll

FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX POLICIES ----

c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

• - - - ORFÃOS REMOVIDOS - - - -

AddRemove-HijackThis - C:\HijackThis.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-29 23:53

Windows 6.0.6000 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

• - - - - - - > 'lsass.exe'(532)

c:\progra~1\SPEEDB~1\sblsp.dll

c:\program files\SpeedBit Video Accelerator\ConfigDB.dll

c:\program files\SpeedBit Video Accelerator\Accelerator.dll

c:\program files\SpeedBit Video Accelerator\CommPipe.dll

c:\program files\SpeedBit Video Accelerator\Collector.dll

.

Tempo para conclusão: 2010-01-30 00:00:38

ComboFix-quarantined-files.txt 2010-01-30 02:00

Pré-execução: 56.262.291.456 bytes disponíveis

Pós execução: 56.347.258.880 bytes disponíveis

• - End Of File - - 8B55E41085BBAB513CF696F4D5BD43E5

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:07:06, on 30/01/2010

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v8.00 (8.00.6001.18865)

Boot mode: Normal

Running processes:

C:\Windows\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Windows\System32\VTTimer.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\wuauclt.exe

C:\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O2 - BHO: DAPIELoader Class - {FF6C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\DAP\DAPIEL~1.DLL

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [speedBitVideoAccelerator] C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe

--

End of file - 5807 bytes

Como posso recuperar o log do FindyKill??? Estou pensando em fazer um scan com o Norman em Modo Seguro para remover estes arquivos:

C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl (Error opening file: Access denied)

C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl (Error opening file: Access denied)

C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl (Error opening file: Access denied)

C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl (Error opening file: Access denied)

C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession.etl (Error opening file: Access denied)

Devo fazê-lo?

Porque o Avast! não bloqueou o site infectado? Devo mudar de antivirus?

O PC desligou duas vezes após a reinicialização pedida pelo FindyKill.

Após o scan, desliguei o PC. Quando o reiniciei hoje, o log do FindyKill sumiu. (Acho que o ComboFix excluiu o log do FindyKill...)

POST EDITADO! -------->Seguem PrintScreens no ImageShack.us em 640x480 do que aconteceu na pasta C:\ após os scans:

http://img12.imageshack.us/img12/6678/afterfykandcombofix2.jpg

http://img502.imageshack.us/img502/9217/afterfykandcombofix.jpg

http://img10.imageshack.us/img10/6678/afterfykandcombofix2.jpg

http://img94.imageshack.us/img94/9217/afterfykandcombofix.jpg

Leia, por favor, as caixas de texto das imagens para entender o que ocorreu...

Preciso remover a pasta autorun.inf e seu arquivo, pois é do PenClean.exe, que estava infectado:

C:\Users\Anthony Charles\Desktop\PenClean.exe (Infected with W32/Banker.ELLD)

Deleted file

E não consigo excluí-los ou ''shred'' a pasta e o arquivo (fragmentá-los ou destruí-los completamente com um File Shredder).<------- POST EDITADO!

Aguardo resposta URGENTE!

Agradeço grandemente e novamente a compreensão, dedicação, paciência e o PRECIOSO TEMPO a mim prestados...

Abraço,

Alfa77 :joia: :clap: :lol:

>
Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com o log que estará em C:\FindyKill.txt (Este log sumiu!!!) e um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC depois disto.

Ficamos no aguardo.

Seguem os logs:

ComboFix 10-01-29.05 - Anthony Charles 29/01/2010 23:38:55.1.1 - x86

Microsoft® Windows Vista™ Starter 6.0.6000.0.1252.55.1046.18.446.150 [GMT -2:00]

Executando de: c:\users\Anthony Charles\Desktop\ComboFix.exe

AV: avast! antivirus 4.8.1368 [VPS 100129-1] On-access scanning disabled (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

SP: avast! antivirus 4.8.1368 [VPS 100129-1] disabled (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

SP: Spybot - Search and Destroy disabled (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}

SP: Windows Defender enabled (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\$recycle.bin\S-1-5-21-2910466638-3441421308-3930598225-500

c:\$recycle.bin\S-1-5-21-958044304-2991863760-2350216972-500

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-12-28 to 2010-01-30 ))))))))))))))))))))))))))))

.

2010-01-29 22:20 . 2010-01-30 01:29 -------- d-----w- C:\FyK

2010-01-29 21:48 . 2010-01-29 21:52 -------- d-----w- c:\programdata\NOS

2010-01-29 21:48 . 2010-01-29 21:48 -------- d-----w- c:\program files\NOS

2010-01-19 20:58 . 2010-01-22 03:30 -------- d-----w- C:\HijackThis

2010-01-18 23:33 . 2010-01-18 23:33 5115824 ----a-w- c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe

2010-01-03 01:41 . 2010-01-03 16:06 -------- d-----w- c:\programdata\Kaspersky Lab

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-19 19:01 . 2009-07-13 21:02 -------- d-----w- c:\programdata\Spybot - Search & Destroy

2010-01-18 23:33 . 2009-07-20 18:26 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-01-14 13:12 . 2009-10-03 04:40 181120 ------w- c:\windows\system32\MpSigStub.exe

2010-01-07 18:07 . 2009-07-20 18:26 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-01-07 18:07 . 2009-07-20 18:26 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-12-31 19:01 . 2009-07-13 21:02 -------- d-----w- c:\program files\Spybot - Search & Destroy

2009-12-30 17:42 . 2009-12-30 17:42 -------- d-----w- c:\program files\Realtek AC97

2009-12-30 17:41 . 2009-07-13 19:10 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-12-30 17:16 . 2009-12-30 17:16 -------- d-----w- c:\users\Anthony Charles\AppData\Roaming\DeviceDoctorSoftware

2009-12-30 17:15 . 2009-12-30 17:15 -------- d-----w- c:\program files\Device Doctor

2009-12-28 02:24 . 2009-12-28 02:23 -------- d-----w- c:\program files\Speccy

2009-12-20 13:11 . 2009-07-13 19:45 -------- d-----w- c:\users\Anthony Charles\AppData\Roaming\uTorrent

2009-12-05 01:34 . 2009-07-13 22:41 -------- d-----w- c:\program files\Glary Utilities

2009-12-02 00:33 . 2006-11-06 01:33 79038 ----a-w- c:\windows\system32\prfc0416.dat

2009-12-02 00:33 . 2006-11-06 01:33 480674 ----a-w- c:\windows\system32\prfh0416.dat

2009-12-01 22:43 . 2009-10-13 18:59 -------- d-----w- c:\program files\Microsoft Silverlight

2009-12-01 22:28 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail

2009-12-01 22:22 . 2009-07-13 21:52 -------- d-----w- c:\programdata\Microsoft Help

2009-12-01 19:40 . 2009-12-01 19:40 -------- d-----w- c:\program files\MSXML 4.0

2009-11-24 23:54 . 2009-07-13 19:05 1280480 ----a-w- c:\windows\system32\aswBoot.exe

2009-11-24 23:50 . 2009-07-14 03:17 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys

2009-11-24 23:50 . 2009-07-14 03:17 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2009-11-24 23:49 . 2009-07-13 19:05 53328 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys

2009-11-24 23:49 . 2009-07-13 19:05 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2009-11-24 23:48 . 2009-07-13 19:06 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2009-11-24 23:47 . 2009-07-13 19:05 97480 ----a-w- c:\windows\system32\AvastSS.scr

2009-11-21 06:40 . 2009-12-29 17:51 916480 ----a-w- c:\windows\system32\wininet.dll

2009-11-21 06:34 . 2009-12-29 17:51 109056 ----a-w- c:\windows\system32\iesysprep.dll

2009-11-21 06:34 . 2009-12-29 17:51 71680 ----a-w- c:\windows\system32\iesetup.dll

2009-11-21 04:59 . 2009-12-29 17:51 133632 ----a-w- c:\windows\system32\ieUnatt.exe

2004-10-01 18:00 . 2009-07-23 03:17 40960 ----a-w- c:\program files\Uninstall_CDS.exe

2009-08-09 03:11 . 2009-07-21 19:40 11229216 --sha-w- c:\windows\System32\drivers\fidbox.dat

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

Nota entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FF6C3CF0-4B15-11D1-ABED-709549C10000}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

"SpeedBitVideoAccelerator"="c:\program files\SpeedBit Video Accelerator\VideoAccelerator.exe" [2009-07-20 1443432]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

"VTTimer"="VTTimer.exe" [2005-03-07 53248]

"VTTrayp"="VTtrayp.exe" [2005-10-31 163840]

"SoundMan"="SOUNDMAN.EXE" [2007-03-09 598016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"UacDisableNotify"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoDFSTab"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoDFSTab"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" -osboot

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [14/07/2009 01:17 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [14/07/2009 01:17 20560]

R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [13/07/2009 17:05 53328]

S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\System32\drivers\b57nd60x.sys [02/11/2006 08:25 167936]

S3 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [13/10/2009 16:58 54632]

S3 fsssvc;Serviço Windows Live Proteção para a Família;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 23:48 704864]

S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\System32\drivers\nmwcdnsu.sys [19/03/2009 15:48 136704]

--- =Outros Serviços/Drivers Na Memória ---

NewlyCreated - NATIVEWIFIP

NewlyCreated - NDISUIO

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

getPlusHelper REG_MULTI_SZ getPlusHelper

.

Conteúdo da pasta 'Tarefas Agendadas'

2010-01-30 c:\windows\Tasks\GlaryInitialize.job

• c:\program files\Glary Utilities\initialize.exe [2009-07-13 16:22]

2010-01-30 c:\windows\Tasks\User_Feed_Synchronization-{DC4D74CA-34B4-495F-A66E-8E3F37A55690}.job

• c:\windows\system32\msfeedssync.exe [2009-12-29 04:59]

.

.

------- Scan Suplementar -------

.

IE: &Clean Traces - c:\program files\DAP\Privacy Package\dapcleanerie.htm

IE: &Download with &DAP - c:\program files\DAP\dapextie.htm

IE: Download &all with DAP - c:\program files\DAP\dapextie2.htm

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

LSP: c:\progra~1\SPEEDB~1\sblsp.dll

Name-Space Handler: FTP\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll

Name-Space Handler: HTTP\ZDA - {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} - c:\progra~1\DAP\dapie.dll

FF - ProfilePath - c:\users\Anthony Charles\AppData\Roaming\Mozilla\Firefox\Profiles\2gsrjye7.default\

FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157

FF - component: c:\program files\DAP\DAPFireFox\components\DAPFireFox.dll

FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX POLICIES ----

c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

• - - - ORFÃOS REMOVIDOS - - - -

AddRemove-HijackThis - C:\HijackThis.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-29 23:53

Windows 6.0.6000 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

• - - - - - - > 'lsass.exe'(532)

c:\progra~1\SPEEDB~1\sblsp.dll

c:\program files\SpeedBit Video Accelerator\ConfigDB.dll

c:\program files\SpeedBit Video Accelerator\Accelerator.dll

c:\program files\SpeedBit Video Accelerator\CommPipe.dll

c:\program files\SpeedBit Video Accelerator\Collector.dll

.

Tempo para conclusão: 2010-01-30 00:00:38

ComboFix-quarantined-files.txt 2010-01-30 02:00

Pré-execução: 56.262.291.456 bytes disponíveis

Pós execução: 56.347.258.880 bytes disponíveis

• - End Of File - - 8B55E41085BBAB513CF696F4D5BD43E5

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:07:06, on 30/01/2010

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v8.00 (8.00.6001.18865)

Boot mode: Normal

Running processes:

C:\Windows\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Windows\System32\VTTimer.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\wuauclt.exe

C:\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O2 - BHO: DAPIELoader Class - {FF6C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\DAP\DAPIEL~1.DLL

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [speedBitVideoAccelerator] C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O10 - Unknown file in Winsock LSP: c:\progra~1\speedb~1\sblsp.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe

--

End of file - 5807 bytes

Como posso recuperar o log do FindyKill??? Estou pensando em fazer um scan com o Norman em Modo Seguro para remover estes arquivos:

C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl (Error opening file: Access denied)

C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl (Error opening file: Access denied)

C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl (Error opening file: Access denied)

C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl (Error opening file: Access denied)

C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession.etl (Error opening file: Access denied)

Devo fazê-lo?

Porque o Avast! não bloqueou o site infectado? Devo mudar de antivirus?

O PC desligou duas vezes após a reinicialização pedida pelo FindyKill.

Após o scan, desliguei o PC. Quando o reiniciei hoje, o log do FindyKill sumiu. (Acho que o ComboFix excluiu o log do FindyKill...)

POST EDITADO! -------->Seguem PrintScreens no ImageShack.us em 640x480 do que aconteceu na pasta C:\ e de como está o Desktop após os scans:

http://img12.imageshack.us/img12/6678/afterfykandcombofix2.jpg

http://img502.imageshack.us/img502/9217/afterfykandcombofix.jpg

http://img10.imageshack.us/img10/6678/afterfykandcombofix2.jpg

http://img94.imageshack.us/img94/9217/afterfykandcombofix.jpg

/applications/core/interface/imageproxy/imageproxy.php?img=http://img4.imageshack.us/img4/250/desktopixg.th.jpg&key=8cb9c9717de84b8897fb1d266fa32a1d5f71ae3fb3016710aca5e3fe287c9efe" alt="desktopixg.th.jpg" />

Leia, por favor, as caixas de texto das imagens para entender o que ocorreu...

Preciso remover a pasta autorun.inf e seu arquivo, pois é do PenClean.exe, que estava infectado:

C:\Users\Anthony Charles\Desktop\PenClean.exe (Infected with W32/Banker.ELLD)

Deleted file

E não consigo excluí-los ou ''shred'' a pasta e o arquivo (fragmentá-los ou destruí-los completamente com um File Shredder).

Não consigo desinstalar o FindyKill!!! A tecla é a 4 + Enter e não 5 + Enter como está no turotial!!! E agora? Como desinstalá-lo???<------- POST EDITADO!

Aguardo resposta URGENTE!

Agradeço grandemente e novamente a compreensão, dedicação, paciência e o PRECIOSO TEMPO a mim prestados...

Abraço,

Alfa77 :joia: :clap: :lol:

Olá!

Apareceram alguns arquivos esquisitos na minha pasta C:Windows. (Tenho Windows Vista Starter).

Seguem abaixo:

_default.pif (Comando do MS-DOS, linha de comando _DEFAULT.BAT)

bfsvc.exe

fveupdate.exe

grep.exe

MBR.exe

NIRCMD.exe

PEV.exe (Exige controle de Conta de Usuário para abrir)

twain.dll

twain_32.dll

twunk_16.exe

twunk_32.exe

sed.exe

SWREG.exe

SWSC.exe

SWXCACLS.exe

WindowsUpdate.log

winhelp.exe

WmPrfESP.prx

WMSysPr9.prx

zip.exe

Além disso, há novas pastas na pasta C:Windows:

ERDNT

Minidump(Vazia)

nap

twain_32

Será que são do ComboFix, do FindyKill ou outro(s) malware(s)/spyware(s)/rootkit(s)/adware(s)/vírus???

Aguardo resposta URGENTE e agradeço desde já...

Abraço,

Alfa77

PS: Perdoe 3 posts seguidos, é que deu erro no nnavegador na hora de editar o primeiro, por isso surgiram 3.

Desculpem-me!

Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com o log que estará em C:\FindyKill.txt (Este log sumiu!!!)

:seta: Faça então novamente, por gentileza, o procedimento de execução do Findykill e poste o log dele para que possamos analizá-lo.

__________________________________

:seta: Faça também uma verificação completa com o Norman Malware Cleaner no Modo seguro e poste o log dele.

__________________________________

:seta: Siga também as dicas destes tutoriais:

Tutorial do Spyware Doctor Starter Edition

'>http://dicasetutoriaisparapc.blogspot.com/2009/10/tutorial-do-usbfix.html"]Tutorial do USBFix

Tutorial do antivirus Nod32 Online

Poste o log do Usbfix que estará em C:\UsbFix.txt em sua próxima resposta juntamente com um novo log do Hijackthis , o log que estará em C:\Arquivos de programas\Eset\Eset Online Scanner\log.txt e o log do Norman Malware Cleaner realizado no Modo Seguro e nos diga como está o PC após estes procedimentos.

Ficamos no aguardo.

>

Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com o log que estará em C:\FindyKill.txt (Este log sumiu!!!)

:seta: Faça então novamente, por gentileza, o procedimento de execução do Findykill e poste o log dele para que possamos analizá-lo.

__________________________________

:seta: Faça também uma verificação completa com o Norman Malware Cleaner no Modo seguro e poste o log dele.

__________________________________

:seta: Siga também as dicas destes tutoriais:

Tutorial do Spyware Doctor Starter Edition

'>http://dicasetutoriaisparapc.blogspot.com/2009/10/tutorial-do-usbfix.html"]Tutorial do USBFix

Tutorial do antivirus Nod32 Online

Poste o log do Usbfix que estará em C:\UsbFix.txt em sua próxima resposta juntamente com um novo log do Hijackthis , o log que estará em C:\Arquivos de programas\Eset\Eset Online Scanner\log.txt e o log do Norman Malware Cleaner realizado no Modo Seguro e nos diga como está o PC após estes procedimentos.

Ficamos no aguardo.

Ok, seguirei as instruções assim que puder, mas não hoje ou agora. Só poderei fazer isto entre 06/02 e 12/02. Pode ser ? Se não conseguir, posso fazer durante o Carnaval?

Não é preguiça, é que minhas aulas começaram e tenho aula integral 2x por semana, além das aulas de manhã...

Agradeço a sua compreensão, dedicação, tempo e paciência...

Farei os procedimentos (verificações) e postarei os logs o mais rápido possível...

Abraço,

Alfa77 :) :) :P :joia: :clap: :lol: ^_^ :P B) :D

Ok, seguirei as instruções assim que puder, mas não hoje ou agora. Só poderei fazer isto entre 06/02 e 12/02. Pode ser ? Se não conseguir, posso fazer durante o Carnaval? 

Não é preguiça, é que minhas aulas começaram e tenho aula integral 2x por semana, além das aulas de manhã...

Agradeço a sua compreensão, dedicação, tempo e paciência...

Farei os procedimentos (verificações) e postarei os logs o mais rápido possível...

:) Ok, ficamos na espera.

Estou fazendo a segunda verificação (a verificação completa), como o Spyware Doctor Starter Edition. Abri a Ajuda do programa e ela não quer fechar. Antes de iniciar desta vez, o PC ficou com a tela preta uns 20 a 30 segundos antes de aparcer o Desktop, até que este problema sumiu. Atualizei o banco de dadosa do Avast! e do Spybot(sem atualização recente disponível). Vou atualizar também o MBAM, o Norman e o Windows Defender. Devo continuar usando o Spybot depois de ter instalado o Spyware Doctor?

O UsbFix é para dispositivos USB. Os únicos que uso são uma Logitech QuickCam, a caixa de som e é só, apenas o meu celular além disso. Devo conectar meu celular na hora do scan com o UsbFix? Este procedimento pode danificá-lo (é um nokia 5220)?

Assim que acabar o scan com o Spyware Doctor, posto o log, faço o sacan com o nod32 online, como findykill, usbfix e o norman.

Aguardo resposta,

Alfa77 :!:

Tentei abrir o norman enquanto o ícone do Spyware Doctor estava aparecendo no system tray (barra de tarefas - canto direito). Não consegui. Tentei abrir várias vezes, apertei para abrir o taskmgr.exe várias vezes, Ctrl+Alt+del várias vezes e nada. O PC travou. Não aguentei esperar e desliguei-o. Depois disto, tentei reiniciá-lo 5 vezes e todas deram errado. Inicializei de novo agora, quando posto este tópico. Não posso usar Spyware Doctor e Norman Malware Cleaner juntos? Só queria atualizar o banco de dados do Norman...

Segue o log do Spyware Doctor:

PC Tools Spyware Doctor

Date

Status

16/02/2010 22:05:16:643

Serviço Iniciado

Aplicações de Serviço do Spyware Doctor iniciadas

16/02/2010 22:05:16:778

Mecanismo Antimalware

Configuração do mecanismo antimalware carregada com sucesso.

16/02/2010 22:06:20:491

Status do IntelliGuard

Todos os IntelliGuards foram Ativados

16/02/2010 22:07:38:135

Resultados do Immunizer

A seção do ActiveX foi imunizada. Itens 4430 processados.

16/02/2010 22:09:29:327

Verificação Iniciada

Tipo de Verificação - Intelli-Scan

16/02/2010 22:15:44:582

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow

16/02/2010 22:15:44:584

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, LastDir

16/02/2010 22:15:44:588

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs

16/02/2010 22:15:44:590

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, SnapShot

16/02/2010 22:15:44:666

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware

16/02/2010 22:15:45:45

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance

16/02/2010 22:15:45:50

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service

16/02/2010 22:15:45:53

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy

16/02/2010 22:15:45:56

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags

16/02/2010 22:15:45:67

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class

16/02/2010 22:15:45:71

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID

16/02/2010 22:15:45:75

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc

16/02/2010 22:15:45:81

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities

16/02/2010 22:15:45:86

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control

16/02/2010 22:15:45:88

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000

16/02/2010 22:15:45:92

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME

16/02/2010 22:15:45:404

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type

16/02/2010 22:15:45:406

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl

16/02/2010 22:15:45:408

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start

16/02/2010 22:15:45:423

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath

16/02/2010 22:15:45:439

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group

16/02/2010 22:15:45:445

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0

16/02/2010 22:15:45:448

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count

16/02/2010 22:15:45:450

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance

16/02/2010 22:15:45:451

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum

16/02/2010 22:15:45:453

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme

16/02/2010 22:16:07:755

Detectada uma infecção neste computador

Nome da Ameaça - Trojan.Generic

Tipo - Chave de Registro

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-2929138632-619709706-852962002-1000\Software\Wget

16/02/2010 22:31:44:94

Smart Update

O Smart Update determinou que o Spyware Doctor está atualizado

16/02/2010 22:32:25:746

Resultados do Immunizer

A seção do ActiveX foi imunizada. Nenhum item foi processado.

16/02/2010 22:33:27:671

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Pasta

Nível de Risco - Informações

Infecção - C:\ComboFix\

16/02/2010 22:33:46:670

Verificação Concluída

Tipo de Verificação - Intelli-Scan

Itens Processados - 205591

Ameaças Detectadas - 2

Infecções Detectadas - 28

Infecções Ignoradas - 0

16/02/2010 22:36:08:328

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Pasta

Nível de Risco - Informações

Infecção - C:\ComboFix\

16/02/2010 22:36:08:824

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme

16/02/2010 22:36:08:840

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum

16/02/2010 22:36:08:924

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance

16/02/2010 22:36:08:983

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count

16/02/2010 22:36:09:33

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0

16/02/2010 22:36:09:93

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group

16/02/2010 22:36:09:101

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath

16/02/2010 22:36:09:157

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start

16/02/2010 22:36:09:166

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl

16/02/2010 22:36:09:187

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type

16/02/2010 22:36:09:405

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME

16/02/2010 22:36:09:419

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000

16/02/2010 22:36:09:437

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control

16/02/2010 22:36:09:458

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities

16/02/2010 22:36:09:486

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc

16/02/2010 22:36:09:501

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID

16/02/2010 22:36:09:525

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class

16/02/2010 22:36:09:609

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags

16/02/2010 22:36:09:632

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy

16/02/2010 22:36:09:661

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service

16/02/2010 22:36:09:671

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance

16/02/2010 22:36:09:743

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware

16/02/2010 22:36:09:755

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, SnapShot

16/02/2010 22:36:09:765

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs

16/02/2010 22:36:09:775

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, LastDir

16/02/2010 22:36:09:783

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow

16/02/2010 22:36:10:273

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Pasta

Nível de Risco - Informações

Infecção - C:\ComboFix\

16/02/2010 22:36:10:456

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme

16/02/2010 22:36:10:480

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum

16/02/2010 22:36:10:506

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance

16/02/2010 22:36:10:506

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count

16/02/2010 22:36:10:507

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0

16/02/2010 22:36:10:519

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group

16/02/2010 22:36:10:519

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath

16/02/2010 22:36:10:520

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start

16/02/2010 22:36:10:520

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl

16/02/2010 22:36:10:521

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type

16/02/2010 22:36:10:537

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME

16/02/2010 22:36:10:551

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000

16/02/2010 22:36:10:552

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control

16/02/2010 22:36:10:552

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities

16/02/2010 22:36:10:553

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc

16/02/2010 22:36:10:553

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID

16/02/2010 22:36:10:573

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class

16/02/2010 22:36:10:573

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags

16/02/2010 22:36:10:573

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy

16/02/2010 22:36:10:574

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service

16/02/2010 22:36:10:574

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance

16/02/2010 22:36:10:608

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware

16/02/2010 22:36:10:609

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, SnapShot

16/02/2010 22:36:10:640

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs

16/02/2010 22:36:10:654

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, LastDir

16/02/2010 22:36:10:655

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow

16/02/2010 22:36:11:366

Infecção em quarentena

Nome da Ameaça - Trojan.Generic

Tipo - Chave de Registro

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-2929138632-619709706-852962002-1000\Software\Wget

16/02/2010 22:36:11:592

Infecção excluída

Nome da Ameaça - Trojan.Generic

Tipo - Chave de Registro

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-2929138632-619709706-852962002-1000\Software\Wget

16/02/2010 22:36:15:154

Resumo de Infecções em Quarentena/Removidas

Quarentena - 28

Falha na Quarentena - 0

Removido - 28

Falha na Remoção - 0

16/02/2010 22:39:05:671

Verificação Iniciada

Tipo de Verificação - Intelli-Scan

16/02/2010 22:42:59:414

Verificação Concluída

Tipo de Verificação - Intelli-Scan

Itens Processados - 0

Ameaças Detectadas - 0

Infecções Detectadas - 0

Infecções Ignoradas - 0

16/02/2010 22:44:22:807

Verificação Iniciada

Tipo de Verificação - Verificação Completa

16/02/2010 23:35:27:860

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Arquivo

Nível de Risco - Informações

Infecção - C:\Users\Anthony Charles\Desktop\ComboFix.exe

17/02/2010 00:31:43:883

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Arquivo

Nível de Risco - Informações

Infecção - C:\Windows\SWXCACLS.exe

17/02/2010 01:42:21:966

Verificação Concluída

Tipo de Verificação - Verificação Completa

Itens Processados - 354354

Ameaças Detectadas - 1

Infecções Detectadas - 2

Infecções Ignoradas - 0

17/02/2010 02:05:13:50

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Arquivo

Nível de Risco - Informações

Infecção - C:\Windows\SWXCACLS.exe

17/02/2010 02:05:17:689

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Arquivo

Nível de Risco - Informações

Infecção - C:\Users\Anthony Charles\Desktop\ComboFix.exe

17/02/2010 02:05:18:227

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Arquivo

Nível de Risco - Informações

Infecção - C:\Windows\SWXCACLS.exe

17/02/2010 02:05:18:881

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Arquivo

Nível de Risco - Informações

Infecção - C:\Users\Anthony Charles\Desktop\ComboFix.exe

17/02/2010 02:05:26:987

Resumo de Infecções em Quarentena/Removidas

Quarentena - 2

Falha na Quarentena - 0

Removido - 2

Falha na Remoção - 0

Post editado----->Ou aqui: http://www.4shared.com/file/223897742/7a67ff7e/log.html<---- Post editado!

Posso pôr no File Guard - Verifique o seguinte: Todos os arquivos e processos, nas Configs. Avançadas intelliguard para detectar produtos potencialmente indesejados? Posso excluir os arquivos (removê-los da quarentena)?

Aguardo resposta URGENTE...

Logo postarei os outros 4 logs....

Agradeço muitíssimo a atenção, compreensão, dedicação, paciência e o precioso TEMPO a mim dedicados...

Grato,

Alfa77 :) :)

Acho que deu erro no scan com nod32 online. Dizia que deu erro ao abrir o arquivo de idioma e não aparecia letra nenhuma. Então, fechei e executei o ESETSmartInstaller na pasta c:/programfiles/ESET/ESET Online Scanner.

Funcionou perfeitamente, mas (e) não encontrou nenhuma ameaça...

Segue o log:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner64.ocx - copy file error :o sistema não pode encontrar o arquivo especificado.

OnlineScannerApp.exe - copy file error :o sistema não pode encontrar o arquivo especificado.

OnlineScannerLang.dll - copy file error :o sistema não pode encontrar o arquivo especificado. POST EDITADO!----> (Este era o único arquivo que realmente não estava na pasta, o arquivo de idioma.)<-----POST EDITADO!

OnlineScannerUninstaller.exe - copy file error :o sistema não pode encontrar o arquivo especificado.

unicows.dll - copy file error :o sistema não pode encontrar o arquivo especificado.

OnlineScanner.ocx - registred OK

ESETSmartInstaller@High as downloader log:

all ok

version=7

OnlineScannerApp.exe=1.0.0.1

OnlineScanner.ocx=1.0.0.6211

api_version=3.0.2

EOSSerial=2be0ac6935208e4d922b2ff910848d0a

end=finished

remove_checked=true

archives_checked=false

unwanted_checked=true

unsafe_checked=true

antistealth_checked=true

utc_time=2010-02-17 07:03:57

local_time=2010-02-17 05:03:57 (-0300, Horário brasileiro de verão)

country="Brazil"

lang=1046

osver=6.0.6000 NT

compatibility_mode=512 16777215 100 0 0 0 0 0

compatibility_mode=769 16775141 100 93 0 201804289 0 0

compatibility_mode=2560 16777215 100 0 0 0 0 0

compatibility_mode=5892 16776573 100 100 0 103038083 0 0

compatibility_mode=8192 67108863 100 0 0 0 0 0

scanned=99110

found=0

cleaned=0

scan_time=3117

POST EDITADO---->Posso desinstalar o ESET Online Scanner (não o desinstalei ainda...)?<----POST EDITADO!

Aguardo agradecido resposta URGENTE,

Abraço,

Alfa77. :clap:

Devo continuar usando o Spybot depois de ter instalado o Spyware Doctor?

Desculpe-me pela demora, é que estive muito atarefado nestes dias. Você pode continuar com os dois. Só que o Spyware Doctor, embora seja um programa muito bom, costuma deixar o PC mais lento. Sendo assim, sugiro que você deixe só o Spybot com a proteção residente ativada e deixe o Spyware Doctor só para fazer um escaneamento de tempos em tempos.

Para isto, clique com o botão do mouse sobre o ícone do Spyware Doctor na barra de tarefas (ao lado do relógio do Windows) e escolha a opção Sair. Aparecerá uma mensagem perguntando se você tem certeza de que deseja fechar o Spyware Doctor, clique em Ok.

Aí quando você quizer utilizar novamente o Spyware Doctor é só você ir no menu: Iniciar --> Todos os programas --> Spyware Doctor --> Spyware Doctor.

E depois de utilizá-lo basta você realizar o procedimento descrito acima para desativá-lo novamente.

___________________________________

O UsbFix é para dispositivos USB

:seta: O Usbfix também remove os virus e malwares que estejam no Pc. Use ele, por gentileza, seguindo as dicas daquele tutorial que te passei e poste o log dele para que possamos analizá-lo.

___________________________________

Tentei abrir o norman enquanto o ícone do Spyware Doctor estava aparecendo no system tray (barra de tarefas - canto direito). Não consegui.

:seta: É que o Spyware Doctor ocupa muito memória, então é importante usar eles um de cada vez. Faça por gentileza o escaneamento com o Norman Malware Cleaner no Modo Seguro e poste este novo log dele para que possamos analizar.

___________________________________

Posso desinstalar o ESET Online Scanner (não o desinstalei ainda...)

:seta: Pode desinstalar ele.

___________________________________

:seta: Na sua próxima resposta poste o log do Norman Malware Cleaner (feito no Modo Seguro) juntamente com o log do Usbfix e um novo log do Hijackthis e nos diga como está seu PC depois disto.

Ficamos na espera.

:seta: Na sua próxima resposta poste o log do Norman Malware Cleaner (feito no Modo Seguro) juntamente com o log do Usbfix e um novo log do Hijackthis e nos diga como está seu PC depois disto.

Ficamos na espera.

Tentei fazer um scan com o FindyKill e os arquivos do ComboFix reapareceram na pasta C:/Windows. É vírus?

EDITEI PORQUE ESTAVA DIGITADO ERRADO..

Grato,

abraço,

Alfa77

>
:seta: Na sua próxima resposta poste o log do Norman Malware Cleaner (feito no Modo Seguro) juntamente com o log do Usbfix e um novo log do Hijackthis e nos diga como está seu PC depois disto.

Ficamos na espera.

Tentei fazer um scan com o FindyKill e os arquivos do ComboFix reapareceram na pasta C:/Windows. É vírus?

Abriu grep.exe, EchoX.exe e PING.EXE (ouvi falr que é pra ver sobre conexão de rede, velocidade, etc.). E um verclsid.exe que fechou rapidamente quando abri o taskmgr.exe.

Será que o FindyKill foi infectado por vírus? (Executei-o porque você tinha pedido faz tempo e não o tinha feito. Agora só vou escanear com o USBFix e o Norman, fazer o log do Hijack e acabou... Cansei deste (s) vírus! Será que desta vez consigo removê-los todos para nunca mais voltarem???)

EDITEI PORQUE ESTAVA DIGITADO ERRADO..

Grato,

abraço,

Alfa77

Fiz o scan com o USBFix. Segue o log:

############################## | UsbFix V6.097 |

User : Anthony Charles (Administradores) # PCCASA

Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8

Start at: 16:48:42 | 27/02/2010

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

Intel® Pentium® 4 CPU 3.00GHz

Microsoft® Windows Vista™ Starter (6.0.6000 32-bit) #

Internet Explorer 8.0.6001.18865

Windows Firewall Status : Enabled

AV : avast! antivirus 4.8.1368 [VPS 100227-1] 4.8.1368 [ Enabled | Updated ]

C:\ -> Local Fixed Disk # 74,53 Go (52,14 Go free) # NTFS

D:\ -> CD-ROM Disc

E:\ -> Removable Disk

F:\ -> Removable Disk

G:\ -> Removable Disk

H:\ -> Removable Disk

I:\ -> CD-ROM Disc

############################## | Processos activos |

C:\Windows\System32\smss.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\wininit.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\winlogon.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\SLsvc.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Windows\system32\taskeng.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Windows\system32\svchost.exe

C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\SearchIndexer.exe

C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe

C:\Windows\system32\WUDFHost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Windows\system32\runonce.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\wbem\wmiprvse.exe

################## | Ficheiros # pastas infeciosos |

Supprimido ! C:\$Recycle.Bin\S-1-5-21-2929138632-619709706-852962002-1000

################## | Registro |

Supprimido ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

Supprimido ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |

################## | Listing |

[18/09/2006 18:43|--a------|24] C:\autoexec.bat

[02/11/2006 06:53|-rahs----|438840] C:\bootmgr

[13/07/2009 15:25|-ra-s----|8192] C:\BOOTSECT.BAK

[29/01/2010 23:00|--a------|10256] C:\ComboFix.txt

[18/09/2006 18:43|--a------|10] C:\config.sys

[27/02/2010 15:16|--a------|2714] C:\FyK.txt

[20/07/2009 17:12|-rahs----|0] C:\IO.SYS

[20/07/2009 17:12|-rahs----|0] C:\MSDOS.SYS

[?|?|?] C:\pagefile.sys

[27/02/2010 16:56|--a------|3147] C:\UsbFix.txt

################## | Vaccinação |

(!) Este computador não é vacinada!

################## | Upload |

Favor enviar o arquivo : C:\UsbFix_Upload_Me_PCCasa.zip : http://chiquitine.changelog.fr/Sample/Upload.php

Obrigado pela sua contribuição .

################## | ! Fim do relatório # UsbFix V6.097 ! |

Enviei o arquivo para o site. (Era o log, para o site do USBFix.) Porque o tópico de Postado 17 fevereiro 2010 - 16:18 aparece ''ESTE POSTS FOI EDITADO POR MÁRIO MONTEIRO???''. Antes desta inicialização não aparecia ou eu não reparei...

O ícone do avast não aparece, nem o do Spybot. (Esta é a 1ª inicialização após o scan com o USBFix. Antes dela, tinha tentado abrir o FindyKill, o PC o executou na 1ª reinicialização e desligou, na segunda, idem, na terceira escaneou com o USBFix e deu tudo certo. E a quarta, é esta em que te relato o ocorrido.

Será que hackearam meu login do IMaster e alterarm o que pus naquele log??? VocÊ já tinha lido até 18 de fevereiro?

O log verdadeiro é este (o do meu pc):

PC Tools Spyware Doctor

Date

Status

16/02/2010 22:05:16:643

Serviço Iniciado

Aplicações de Serviço do Spyware Doctor iniciadas

16/02/2010 22:05:16:778

Mecanismo Antimalware

Configuração do mecanismo antimalware carregada com sucesso.

16/02/2010 22:06:20:491

Status do IntelliGuard

Todos os IntelliGuards foram Ativados

16/02/2010 22:07:38:135

Resultados do Immunizer

A seção do ActiveX foi imunizada. Itens 4430 processados.

16/02/2010 22:09:29:327

Verificação Iniciada

Tipo de Verificação - Intelli-Scan

16/02/2010 22:15:44:582

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow

16/02/2010 22:15:44:584

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, LastDir

16/02/2010 22:15:44:588

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs

16/02/2010 22:15:44:590

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, SnapShot

16/02/2010 22:15:44:666

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware

16/02/2010 22:15:45:45

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance

16/02/2010 22:15:45:50

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service

16/02/2010 22:15:45:53

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy

16/02/2010 22:15:45:56

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags

16/02/2010 22:15:45:67

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class

16/02/2010 22:15:45:71

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID

16/02/2010 22:15:45:75

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc

16/02/2010 22:15:45:81

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities

16/02/2010 22:15:45:86

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control

16/02/2010 22:15:45:88

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000

16/02/2010 22:15:45:92

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME

16/02/2010 22:15:45:404

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type

16/02/2010 22:15:45:406

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl

16/02/2010 22:15:45:408

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start

16/02/2010 22:15:45:423

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath

16/02/2010 22:15:45:439

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group

16/02/2010 22:15:45:445

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0

16/02/2010 22:15:45:448

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count

16/02/2010 22:15:45:450

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance

16/02/2010 22:15:45:451

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum

16/02/2010 22:15:45:453

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme

16/02/2010 22:16:07:755

Detectada uma infecção neste computador

Nome da Ameaça - Trojan.Generic

Tipo - Chave de Registro

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-2929138632-619709706-852962002-1000\Software\Wget

16/02/2010 22:31:44:94

Smart Update

O Smart Update determinou que o Spyware Doctor está atualizado

16/02/2010 22:32:25:746

Resultados do Immunizer

A seção do ActiveX foi imunizada. Nenhum item foi processado.

16/02/2010 22:33:27:671

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Pasta

Nível de Risco - Informações

Infecção - C:\ComboFix\

16/02/2010 22:33:46:670

Verificação Concluída

Tipo de Verificação - Intelli-Scan

Itens Processados - 205591

Ameaças Detectadas - 2

Infecções Detectadas - 28

Infecções Ignoradas - 0

16/02/2010 22:36:08:328

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Pasta

Nível de Risco - Informações

Infecção - C:\ComboFix\

16/02/2010 22:36:08:824

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme

16/02/2010 22:36:08:840

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum

16/02/2010 22:36:08:924

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance

16/02/2010 22:36:08:983

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count

16/02/2010 22:36:09:33

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0

16/02/2010 22:36:09:93

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group

16/02/2010 22:36:09:101

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath

16/02/2010 22:36:09:157

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start

16/02/2010 22:36:09:166

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl

16/02/2010 22:36:09:187

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type

16/02/2010 22:36:09:405

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME

16/02/2010 22:36:09:419

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000

16/02/2010 22:36:09:437

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control

16/02/2010 22:36:09:458

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities

16/02/2010 22:36:09:486

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc

16/02/2010 22:36:09:501

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID

16/02/2010 22:36:09:525

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class

16/02/2010 22:36:09:609

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags

16/02/2010 22:36:09:632

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy

16/02/2010 22:36:09:661

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service

16/02/2010 22:36:09:671

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance

16/02/2010 22:36:09:743

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware

16/02/2010 22:36:09:755

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, SnapShot

16/02/2010 22:36:09:765

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs

16/02/2010 22:36:09:775

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, LastDir

16/02/2010 22:36:09:783

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow

16/02/2010 22:36:10:273

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Pasta

Nível de Risco - Informações

Infecção - C:\ComboFix\

16/02/2010 22:36:10:456

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme

16/02/2010 22:36:10:480

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum

16/02/2010 22:36:10:506

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance

16/02/2010 22:36:10:506

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count

16/02/2010 22:36:10:507

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0

16/02/2010 22:36:10:519

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group

16/02/2010 22:36:10:519

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath

16/02/2010 22:36:10:520

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start

16/02/2010 22:36:10:520

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl

16/02/2010 22:36:10:521

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type

16/02/2010 22:36:10:537

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME

16/02/2010 22:36:10:551

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000

16/02/2010 22:36:10:552

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control

16/02/2010 22:36:10:552

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities

16/02/2010 22:36:10:553

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc

16/02/2010 22:36:10:553

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID

16/02/2010 22:36:10:573

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class

16/02/2010 22:36:10:573

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags

16/02/2010 22:36:10:573

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy

16/02/2010 22:36:10:574

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service

16/02/2010 22:36:10:574

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance

16/02/2010 22:36:10:608

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Chave de Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware

16/02/2010 22:36:10:609

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, SnapShot

16/02/2010 22:36:10:640

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, Runs

16/02/2010 22:36:10:654

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, LastDir

16/02/2010 22:36:10:655

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Valor do Registro

Nível de Risco - Informações

Infecção - HKEY_LOCAL_MACHINE\SOFTWARE\swearware, combofix_wow

16/02/2010 22:36:11:366

Infecção em quarentena

Nome da Ameaça - Trojan.Generic

Tipo - Chave de Registro

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-2929138632-619709706-852962002-1000\Software\Wget

16/02/2010 22:36:11:592

Infecção excluída

Nome da Ameaça - Trojan.Generic

Tipo - Chave de Registro

Nível de Risco - Médio

Infecção - HKEY_USERS\S-1-5-21-2929138632-619709706-852962002-1000\Software\Wget

16/02/2010 22:36:15:154

Resumo de Infecções em Quarentena/Removidas

Quarentena - 28

Falha na Quarentena - 0

Removido - 28

Falha na Remoção - 0

16/02/2010 22:39:05:671

Verificação Iniciada

Tipo de Verificação - Intelli-Scan

16/02/2010 22:42:59:414

Verificação Concluída

Tipo de Verificação - Intelli-Scan

Itens Processados - 0

Ameaças Detectadas - 0

Infecções Detectadas - 0

Infecções Ignoradas - 0

16/02/2010 22:44:22:807

Verificação Iniciada

Tipo de Verificação - Verificação Completa

16/02/2010 23:35:27:860

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Arquivo

Nível de Risco - Informações

Infecção - C:\Users\Anthony Charles\Desktop\ComboFix.exe

17/02/2010 00:31:43:883

Detectada uma infecção neste computador

Nome da Ameaça - Application.NirCmd

Tipo - Arquivo

Nível de Risco - Informações

Infecção - C:\Windows\SWXCACLS.exe

17/02/2010 01:42:21:966

Verificação Concluída

Tipo de Verificação - Verificação Completa

Itens Processados - 354354

Ameaças Detectadas - 1

Infecções Detectadas - 2

Infecções Ignoradas - 0

17/02/2010 02:05:13:50

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Arquivo

Nível de Risco - Informações

Infecção - C:\Windows\SWXCACLS.exe

17/02/2010 02:05:17:689

Infecção em quarentena

Nome da Ameaça - Application.NirCmd

Tipo - Arquivo

Nível de Risco - Informações

Infecção - C:\Users\Anthony Charles\Desktop\ComboFix.exe

17/02/2010 02:05:18:227

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Arquivo

Nível de Risco - Informações

Infecção - C:\Windows\SWXCACLS.exe

17/02/2010 02:05:18:881

Infecção excluída

Nome da Ameaça - Application.NirCmd

Tipo - Arquivo

Nível de Risco - Informações

Infecção - C:\Users\Anthony Charles\Desktop\ComboFix.exe

17/02/2010 02:05:26:987

Resumo de Infecções em Quarentena/Removidas

Quarentena - 2

Falha na Quarentena - 0

Removido - 2

Falha na Remoção - 0

Estou ficando preocupado...

Aguardo RESPOSTA URGENTE,

Desde já AGRADEÇO MUITO,

Abraço,

Alfa77 :mellow: :!: :ermm: <_< :huh: :o :(

Desculpe-me pela demora, é a correria do dia-a-dia.

:) Alguns outros problemas foram removidos pelo Usbfix.

:seta: Siga, por gentileza, as dicas deste tutorial:

Tutorial do Kaspersky Virus Removal Tool

Na sua próxima resposta poste este log do Kaspersky Virus Removal Tool juntamente com um novo log do Hijackthis e nos diga como está o seu Pc depois disto.

Ficamos no aguardo.

Não consigo escanear o PC com o Norman em Modo Seguro. Aparece ''Error: load nsak.sys'' ou algo parecido. Serve o scan no modo normal dem inicialização? Comprei um pendrive novo e preciso gravar arquivos que meus professores postam para eu poder imprimir e usar na escola. Minha mãe tem um PC sem nenhum vírus e se precisar de impressões coloridas, só posso imprimir nele. Impressões preto e branco dá pra ser em outro PC. O problema é que não quero infectar o pendrive, o PC da minha mãe ou o PC dos outros. Se eu usar o pendrive neste PC (o PC que escaneio e do qual te mando os logs), há risco de eu infectar o pendrive, o PC da minha mãe ou o PC dos outros? Posso usá-lo tranquilamente? Se há risco, qual a chance de infecção???

Aguardo resposta URGENTE,

Grato,

Alfa77

A propósito, o PC quando incia fica com a tela preta durante 10 segundos, depois branca durante 5 e carrega a inicialização normal. Será que fui (re)infectado????

Grato,

Alfa77

Tentei executar o Norman no modo normal de inicialização, mas não deu certo. No dia em que o instalei (não sei se o vírus fez isto), a data no meu PC era quarta-feira, 1 de janeiro de 2003, sendo que era algum dia de fevereiro deste ano (2010). Com isto, dava mensagem dizendo que o programa estava ''outdated'', fora de data, ultrapassado e não rodaria. Atualizei a data no meu PC para a correta e rodou normalmente. Entretanto, nas propriedades do programa, ele ficou registrado como criado, acessado e alterado em quarta-feira, 1 de janeiro de 2003. Fui rodá-lo e aparceu a mensagem de ''This program is outdated and will not run''- Este programa está ultrapassado e não rodará. O que devo fazer ?

Devo excluí-lo e baixá-lo de novo para fazer o scan? Devo desinstalar o USBFix, FindyKill e ESTET OnlineScanner(nod32 online)???

Aguardo reposta URGENTE (não por imediatismo, é que preciso saber logo se o PC está seguro para uso, pois estou em período escolar e preciso URGENTEMENTE dele funcionando direito e sem vírus, e também pelo pendrive novo e outros PCs que não quero infectar):( .

Grato,

ALfa77 :(

Não consigo escanear o PC com o Norman em Modo Seguro. Aparece ''Error: load nsak.sys'' ou algo parecido. Serve o scan no modo normal dem inicialização? Fui rodá-lo e aparceu a mensagem de ''This program is outdated and will not run''- Este programa está ultrapassado e não rodará. O que devo fazer ? Devo excluí-lo e baixá-lo de novo para fazer o scan?

:seta: Sim, exclua ele, por gentileza, baixe-o novamente e faça o scan no Modo que for possível fazer e depois poste o log para a gente dar uma olhada.

_________________________________

Devo desinstalar o USBFix, FindyKill e ESTET OnlineScanner(nod32 online)???

Estas ferramentas que a gente está usando vamos desinstalar quando tivermos terminado a limpeza do seu PC.

_________________________________

:seta: E o Kaspersky Virus Removal Tool você executou? Caso não tenha executado, execute-o seguindo aquele tutorial que te passei e poste o log dele juntamente com os outros logs pedidos e um novo log do Hijackhtis.

Ficamos na espera.

Se eu usar o pendrive neste PC (o PC que escaneio e do qual te mando os logs), há risco de eu infectar o pendrive, o PC da minha mãe ou o PC dos outros? Posso usá-lo tranquilamente? Se há risco, qual a chance de infecção???

Aguardo resposta URGENTE,

Grato,

Alfa77

>
Se eu usar o pendrive neste PC (o PC que escaneio e do qual te mando os logs), há risco de eu infectar o pendrive, o PC da minha mãe ou o PC dos outros? Posso usá-lo tranquilamente? Se há risco, qual a chance de infecção???

Aguardo resposta URGENTE,

Grato,

Alfa77

:seta: Seria melhor você fazer a limpeza com o Kaspersky Virus Removal Tool primeiro seguindo as dicas do tutorial dele que te passei para ver se seu PC está limpo e para remover algum virus que ainda possa estar nele.

Aí se o log do Kaspersky estiver limpo (sem virus), você já poderia usar o pendrive no PC sem problemas.

Segue o log do Kaspersky:

Autoscan: completed 14674 days ago (events: 2, objects: 405658, time: 03:57:00)

05/03/2010 21:54:20 Task started

06/03/2010 01:51:24 Task completed

Apareceu este arquivo na pasta Virus Removal Tool, no Desktop:

setup_9.0.0.722_06.03.2010_02-12.com

Arquivo do MS-DOS

setup_9.0.0.722_06.03.2010_02 - Coluna Programa - o nome que aparece

setup_9.0.0.722_06.03.2010_02-12- Coluna Geral- o nome que aparece

É um arquivo do kaspersky?

A única coisa que apareceu durante o scan foram algumas janelas verdes dizendo que o arquivo era protegido por senha (era um arquivo do Spybot). Quando fechei o programa, cliquei Yes e ele se desinstalou.

A tela preta e a branca não apareceram durante esta inicialização. Iniciei o PC sem conexão à internet e ele ficou abrindo o ielowutil.exe (do IE- sem aparecer o internet Explorer, o que é estranho) e o msfeedsync.exe, pedindo para conectar a alguma conexão (Tela Conectar a Uma rede). Enquanto estou digitando, abriu o ielowutil.exe de novo e eu o fechei usando o gerenciador de tarefas,. Já são quase 2 meses lutando contra estes vírus (se é que ainda estão aqui no meu PC, ou se é que já saíram dele.) Quero tanto livrar-me de uma vez...

Aparece nas propriedades das pastas Windows e Arquivos de Programas na guia Segurança , um usuário chamado PROPRIETÁRIO CRIADOR, que tem as Permissões Especiais. Será que é um vírus? Vou baixar de novo o Norman e escanear no modo seguro, fazer um novo log do hijack e enviar ainda hoje...

Só então vou usar o pendrive...

Muito obrigado pela ajuda!

Valeu mesmo!

Nao sei porque demorou muito, é que eu tava ocupado e não dava tempo pra fazer os scans...

A propósito, os tutoriais pedem para salvar como arquivo *.cmd, mas toda vez que salvo, os programas não abrem. Por quê? Vou tentar desta vez com o Norman... Tentei salvar o Kaspersky como Fox.cmd, mas o firefox salvou direto no Desktop, sem dar a opção de mudar o nome do arquivo...

Será que esta semana me livro completamente desta praga? Tinha simplesmente clicado numa página de pesquisa do Google (a segunda da lista), abriu um falso antivirus e pronto! Infectado... Ainda bem que apaguei os arquivos que ele criou. Só não consigo apagar a pasta autorun.inf, seu arquivo con.PenClean. Surgiu um arquivo chamado BCD na pasta boot. Será vírus?

Desculpe te chatear tanto, sei que é enfadonho ajudar alguém que pergunta tanto, mas preciso obter respostas...

Aguardo resposta URGENTE,

Grato,

Alfa77 :)

Isto está na página de download do Norman:http://www.baixaki.com.br/download/norman-malware-cleaner.htm

* Comentários

* Envie sua opinião!

ver todas2 pessoas opinaram sobre o Norman Malware Cleaner

rafael Ele é o vírus24/2/2010 Quando executei o avast! detectou o malware Win32.Globin Gen

É sério? Ele é um vírus???

Fica abrindo também o dllhost.exe do nada, isto é normal?

A propósito, preciso instalar um monte de atualizações do Windows Update, mas aquele arquivo Windows Update.log, criado durante a infecção por vírus continua... E agora?

Posso fazer as atualizações tranquilamente? Como posso ter certeza de que não serei (re)infectado pelo Windows Update e/ou suas atualizações???

 

Segue o link do Windows Update.log:

http://www.4shared.com/file/235761454/714e9a2f/WindowsUpdate.html

Apesar do comentário sobre o Norman, vou instalá-lo, pois ele removeu um ou 2 vírus do meu PC...

Aqui as PrintScreens do arquivo estranho do Kaspersky (ImageShack.us - 640x480):

/applications/core/interface/imageproxy/imageproxy.php?img=http://img408.imageshack.us/img408/4314/kasperskyvirusremovalto.jpg&key=b511963bb7adfdbfd4fb550d60db441668f7f2017c0c43c11b6fffacaa1bd6eb" alt="kasperskyvirusremovalto.jpg" />

/applications/core/interface/imageproxy/imageproxy.php?img=http://img194.imageshack.us/img194/4314/kasperskyvirusremovalto.jpg&key=a136151fe832fa88cf6278a03c997eb55667281f8489b7377520c7871d3558c0" alt="kasperskyvirusremovalto.jpg" />

http://img194.imageshack.us/img194/4314/kasperskyvirusremovalto.jpg

http://img408.imageshack.us/img408/4314/kasperskyvirusremovalto.jpg

Aguardo resposta URGENTE,

Gratíssimo,

Alfa77 :)

A única coisa que apareceu durante o scan foram algumas janelas verdes dizendo que o arquivo era protegido por senha (era um arquivo do Spybot). Quando fechei o programa, cliquei Yes e ele se desinstalou.

Se nada foi detectado de errado pelo Kaspersky é porque o PC está limpo.

______________________________

Isto está na página de download do Norman:http://www.baixaki.com.br/download/norman-malware-cleaner.htm 

* Comentários

* Envie sua opinião!

ver todas2 pessoas opinaram sobre o Norman Malware Cleaner

rafael Ele é o vírus24/2/2010 Quando executei o avast! detectou o malware Win32.Globin Gen

:seta: Isto é um falso-positivo (um engano por parte do antivirus). Isto é comum acontecer quando se trata de ferramentas de remoção de malwares como o Norman Malware Cleaner, Combofix, Penclean, Usbfix, etc.

______________________________

Fica abrindo também o dllhost.exe do nada, isto é normal?

Este arquivo não é perigoso, é normal ele existir no PC como você pode ver nos sites abaixo:

http://pt.kioskea.net/contents/processus/dllhost-exe.php3

http://www.liutilities.com/products/wintaskspro/processlibrary/dllhost/

Mas esta questão dele abrir do nada, ainda não tinha visto alguém relatar esta situação.

______________________________

> A propósito, preciso instalar um monte de atualizações do Windows Update, mas aquele arquivo Windows Update.log, criado durante a infecção por vírus continua... E agora?

Pode excluir este Windows Update.log

_______________________________

Aqui as PrintScreens do arquivo estranho do Kaspersky

Este arquivo faz parte do Kaspersky Virus Removal Tool.

_______________________________

Iniciei o PC sem conexão à internet e ele ficou abrindo o ielowutil.exe (do IE- sem aparecer o internet Explorer, o que é estranho) e o msfeedsync.exe, pedindo para conectar a alguma conexão (Tela Conectar a Uma rede)

Quanto ao msfeedsync.exe, no site abaixo tem uma boa explicação que creio que será útil no seu caso:

http://webconsulte.blogspot.com/2009/07/como-resolver-o-erro-msfeedssyncexe.html

Quanto ao ielowutil.exe, ele faz parte do Internet Explorer realmente, como você vê no site abaixo:

http://www.fileinspect.com/fileinfo/ielowutil-exe/

_______________________________

Aparece nas propriedades das pastas Windows e Arquivos de Programas na guia Segurança , um usuário chamado PROPRIETÁRIO CRIADOR, que tem as Permissões Especiais. Será que é um vírus?

Creio que isto não tenha nada a ver com virus.

_______________________________

:seta: Siga as dicas deste tutorial:

Tutorial do ToolsCleaner

_______________________________

:seta: Instale estes programas e use-os agora e semanalmente para fazer uma limpeza do seu PC e para deixá-lo mais eficiente e otimizado:

MV RegClean

Auslogics Disk Defrag

SpywareBlaster

_______________________________

:seta: Há programas desnecessários iniciando junto com o Windows, o que torna o seu PC mais lento. Para corrigir isto, siga as dicas deste tutorial:

Escolhendo Programas que Iniciam com o PC

De preferência deixe apenas os programas de segurança (anti-vírus/anti-spywares/firewall) iniciarem junto com o Windows.

Use também o programa Ccleaner, indicado neste tutorial acima, para fazer uma limpeza e otimização do PC agora e de tempos em tempos.

________________________________

:seta: Para evitar que os virus voltem, desative e ative novamente a restauração do sistema. Para isto clique no botão Iniciar, em Painel de Controle, em Sistema e Manutenção e, depois, em Sistema.

No painel esquerdo, clique em Proteção do Sistema. Se você for solicitado a informar uma senha de administrador ou sua confirmação, digite a senha ou forneça a confirmação.

Para desativar a restauração do Sistema em um disco rígido, desmarque a caixa de seleção próxima ao disco e clique em OK.

Depois volte no mesmo local acima para ativar novamente a restauração do Sistema, e marque a caixa de seleção próxima ao disco e clique em OK.

___________________________

> Posso fazer as atualizações tranquilamente? Como posso ter certeza de que não serei (re)infectado pelo Windows Update e/ou suas atualizações???

Depois de seguir as dicas que te passei acima você já pode atualizar normalmente seu PC pelo Windows Update.

Quote

A propósito, preciso instalar um monte de atualizações do Windows Update, mas aquele arquivo Windows Update.log, criado durante a infecção por vírus continua... E agora?

 

Pode excluir este Windows Update.log

Não consigo excluí-lo! Diz que o arquivo está aberto em outro programa... (wuauclt.exe)

Não consigo fazer o scan com o Norman em Modo Seguro, dá '' Error unload: nsak.sys'' ou algo assim.

Devo baixá-lo de novo e tentar escanear de novo (não salvei como Fox.cmd porque não apareceu como trocar o nome do arquivo...)

E quanto à pasta autorun.inf e o arquivo con.PenClean , ficarão para sempre?

Quote

Iniciei o PC sem conexão à internet e ele ficou abrindo o ielowutil.exe (do IE- sem aparecer o internet Explorer, o que é estranho) e o msfeedsync.exe, pedindo para conectar a alguma conexão (Tela Conectar a Uma rede)

Quanto ao msfeedsync.exe, no site abaixo tem uma boa explicação que creio que será útil no seu caso:

http://webconsulte.b...edssyncexe.html

Quanto ao ielowutil.exe, ele faz parte do Internet Explorer realmente, como você vê no site abaixo:

http://www.fileinspe.../ielowutil-exe/

_______________________________

Só que eles abrem SEM TER ABERTO AS JANELAS DO IE!

Quote

Aparece nas propriedades das pastas Windows e Arquivos de Programas na guia Segurança , um usuário chamado PROPRIETÁRIO CRIADOR, que tem as Permissões Especiais. Será que é um vírus?

Creio que isto não tenha nada a ver com virus.

_______________________________

Então, como posso desativá-lo (se puder) ?

:seta: Há programas desnecessários iniciando junto com o Windows, o que torna o seu PC mais lento. Para corrigir isto, siga as dicas deste tutorial:

Escolhendo Programas que Iniciam com o PC

Já uso o CCleaner. Tenho então que usar esse MV Reg Clean?

A Restauração do Sistema já estava desativada.

Já tenho instalado o Spyware Doctor. Tenho de instalar esse Spyware Blaster?

Posso então desinstalar o Spyware Doctor, o ESET (nod32 online)e o findykill? Tenho Panda USB Vaccine e Malware Bytes, os desinstalo?

Surgiu um arquivo chamado BCD na pasta boot. Será vírus? (você não respondeu)

Posso usar então o pendrive com segurança? Nesta inicialização, o ícone do Spybot não apareceu no system tray .

O ToolsCleaner remove as pastas USbFix, Qoobox, FyK e HijackThis da pasta C:?

Aparecem duas pastas na pasta C:, Config.Msi e MSOCache, às quais não tenho acesso. O que são elas?

Apareceram em ProgramData pastas suspeitas. Segue o link. Por favor baixe-as e verifique os aruqivos. (São 5 pastas, 4 vazias e 1 com 104 KB).

Seguem os links dos arquivos da pasta de 104 KB:

http://www.4shared.com/file/236254013/9d146398/_2__PostBuild.html (C:/ProgramData/TEMP/{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8})

http://www.4shared.com/file/236253780/4d47a757/PostBuild.html

(C:/ProgramData/TEMP/{8C20787A-7402-4FA7-BF25-6E5750930FDC})

http://www.4shared.com/file/236253923/243f336d/DFC5A2B2.html

(C:/ProgramData/TEMP)

As pastas vazias são: C:/ProgramData/is-VKB70

'' '' is-85PFB

'' '' is-E0K8Q

'' '' Kaspersky Lab.

Seguem os PrintScreens do CCleaner (ImageShack.us - 640x480):

http://img19.imageshack.us/img19/3150/iniciamcomopc.jpg

/applications/core/interface/imageproxy/imageproxy.php?img=http://img19.imageshack.us/img19/3150/iniciamcomopc.jpg&key=88544c144a7a3414dca3dee77aca1da33c43b70da0ed783f40a4e866d9d9466f" alt="iniciamcomopc.jpg" />

/applications/core/interface/imageproxy/imageproxy.php?img=http://img19.imageshack.us/img19/3150/iniciamcomopc.th.jpg&key=0255ed6d4b20d0ac36d7e319ebddc38d83ead607bca677829100e54812100d89" alt="iniciamcomopc.th.jpg" />

http://img710.imageshack.us/img710/6343/restaurao.jpg

/applications/core/interface/imageproxy/imageproxy.php?img=http://img710.imageshack.us/img710/6343/restaurao.jpg&key=7a0c508a0adc342acaf4d4400e15ce0b5b4cef16969c0a4a1b293f5d91f7dbb9" alt="restaurao.jpg" />

/applications/core/interface/imageproxy/imageproxy.php?img=http://img710.imageshack.us/img710/6343/restaurao.th.jpg&key=26a53fe61d52105809ae41609a6a52e6e087c08e0415a8281c3c4362380ce10c" alt="restaurao.th.jpg" />

Perdoe ser incisivo.

Aguardo resposta URGENTE novamente, perdoe a petulância e agradeço muitíssimo a ajuda.

Grato,

Alfa77 ^_^