Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Pessoal, primeira vez que preciso fazer uma limpeza contra pragas à parte do padrão que sempre fiz.
A situação é a seguinte. Infelizmente, este PC que uso no momento é compartilhado com outras duas pessoas. Uma delas entende um pouquinho melhor de computação e outra acha que entende.
E é nesse acha que mora o perigo. No último sábado, quase não cheguei perto do PC pois estava com todo pouco processamento dele voltado para criação de um DVD de vídeo.
Tudo certinho, o encoding foi feito e a noite tediosa garantida.
Entretanto, enquanto assistia ao filme o Sr. Achismo usou o PC e, no dia seguinte, tanto eu quanto meu irmão reparamos uma série de "coisinhas" afetando negativamente o PC. Algumas delas foram temporariamente solucionadas na gambiarra:
-
Constantes travamentos
Antes, apesar de um pouco lento, o PC funcionava bem.
Depois do ocorrido, até para o abrir o Windows Explorer é uma novela, chegando ao ponto de aparecer aquela lanterna sobre uma pasta (ícone animado exibido quando o carregamento do mesmo demora mais que o normal).
-
Perceptível diminuição da atividade do HD
A menos que eu esteja enganado, houve uma diminuição na atividade do HD. Antes, mesmo que a máquina estivesse apenas ligada, sem ninguém usando, o led do HD piscava frenéticamente, indicando atividade.
Depois do ocorrido, o led sossegou. Até então seria normal, afinal o HD não precisa trabalhar o tempo todo. Porém, com essa aparente diminuição, tudo relativo ao disco ficou perceptívelmente mais lento.
-
Inflação de pasta de Perfil
Essa veio do meu irmão, não sei até onde é verdade.
Com esses travamentos frequentes, uma dica que ele aprendeu e que funciou várias vezes, foi excluir o Perfil de Usuário e criar outro.
Os arquivos dele, que são grandes, ficam numa partição do disco, para caso precise formatar, o backup fique menos trabalhoso. Porém, o Perfil e alguns arquivos menores (como es que ficam no Desktop) continuam no disco C, em Documents and Settings.
Durante o procedimento de exclusão do Perfil, criação de um novo e moção (existe isso?) dos arquivos para o novo Perfil, ele reparou que o Perfil antigo tinha mais ou menos 5GB de tamanho. Tudo bem que no Desktop tinha dois filmes AVI, mas os dois juntos não passavam de 2GB.
Bem isso é o que consigo lembrar no momento.
As primeiras providências que tomei foram executar um ScanDisk completo (/F /R) e fazer uma verificação de vírus.
Em ambas as medidas não obtive nenhum problema, como setopres defeituosos ou possíveis vírus que não puderam ser eliminados.
Se vale a informação, como proteção uso Panda Cloud Antivirus e o COMODO Firewall. Para manutenção do PC, uso o TuneUp Utilities.
Agora, a parte que lhes interessa, que seria o log do HijackThis:
Logfile of Trend Micro HijackThis v2.0.4Scan saved at 13:50:00, on 11/5/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Panda Security\Panda Cloud Antivirus\PSANHost.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\Panda Security\Panda Cloud Antivirus\PSUNMain.exe
C:\Arquivos de programas\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Arquivos de programas\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe
C:\Arquivos de programas\HijackThis\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Arquivos de programas\ConduitEngine\prxConduitEngine.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O2 - BHO: IncrediMail MediaBar 2 - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Arquivos de programas\IncrediMail_MediaBar_2\prxtbInc0.dll
O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Loader Class - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - (no file)
O3 - Toolbar: IncrediMail MediaBar 2 Toolbar - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Arquivos de programas\IncrediMail_MediaBar_2\prxtbInc0.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Arquivos de programas\ConduitEngine\prxConduitEngine.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PSUNMain] "C:\Arquivos de programas\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Arquivos de programas\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [NBAgent] "C:\Arquivos de programas\Nero\Nero 10\Nero BackItUp\NBAgent.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [googletalk] C:\Documents and Settings\Bueno\Dados de aplicativos\Google Talk\googletalk.exe /autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://imagem.caixa.gov.br/cab/GBPDIST2K.CAB
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehCef.dll
O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Arquivos de programas\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Panda Cloud Antivirus Service (NanoServiceMain) - Panda Security, S.L. - C:\Arquivos de programas\Panda Security\Panda Cloud Antivirus\PSANHost.exe
O23 - Service: @C:\Arquivos de programas\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Arquivos de programas\Nero\Update\NASvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Arquivos de programas\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
--
End of file - 6663 bytes
Não consegui executar o AD Remover (acusa que Windows não pode acessar o dispoitivo) e como imagino que os outros dois dependam do resultado dele optei por não prosseguir.
Há outra alternativa e/ou os outros dois são independentes, podendo estes serem executados normalmente?
>
Não consegui executar o AD Remover (acusa que Windows não pode acessar o dispoitivo) e como imagino que os outros dois dependam do resultado dele optei por não prosseguir.
Há outra alternativa e/ou os outros dois são independentes, podendo estes serem executados normalmente?
Sua conta é de administrador?
O programa deve ser executado como tal.
Caso seja de administrador e mesmo assim não consiga executar o AD-Remover...
Vá em Adicionar ou remover programas e desinstale ConduitEngine
É sim.
Nunca uso Conta Limitada porque dá até agonia.
OK
Desinstale o ConduitEngine
Continue com as demais ferramentas.
Não consegui desinstalar "direito".
Pelo Painel de Controle, clico em Desinstalar, abre o Uninstaller, clico em Remove ele fecha e não sai. Resetei as configurações do Internet Explorer, incluindo os Add-ons (que é onde o Conduit se instala).
Removi também as duas únicas DLL's de C:\Arquivos de Programas\Conduit mas no Painel de Controle continua lá. Como eu sei que isso pode representar corrupção do Registro, por enquanto tudo bem.
DDS.txt
.DDS (Ver_11-03-05.01) - NTFSx86
Run by Bueno at 19:03:51,00 on sex 13/05/2011
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_23
Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.1023.579 [GMT -3:00]
.
AV: Panda Cloud Antivirus Enabled/Updated {5AD27692-540A-464E-B625-78275FA38393}
FW: COMODO Firewall Enabled
.
============== Running Processes ===============
.
C:\WINDOWS\system32\nvsvc32.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
C:\WINDOWS\system32\svchost -k rpcss
C:\Arquivos de programas\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Panda Security\Panda Cloud Antivirus\PSANHost.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Arquivos de programas\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\Panda Security\Panda Cloud Antivirus\PSUNMain.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Bueno\Desktop\dds.scr
C:\WINDOWS\system32\wbem\wmiprvse.exe
.
============== Pseudo HJT Report ===============
.
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\arquivos de programas\arquivos comuns\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Conduit Engine : {30f9b915-b755-4826-820b-08fba6bd249d} - c:\arquivos de programas\conduitengine\prxConduitEngine.dll
BHO: Auxiliar de Conexão do Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\arquivos de programas\arquivos comuns\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: GbIehObj Class: {c41a1c0e-ea6c-11d4-b1b8-444553540003} - c:\arquivos de programas\gbplugin\gbiehcef.dll
BHO: IncrediMail MediaBar 2 Toolbar: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - c:\arquivos de programas\incredimail_mediabar_2\prxtbInc0.dll
BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\arquivos de programas\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\arquivos de programas\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
BHO: {f880a4a8-c436-4ac4-afd1-aa0bdc9552dd} - Loader Class
TB: IncrediMail MediaBar 2 Toolbar: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - c:\arquivos de programas\incredimail_mediabar_2\prxtbInc0.dll
TB: Conduit Engine : {30f9b915-b755-4826-820b-08fba6bd249d} - c:\arquivos de programas\conduitengine\prxConduitEngine.dll
uRun: [msnmsgr] "c:\arquivos de programas\windows live\messenger\msnmsgr.exe" /background
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
uRun: [googletalk] c:\documents and settings\bueno\dados de aplicativos\google talk\googletalk.exe /autostart
mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
mRun: [PSUNMain] "c:\arquivos de programas\panda security\panda cloud antivirus\PSUNMain.exe" /Traybar
mRun: [COMODO Internet Security] "c:\arquivos de programas\comodo\comodo internet security\cfp.exe" -h
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\arquiv~1\micros~2\office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cabDPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - hxxps://imagem.caixa.gov.br/cab/GBPDIST2K.CAB
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\arquiv~1\arquiv~1\skype\SKYPE4~1.DLL
Notify: GbPluginCef - c:\arquivos de programas\gbplugin\gbiehCef.dll
AppInit_DLLs: c:\windows\system32\guard32.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: GbPluginObj Class: {e37cb5f0-51f5-4395-a808-5fa49e399003} - c:\arquivos de programas\gbplugin\gbiehcef.dll
mASetup: {0DA3B9B7-3DB5-97A1-DA31-969D6950BB42} - c:\windows\system32:winsock32.exe
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\docume~1\bueno\dadosd~1\mozilla\firefox\profiles\jqx5orjl.default\
FF - plugin: c:\arquivos de programas\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\arquivos de programas\microsoft silverlight\4.0.60310.0\npctrlui.dll
FF - plugin: c:\arquivos de programas\mozilla firefox\plugins\npdeployJava1.dll
.
---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
============= SERVICES / DRIVERS ===============
.
R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [2011-2-7 46664]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [2010-9-10 239368]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [2010-9-10 27576]
R1 PSINKNC;PSINKNC;c:\windows\system32\drivers\PSINKNC.sys [2010-12-16 130376]
R2 cmdAgent;COMODO Internet Security Helper Service;c:\arquivos de programas\comodo\comodo internet security\cmdagent.exe [2010-9-10 1803224]
R2 GbpSv;Gbp Service;c:\arquiv~1\gbplugin\GbpSv.exe [2011-2-7 56776]
R2 NanoServiceMain;Panda Cloud Antivirus Service;c:\arquivos de programas\panda security\panda cloud antivirus\PSANHost.exe [2010-12-16 140608]
R2 PSINAflt;PSINAflt;c:\windows\system32\drivers\PSINAflt.sys [2010-12-16 141768]
R2 PSINFile;PSINFile;c:\windows\system32\drivers\PSINFile.sys [2010-12-16 97352]
R2 PSINProc;PSINProc;c:\windows\system32\drivers\PSINProc.sys [2010-12-16 111944]
R2 PSINProt;PSINProt;c:\windows\system32\drivers\PSINProt.sys [2010-12-16 113096]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\arquivos de programas\tuneup utilities 2011\TuneUpUtilitiesService32.exe [2010-12-1 1483072]
R3 hid7906;MAP2A10K;c:\windows\system32\drivers\hid7906.sys [2011-3-20 34793]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\arquivos de programas\tuneup utilities 2011\TuneUpUtilitiesDriver32.sys [2010-10-7 10064]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 ip100xp;ENCORE 10/100Mbps Fast Ethernet PCI Adapter NT Driver;c:\windows\system32\drivers\ipfnd51.sys [2011-1-26 26752]
S3 RkPavproc1;RkPavproc1;c:\windows\system32\drivers\RkPavproc1.sys [2011-5-8 17544]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
.
=============== File Associations ===============
.
.txt=
.
=============== Created Last 30 ================
.
2011-05-13 21:28:17 -------- d-----w- C:\gmer
2011-05-12 10:13:05 -------- d-----w- c:\docume~1\bueno\config~1\dadosd~1\WMTools Downloaded Files
2011-05-11 15:03:21 -------- d-----w- c:\docume~1\bueno\config~1\dadosd~1\Nero_AG
2011-05-11 11:47:17 -------- d-----w- c:\docume~1\bueno\config~1\dadosd~1\Nero
2011-05-11 11:09:18 -------- d-----w- c:\docume~1\alluse~1\dadosd~1\Nero
2011-05-09 23:53:48 -------- d-----w- c:\documents and settings\bueno\Meus documentos
2011-05-09 23:49:08 -------- d-----w- c:\docume~1\bueno\dadosd~1\Google Talk
2011-05-09 17:44:05 -------- d-sh--w- c:\documents and settings\bueno\IECompatCache
2011-05-09 17:37:54 -------- d-----w- c:\docume~1\bueno\config~1\dadosd~1\Conduit
2011-05-09 17:37:45 -------- d-sh--w- c:\documents and settings\bueno\PrivacIE
2011-05-09 17:37:39 -------- d-----w- c:\docume~1\bueno\config~1\dadosd~1\IncrediMail_MediaBar_2
2011-05-09 17:37:38 -------- d-----w- c:\docume~1\bueno\config~1\dadosd~1\ConduitEngine
2011-05-09 11:49:23 -------- d-----w- c:\docume~1\bueno\dadosd~1\Panda Security
2011-05-09 10:44:14 14744 ----a-w- c:\docume~1\bueno\dadosd~1\microsoft\identitycrl\production\ppcrlconfig.dll
2011-05-09 10:43:38 -------- d-----w- c:\documents and settings\bueno\Tracing
2011-05-09 10:27:38 -------- d-----w- c:\docume~1\bueno\config~1\dadosd~1\Mozilla
2011-05-09 10:12:22 -------- d-----w- c:\docume~1\bueno\dadosd~1\TuneUp Software
2011-05-08 22:02:19 17544 ----a-w- c:\windows\system32\drivers\RkPavproc1.sys
2011-05-08 21:16:19 -------- d-----w- c:\arquivos de programas\arquivos comuns\Ahead
2011-05-08 15:39:11 -------- d-----w- c:\arquivos de programas\Nero
2011-05-08 15:38:44 -------- d-----w- c:\windows\SxsCaPendDel
2011-05-08 15:08:08 17505 ----a-r- C:\DBI.EXE
2011-05-08 13:24:36 31552 ----a-w- c:\windows\system32\TURegOpt.exe
2011-05-07 21:16:24 -------- d-----w- c:\arquivos de programas\DVD Shrink
2011-05-06 10:24:19 -------- d--h--w- c:\windows\PIF
2011-05-04 11:31:28 -------- d-----w- c:\arquivos de programas\MSXML 4.0
2011-05-03 13:42:43 -------- d-----w- c:\arquivos de programas\arquivos comuns\GTK
2011-05-01 16:55:04 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2011-04-30 14:59:42 -------- d-----w- C:\xampp
2011-04-30 00:00:13 -------- d--h--w- C:\Declaracoes Gravadas RFB
2011-04-29 00:31:15 -------- d--h--w- c:\arquivos de programas\InstallJammer Registry
2011-04-29 00:30:48 -------- d--h--w- C:\Arquivos de Programas RFB
2011-04-28 23:32:46 69632 ----a-w- c:\windows\system32\MSJCE.dll
2011-04-28 23:32:44 -------- d-----w- c:\arquivos de programas\Programas RFB
2011-04-27 23:21:00 142296 ----a-w- c:\arquivos de programas\mozilla firefox\components\browsercomps.dll
2011-04-27 23:20:57 89048 ----a-w- c:\arquivos de programas\mozilla firefox\libEGL.dll
2011-04-27 23:20:57 781272 ----a-w- c:\arquivos de programas\mozilla firefox\mozsqlite3.dll
2011-04-27 23:20:57 465880 ----a-w- c:\arquivos de programas\mozilla firefox\libGLESv2.dll
2011-04-27 23:20:57 1974616 ----a-w- c:\arquivos de programas\mozilla firefox\D3DCompiler_42.dll
2011-04-27 23:20:57 1892184 ----a-w- c:\arquivos de programas\mozilla firefox\d3dx9_42.dll
2011-04-27 23:20:57 1874904 ----a-w- c:\arquivos de programas\mozilla firefox\mozjs.dll
2011-04-27 23:20:57 15832 ----a-w- c:\arquivos de programas\mozilla firefox\mozalloc.dll
2011-04-20 00:16:17 0 ----a-w- c:\windows\system32\ConduitEngine.tmp
2011-04-19 23:25:46 -------- d-----w- c:\arquivos de programas\ConduitEngine
2011-04-19 23:25:40 -------- d-----w- c:\arquivos de programas\IncrediMail_MediaBar_2
2011-04-17 19:20:05 -------- d-----w- c:\windows\system32\Adobe
2011-04-15 13:37:29 -------- d--h--w- C:\5dfea8bda5c3284c2198036a10a6
2011-04-14 06:39:02 103864 ----a-w- c:\arquivos de programas\mozilla firefox\plugins\nppdf32.dll
.
==================== Find3M ====================
.
2011-03-13 12:38:19 118845 ----a-w- c:\windows\Mac OSx Screensaver.scr
2011-03-07 05:31:42 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36:11 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:52:15 1867008 ----a-w- c:\windows\system32\win32k.sys
2011-02-22 23:08:02 916480 ----a-w- c:\windows\system32\wininet.dll
2011-02-22 23:08:01 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-02-22 23:08:01 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-02-22 11:43:15 385024 ----a-w- c:\windows\system32\html.iec
2011-02-17 12:54:06 5120 ----a-w- c:\windows\system32\xpsp4res.dll
2011-02-15 12:56:39 290432 ----a-w- c:\windows\system32\atmfd.dll
.
============= FINISH: 19:05:22,82 ===============
Attach.txt
.UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_11-03-05.01)
.
Microsoft Windows XP Professional
Boot Device: \Device\HarddiskVolume1
Install Date: 26/1/2011 22:42:28
System Uptime: 13/5/2011 06:49:54 (13 hours ago)
.
Motherboard: PCCHIPS | | A31G
Processor: AMD Athlon 64 Processor 3000+ | CPU 1 | 2200/200mhz
.
==== Disk Partitions =========================
.
C: is FIXED (NTFS) - 63 GiB total, 26,511 GiB free.
D: is FIXED (NTFS) - 12 GiB total, 2,638 GiB free.
E: is CDROM ()
F: is CDROM ()
.
==== Disabled Device Manager Items =============
.
Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: ENCORE 10/100Mbps Fast Ethernet PCI Adapter
Device ID: PCI\VEN_13F0&DEV_0200&SUBSYS_020113F0&REV_31\3&267A616A&0&48
Manufacturer: ENCORE ELECTRONICS, INC.
Name: ENCORE 10/100Mbps Fast Ethernet PCI Adapter
PNP Device ID: PCI\VEN_13F0&DEV_0200&SUBSYS_020113F0&REV_31\3&267A616A&0&48
Service: ip100xp
.
Class GUID:
Description: Controlador Ethernet
Device ID: PCI\VEN_10AC&DEV_0000&SUBSYS_813910AC&REV_10\3&267A616A&0&50
Manufacturer:
Name: Controlador Ethernet
PNP Device ID: PCI\VEN_10AC&DEV_0000&SUBSYS_813910AC&REV_10\3&267A616A&0&50
Service:
.
==== System Restore Points ===================
.
RP134: 12/5/2011 06:51:17 - Nero Multimedia Suite 10 removido.
RP135: 12/5/2011 08:48:26 - Software Distribution Service 3.0
RP136: 13/5/2011 14:17:11 - Ponto de verificação do sistema
.
==== Installed Programs ======================
.
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Reader 9.4.4 - Português
Adobe Shockwave Player 11.5
Assistente de Conexão do Windows Live
µTorrent
Atualização de Segurança para o Windows Media Player (KB2378111)
Atualização de Segurança para o Windows Media Player (KB954155)
Atualização de Segurança para o Windows Media Player (KB973540)
Atualização de Segurança para o Windows Media Player (KB975558)
Atualização de Segurança para o Windows Media Player (KB978695)
Atualização de Segurança para o Windows Media Player 11 (KB954154)
Atualização de Segurança para Windows Internet Explorer 8 (KB2416400)
Atualização de Segurança para Windows Internet Explorer 8 (KB2482017)
Atualização de Segurança para Windows Internet Explorer 8 (KB2497640)
Atualização de Segurança para Windows Internet Explorer 8 (KB2510531)
Atualização de Segurança para Windows Internet Explorer 8 (KB971961)
Atualização de Segurança para Windows Internet Explorer 8 (KB981332)
Atualização de Segurança para Windows XP (KB2079403)
Atualização de Segurança para Windows XP (KB2115168)
Atualização de Segurança para Windows XP (KB2121546)
Atualização de Segurança para Windows XP (KB2229593)
Atualização de Segurança para Windows XP (KB2259922)
Atualização de Segurança para Windows XP (KB2286198)
Atualização de Segurança para Windows XP (KB2296011)
Atualização de Segurança para Windows XP (KB2296199)
Atualização de Segurança para Windows XP (KB2347290)
Atualização de Segurança para Windows XP (KB2360937)
Atualização de Segurança para Windows XP (KB2387149)
Atualização de Segurança para Windows XP (KB2393802)
Atualização de Segurança para Windows XP (KB2412687)
Atualização de Segurança para Windows XP (KB2419632)
Atualização de Segurança para Windows XP (KB2423089)
Atualização de Segurança para Windows XP (KB2436673)
Atualização de Segurança para Windows XP (KB2440591)
Atualização de Segurança para Windows XP (KB2443105)
Atualização de Segurança para Windows XP (KB2476687)
Atualização de Segurança para Windows XP (KB2478960)
Atualização de Segurança para Windows XP (KB2478971)
Atualização de Segurança para Windows XP (KB2479628)
Atualização de Segurança para Windows XP (KB2479943)
Atualização de Segurança para Windows XP (KB2481109)
Atualização de Segurança para Windows XP (KB2483185)
Atualização de Segurança para Windows XP (KB2485376)
Atualização de Segurança para Windows XP (KB2485663)
Atualização de Segurança para Windows XP (KB2503658)
Atualização de Segurança para Windows XP (KB2506212)
Atualização de Segurança para Windows XP (KB2506223)
Atualização de Segurança para Windows XP (KB2507618)
Atualização de Segurança para Windows XP (KB2508272)
Atualização de Segurança para Windows XP (KB2508429)
Atualização de Segurança para Windows XP (KB2509553)
Atualização de Segurança para Windows XP (KB2511455)
Atualização de Segurança para Windows XP (KB923561)
Atualização de Segurança para Windows XP (KB923789)
Atualização de Segurança para Windows XP (KB941569)
Atualização de Segurança para Windows XP (KB950760)
Atualização de Segurança para Windows XP (KB952004)
Atualização de Segurança para Windows XP (KB956572)
Atualização de Segurança para Windows XP (KB956744)
Atualização de Segurança para Windows XP (KB956844)
Atualização de Segurança para Windows XP (KB958869)
Atualização de Segurança para Windows XP (KB959426)
Atualização de Segurança para Windows XP (KB960715)
Atualização de Segurança para Windows XP (KB960803)
Atualização de Segurança para Windows XP (KB960859)
Atualização de Segurança para Windows XP (KB961501)
Atualização de Segurança para Windows XP (KB969059)
Atualização de Segurança para Windows XP (KB970430)
Atualização de Segurança para Windows XP (KB971657)
Atualização de Segurança para Windows XP (KB972270)
Atualização de Segurança para Windows XP (KB973507)
Atualização de Segurança para Windows XP (KB973869)
Atualização de Segurança para Windows XP (KB973904)
Atualização de Segurança para Windows XP (KB974112)
Atualização de Segurança para Windows XP (KB974318)
Atualização de Segurança para Windows XP (KB974392)
Atualização de Segurança para Windows XP (KB974571)
Atualização de Segurança para Windows XP (KB975025)
Atualização de Segurança para Windows XP (KB975467)
Atualização de Segurança para Windows XP (KB975560)
Atualização de Segurança para Windows XP (KB975562)
Atualização de Segurança para Windows XP (KB975713)
Atualização de Segurança para Windows XP (KB977816)
Atualização de Segurança para Windows XP (KB977914)
Atualização de Segurança para Windows XP (KB978037)
Atualização de Segurança para Windows XP (KB978338)
Atualização de Segurança para Windows XP (KB978542)
Atualização de Segurança para Windows XP (KB978601)
Atualização de Segurança para Windows XP (KB978706)
Atualização de Segurança para Windows XP (KB979309)
Atualização de Segurança para Windows XP (KB979482)
Atualização de Segurança para Windows XP (KB979687)
Atualização de Segurança para Windows XP (KB980195)
Atualização de Segurança para Windows XP (KB980232)
Atualização de Segurança para Windows XP (KB980436)
Atualização de Segurança para Windows XP (KB981322)
Atualização de Segurança para Windows XP (KB981852)
Atualização de Segurança para Windows XP (KB981997)
Atualização de Segurança para Windows XP (KB982132)
Atualização de Segurança para Windows XP (KB982214)
Atualização de Segurança para Windows XP (KB982665)
Atualização para Windows Internet Explorer 8 (KB976662)
Atualização para Windows XP (KB2141007)
Atualização para Windows XP (KB2345886)
Atualização para Windows XP (KB2467659)
Atualização para Windows XP (KB898461)
Atualização para Windows XP (KB955759)
Atualização para Windows XP (KB961503)
Atualização para Windows XP (KB967715)
Atualização para Windows XP (KB968389)
Atualização para Windows XP (KB971029)
Atualização para Windows XP (KB971737)
Atualização para Windows XP (KB973687)
Atualização para Windows XP (KB973815)
AviSynth 2.5
Biblia Eletrônica 2.5.3
COMODO Internet Security
Conduit Engine
DVD Decrypter (Remove Only)
DVD Shrink 3.2
EPSON Printer Software
EPSON TWAIN 5
Ferramenta de Carregamento do Windows Live
FormatFactory 2.50
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB954550-v5)
Hotfix para o Windows Media Player 11 (KB939683)
Hotfix para Windows XP (KB2443685)
Hotfix para Windows XP (KB942288-v3)
Hotfix para Windows XP (KB961118)
IncrediMail
IncrediMail 2.0
IncrediMail MediaBar 2 Toolbar
IRPF2011 - Declaração de Ajuste Anual, Final de Espólio e Saída Definitiva do País
Java Auto Updater
Java 6 Update 23
Java 6 Update 3K-Lite Mega Codec Pack 6.8.0
Messenger Plus! 5
Messenger Plus! Live
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Security Update (KB2416447)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - PTB
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - PTB
Microsoft .NET Framework 3.5 Language Pack SP1 - ptb
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 4 Client Profile
Microsoft Application Error Reporting
Microsoft Choice Guard
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office Access MUI (Portuguese (Brazil)) 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (Portuguese (Brazil)) 2007
Microsoft Office Groove MUI (Portuguese (Brazil)) 2007
Microsoft Office InfoPath MUI (Portuguese (Brazil)) 2007
Microsoft Office OneNote MUI (Portuguese (Brazil)) 2007
Microsoft Office Outlook MUI (Portuguese (Brazil)) 2007
Microsoft Office PowerPoint MUI (Portuguese (Brazil)) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (Portuguese (Brazil)) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (Portuguese (Brazil)) 2007
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Publisher MUI (Portuguese (Brazil)) 2007
Microsoft Office Shared MUI (Portuguese (Brazil)) 2007
Microsoft Office Word MUI (Portuguese (Brazil)) 2007
Microsoft Silverlight
Microsoft Software Update for Web Folders (Portuguese (Brazil)) 12
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft WSE 3.0 Runtime
Microsoft XML Parser
Mozilla Firefox 4.0.1 (x86 pt-BR)
MSVCRT
MSXML 4.0 SP2 (KB954430)
MSXML 4.0 SP2 (KB973688)
MSXML 4.0 SP2 Parser and SDK
neroxml
NVIDIA Display Control Panel
NVIDIA Drivers
NVIDIA nView Desktop Manager
Pacote de Idiomas do Microsoft .NET Framework 3.5 SP1 - PTB
Panda Cloud Antivirus
Panda USB Vaccine 1.0.1.4
Receitanet Java 2010.02d
Security Update for 2007 Microsoft Office System (KB2288621)
Security Update for 2007 Microsoft Office System (KB2288931)
Security Update for 2007 Microsoft Office System (KB2345043)
Security Update for 2007 Microsoft Office System (KB2466156)
Security Update for 2007 Microsoft Office System (KB2509488)
Security Update for 2007 Microsoft Office System (KB969559)
Security Update for 2007 Microsoft Office System (KB976321)
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2416473)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)
Security Update for Microsoft Office Access 2007 (KB979440)
Security Update for Microsoft Office Excel 2007 (KB2464583)
Security Update for Microsoft Office InfoPath 2007 (KB979441)
Security Update for Microsoft Office PowerPoint 2007 (KB2535818)
Security Update for Microsoft Office PowerPoint Viewer 2007 (KB2464623)
Security Update for Microsoft Office Publisher 2007 (KB2284697)
Security Update for Microsoft Office system 2007 (972581)
Security Update for Microsoft Office system 2007 (KB974234)
Security Update for Microsoft Office Visio Viewer 2007 (KB973709)
Security Update for Microsoft Office Word 2007 (KB2344993)Segoe UI
Skype™ 5.1
The Sims™ 3
TuneUp Utilities 2011
TuneUp Utilities Language Pack (pt-BR)
Unlocker 1.8.9
Update for 2007 Microsoft Office System (KB967642)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update for Microsoft Office OneNote 2007 (KB980729)
Update for Microsoft Office Outlook 2007 (KB2509470)
Update for Outlook 2007 Junk Email Filter (KB2536413)USB Network Joystick
VCRedistSetup
WebFldrs XP
Windows Internet Explorer 8
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Messenger
Windows Media Format 11 runtime
Windows Media Player 11
WinRAR archiver
XAMPP 1.7.4
XML Paper Specification Shared Components Language Pack 1.0
.
==== End Of File ===========================
O log do GMER é muito grande e ficou cortado.
Segue-o à parte.
1.
*Delete o DDS e seus relatórios
2.
*Delete o GMER e seu relatório
3.
*Desative temporariamente seu antivírus
*Baixe o ComboFix e salve-o no desktop
*Execute-o e aceite o contrato
*Se o Console de Recuperação do Microsoft Windows não estiver instalado, aceite a sua instalação
*Após a instalação do Console, clique [sim] e aguarde a conclusão das etapas
*Não use o mouse nem o teclado durante as etapas, pois implicará na desconfiguração do seu desktop!
*Cole o relatório apresentado
Conforme solicitado, embora ligeiramente atrasado, segue o log do ComboFix:
ComboFix 11-05-15.04 - Bueno 16/05/2011 8:54.1.1 - x86Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.1023.617 [GMT -3:00]
Executando de: c:\documents and settings\Bueno\Desktop\ComboFix.exe
AV: Panda Cloud Antivirus Disabled/Updated {5AD27692-540A-464E-B625-78275FA38393}
FW: COMODO Firewall Enabled {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
.
ADS - system32: deleted 2 bytes in 1 streams.
ADS - drivers: deleted 220 bytes in 2 streams.
.
((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Bueno\Recent\desktop_32809851.ico
C:\Install.exe
c:\windows\system32\_000005_.tmp.dll
c:\windows\system32\_000006_.tmp.dll
c:\windows\XSxS
.
.
(((((((((((((((( Arquivos/Ficheiros criados de 2011-04-16 to 2011-05-16 ))))))))))))))))))))))))))))
.
.
2011-05-13 21:28 . 2011-05-13 22:07 -------- d-----w- C:\GMER
2011-05-11 11:09 . 2011-05-11 11:33 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Nero
2011-05-11 11:01 . 2011-05-11 11:01 -------- d-----w- c:\arquivos de programas\Microsoft Silverlight
2011-05-09 10:02 . 2011-05-14 00:19 -------- d-----w- c:\documents and settings\Bueno
2011-05-08 22:02 . 2009-10-07 17:28 17544 ----a-w- c:\windows\system32\drivers\RkPavproc1.sys
2011-05-08 21:19 . 2011-05-14 19:18 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Nero
2011-05-08 21:16 . 2011-05-11 10:21 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Ahead
2011-05-08 21:16 . 2011-05-11 10:21 -------- d-----w- c:\arquivos de programas\Ahead
2011-05-08 15:39 . 2011-05-14 19:39 -------- d-----w- c:\arquivos de programas\Nero
2011-05-08 15:38 . 2011-05-08 15:45 -------- d-----w- c:\windows\SxsCaPendDel
2011-05-08 15:08 . 2004-12-29 05:57 17505 ----a-r- C:\DBI.EXE
2011-05-08 13:24 . 2010-12-01 17:29 31552 ----a-w- c:\windows\system32\TURegOpt.exe
2011-05-07 21:16 . 2011-05-16 00:03 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\DVD Shrink
2011-05-07 21:16 . 2011-05-07 21:16 -------- d-----w- c:\arquivos de programas\DVD Shrink
2011-05-06 10:24 . 2011-05-06 10:24 -------- d--h--w- c:\windows\PIF
2011-05-04 11:31 . 2011-05-04 11:31 -------- d-----w- c:\arquivos de programas\MSXML 4.0
2011-05-03 13:42 . 2011-05-06 10:16 -------- d-----w- c:\arquivos de programas\Arquivos comuns\GTK
2011-05-01 16:55 . 2011-05-01 16:55 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2011-04-30 14:59 . 2011-04-30 15:04 -------- d-----w- C:\xampp
2011-04-30 00:00 . 2011-04-30 00:00 -------- d-----w- C:\Declaracoes Gravadas RFB
2011-04-29 00:31 . 2011-04-30 00:28 -------- d-----w- c:\documents and settings\Neto\.receitanet
2011-04-29 00:31 . 2011-04-29 00:31 -------- d--h--w- c:\arquivos de programas\InstallJammer Registry
2011-04-29 00:30 . 2011-04-30 00:02 -------- d-----w- C:\Arquivos de Programas RFB
2011-04-28 23:32 . 2011-02-09 20:03 69632 ----a-w- c:\windows\system32\MSJCE.dll
2011-04-28 23:32 . 2011-04-28 23:32 -------- d-----w- c:\arquivos de programas\Programas RFB
2011-04-27 23:21 . 2011-04-29 22:24 142296 ----a-w- c:\arquivos de programas\Mozilla Firefox\components\browsercomps.dll
2011-04-27 23:20 . 2011-04-29 22:25 781272 ----a-w- c:\arquivos de programas\Mozilla Firefox\mozsqlite3.dll
2011-04-27 23:20 . 2011-04-29 22:25 1874904 ----a-w- c:\arquivos de programas\Mozilla Firefox\mozjs.dll
2011-04-27 23:20 . 2011-04-29 22:25 465880 ----a-w- c:\arquivos de programas\Mozilla Firefox\libGLESv2.dll
2011-04-27 23:20 . 2011-04-29 22:25 15832 ----a-w- c:\arquivos de programas\Mozilla Firefox\mozalloc.dll
2011-04-27 23:20 . 2011-04-29 22:25 89048 ----a-w- c:\arquivos de programas\Mozilla Firefox\libEGL.dll
2011-04-27 23:20 . 2011-04-29 22:24 1892184 ----a-w- c:\arquivos de programas\Mozilla Firefox\d3dx9_42.dll
2011-04-27 23:20 . 2011-04-29 22:24 1974616 ----a-w- c:\arquivos de programas\Mozilla Firefox\D3DCompiler_42.dll
2011-04-20 00:16 . 2011-04-20 00:16 0 ----a-w- c:\windows\system32\ConduitEngine.tmp
2011-04-19 23:25 . 2011-04-20 00:16 -------- d-----w- c:\arquivos de programas\ConduitEngine
2011-04-19 23:25 . 2011-04-20 00:16 -------- d-----w- c:\arquivos de programas\IncrediMail_MediaBar_2
2011-04-17 19:20 . 2011-04-17 19:21 -------- d-----w- c:\windows\system32\Adobe
.
.
.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-18 18:14 . 2011-02-07 14:39 46664 ----a-w- c:\windows\system32\drivers\gbpkm.sys
2011-03-13 12:38 . 2011-03-13 20:43 118845 ----a-w- c:\windows\Mac OSx Screensaver.scr
2011-03-07 05:31 . 2011-01-27 00:36 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2009-02-20 03:35 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:52 . 2009-02-20 03:36 1867008 ----a-w- c:\windows\system32\win32k.sys
2011-02-22 23:08 . 2009-02-20 03:36 916480 ----a-w- c:\windows\system32\wininet.dll
2011-02-22 23:08 . 2008-04-14 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-02-22 23:08 . 2008-04-14 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-02-22 11:43 . 2008-04-14 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-02-17 13:19 . 2009-02-20 03:36 457472 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:19 . 2009-02-20 03:36 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 09:24 5120 ----a-w- c:\windows\system32\xpsp4res.dll
2011-02-15 12:56 . 2008-04-14 12:00 290432 ----a-w- c:\windows\system32\atmfd.dll
2011-04-29 22:24 . 2011-04-27 23:21 142296 ----a-w- c:\arquivos de programas\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
.
[-] 2009-02-20 . 1D01C384F3BA123EB6F09769DEA005AC . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
Nota entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54 175912 ----a-w- c:\arquivos de programas\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}]
2011-01-17 14:54 175912 ----a-w- c:\arquivos de programas\IncrediMail_MediaBar_2\prxtbInc0.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}"= "c:\arquivos de programas\IncrediMail_MediaBar_2\prxtbInc0.dll" [2011-01-17 175912]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\arquivos de programas\ConduitEngine\prxConduitEngine.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0}"= "c:\arquivos de programas\IncrediMail_MediaBar_2\prxtbInc0.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Panda Malware Icon]
@="{F5D1CF73-C196-48F8-AAAC-B9181E22B4E6}"
[HKEY_CLASSES_ROOT\CLSID\{F5D1CF73-C196-48F8-AAAC-B9181E22B4E6}]
2010-12-16 20:18 320832 ----a-w- c:\arquivos de programas\Panda Security\Panda Cloud Antivirus\PSUNShell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Panda Suspect Icon]
@="{9AE343CB-BA45-4618-AF6A-0230EE6FC793}"
[HKEY_CLASSES_ROOT\CLSID\{9AE343CB-BA45-4618-AF6A-0230EE6FC793}]
2010-12-16 20:18 320832 ----a-w- c:\arquivos de programas\Panda Security\Panda Cloud Antivirus\PSUNShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2010-04-17 3872080]
"googletalk"="c:\documents and settings\Bueno\Dados de aplicativos\Google Talk\googletalk.exe" [2011-05-09 133632]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"PSUNMain"="c:\arquivos de programas\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" [2011-02-24 423232]
"COMODO Internet Security"="c:\arquivos de programas\COMODO\COMODO Internet Security\cfp.exe" [2011-01-27 2548552]
"NBAgent"="c:\arquivos de programas\Nero\Nero 10\Nero BackItUp\NBAgent.exe" [2010-09-28 1406248]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{E37CB5F0-51F5-4395-A808-5FA49E399003}"= "c:\arquivos de programas\GbPlugin\gbiehcef.dll" [2011-04-18 496072]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginCef]
2011-04-18 18:12 496072 ----a-w- c:\arquivos de programas\GbPlugin\gbiehcef.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"USB Gamepad"=c:\windows\USB Vibration\7906\USB Gamepad.exe -boot
"SunJavaUpdateSched"="c:\arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"
.[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=
"c:\\Arquivos de programas\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Arquivos de programas\\IncrediMail\\Bin\\IncMail.exe"=
"c:\\Arquivos de programas\\IncrediMail\\Bin\\ImApp.exe"=
"c:\\Arquivos de programas\\IncrediMail\\Bin\\ImpCnt.exe"=
"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=
"c:\\Arquivos de programas\\Java\\jre6\\bin\\javaw.exe"=
"d:\\Diversos\\Games\\Outros\\Installed Games\\Electronic Arts\\The Sims 3\\Game\\Bin\\TS3.exe"=
"c:\\xampp\\apache\\bin\\httpd.exe"=
.
R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [7/2/2011 11:39 46664]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [27/1/2011 09:09 691696]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [10/9/2010 22:40 239368]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [10/9/2010 22:40 27576]
R1 PSINKNC;PSINKNC;c:\windows\system32\drivers\PSINKNC.sys [16/12/2010 17:12 130376]
R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [7/2/2011 11:39 56776]
R2 NanoServiceMain;Panda Cloud Antivirus Service;c:\arquivos de programas\Panda Security\Panda Cloud Antivirus\PSANHost.exe [16/12/2010 17:19 140608]
R2 NAUpdate;@c:\arquivos de programas\Nero\Update\NASvc.exe,-200;c:\arquivos de programas\Nero\Update\NASvc.exe [4/5/2010 12:07 503080]
R2 PSINAflt;PSINAflt;c:\windows\system32\drivers\PSINAflt.sys [16/12/2010 17:12 141768]
R2 PSINFile;PSINFile;c:\windows\system32\drivers\PSINFile.sys [16/12/2010 17:12 97352]
R2 PSINProc;PSINProc;c:\windows\system32\drivers\PSINProc.sys [16/12/2010 17:12 111944]
R2 PSINProt;PSINProt;c:\windows\system32\drivers\PSINProt.sys [16/12/2010 17:12 113096]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\arquivos de programas\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe [1/12/2010 14:27 1483072]
R3 hid7906;MAP2A10K;c:\windows\system32\drivers\hid7906.sys [20/3/2011 13:58 34793]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\arquivos de programas\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [7/10/2010 12:34 10064]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/3/2010 13:16 130384]
S3 ip100xp;ENCORE 10/100Mbps Fast Ethernet PCI Adapter NT Driver;c:\windows\system32\drivers\ipfnd51.sys [26/1/2011 22:02 26752]
S3 RkPavproc1;RkPavproc1;c:\windows\system32\drivers\RkPavproc1.sys [8/5/2011 19:02 17544]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/3/2010 13:16 753504]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Conteúdo da pasta 'Tarefas Agendadas'
.
2011-05-16 c:\windows\Tasks\PandaUSBVaccine.job
.
2011-05-16 c:\windows\Tasks\User_Feed_Synchronization-{4F316B9D-258F-4C9F-AA53-F966EE798D80}.job
.
.
------- Scan Suplementar -------
.
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - hxxps://imagem.caixa.gov.br/cab/GBPDIST2K.CAB
FF - ProfilePath - c:\documents and settings\Bueno\Dados de aplicativos\Mozilla\Firefox\Profiles\jqx5orjl.default\
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
.
------- Associação de arquivos/ficheiros -------
.
.txt=
.
.
Toolbar-Locked - (no file)
HKLM_ActiveSetup-{0DA3B9B7-3DB5-97A1-DA31-969D6950BB42} - c:\windows\system32:winsock32.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-16 09:00
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwClose, ZwOpenFile
.
Procurando processos ocultos ...
.
Procurando entradas auto inicializáveis ocultas ...
.
Procurando ficheiros/arquivos ocultos ...
.
Varredura completada com sucesso
arquivos/ficheiros ocultos: 0
.
**************************************************************************
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------
.
c:\windows\system32\guard32.dll
c:\arquivos de programas\GbPlugin\gbiehcef.dll
.
c:\windows\system32\guard32.dll
.
Tempo para conclusão: 2011-05-16 09:04:43
ComboFix-quarantined-files.txt 2011-05-16 12:04
.
Pré-execução: 8 pasta(s) 23.722.213.376 bytes disponíveis
Pós execução: 16 pasta(s) 29.324.607.488 bytes disponíveis
.
WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
Muito embora eu tenha esquecid e deletar GMER do disco C :P
*Abra o bloco de notas e cole nele o código abaixo:
>
Folder::
c:\arquivos de programas\ConduitEngine
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-
[-HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
*Salve o arquivo no desktop como CFScript.txt
*Arraste-o para o Combofix conforme ilustração abaixo:
/applications/core/interface/imageproxy/imageproxy.php?img=http://www.brimg.com/uploads/3/b2ea2c6367.gif&key=451782690bde92be5957ddd7161af4ef06e56dabefbde6c5a8b434dca7137738" alt="b2ea2c6367.gif" />
*Enquanto o combofix estiver em execução, não use o mouse nem o teclado!!
*Cole o relatório apresentado
Como requisitado:
ComboFix 11-05-15.04 - Bueno 16/05/2011 19:44:57.2.1 - x86Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.1023.481 [GMT -3:00]
Executando de: c:\documents and settings\Bueno\Desktop\ComboFix.exe
Comandos utilizados :: c:\documents and settings\Bueno\Desktop\CFScript.txt
AV: Panda Cloud Antivirus Disabled/Updated {5AD27692-540A-464E-B625-78275FA38393}
FW: COMODO Firewall Enabled {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
.
ADS - drivers: deleted 208 bytes in 1 streams.
.
((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\arquivos de programas\ConduitEngine
c:\arquivos de programas\ConduitEngine\appContextMenu.xml
c:\arquivos de programas\ConduitEngine\ConduitEngine.dll
c:\arquivos de programas\ConduitEngine\ConduitEngineHelper.exe
c:\arquivos de programas\ConduitEngine\ConduitEngineUninstall.exe
c:\arquivos de programas\ConduitEngine\engineContextMenu.xml
c:\arquivos de programas\ConduitEngine\EngineSettings.json
c:\arquivos de programas\ConduitEngine\INSTALL.LOG
c:\arquivos de programas\ConduitEngine\prxConduitEngine.dll
c:\arquivos de programas\ConduitEngine\toolbar.cfg
.
.
(((((((((((((((( Arquivos/Ficheiros criados de 2011-04-16 to 2011-05-16 ))))))))))))))))))))))))))))
.
.
2011-05-13 21:28 . 2011-05-13 22:07 -------- d-----w- C:\GMER
2011-05-11 11:09 . 2011-05-11 11:33 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Nero
2011-05-11 11:01 . 2011-05-11 11:01 -------- d-----w- c:\arquivos de programas\Microsoft Silverlight
2011-05-09 10:02 . 2011-05-14 00:19 -------- d-----w- c:\documents and settings\Bueno
2011-05-08 22:02 . 2009-10-07 17:28 17544 ----a-w- c:\windows\system32\drivers\RkPavproc1.sys
2011-05-08 21:19 . 2011-05-14 19:18 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Nero
2011-05-08 21:16 . 2011-05-11 10:21 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Ahead
2011-05-08 21:16 . 2011-05-11 10:21 -------- d-----w- c:\arquivos de programas\Ahead
2011-05-08 15:39 . 2011-05-14 19:39 -------- d-----w- c:\arquivos de programas\Nero
2011-05-08 15:38 . 2011-05-08 15:45 -------- d-----w- c:\windows\SxsCaPendDel
2011-05-08 15:08 . 2004-12-29 05:57 17505 ----a-r- C:\DBI.EXE
2011-05-08 13:24 . 2010-12-01 17:29 31552 ----a-w- c:\windows\system32\TURegOpt.exe
2011-05-07 21:16 . 2011-05-16 00:03 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\DVD Shrink
2011-05-07 21:16 . 2011-05-07 21:16 -------- d-----w- c:\arquivos de programas\DVD Shrink
2011-05-06 10:24 . 2011-05-06 10:24 -------- d--h--w- c:\windows\PIF
2011-05-04 11:31 . 2011-05-04 11:31 -------- d-----w- c:\arquivos de programas\MSXML 4.0
2011-05-03 13:42 . 2011-05-06 10:16 -------- d-----w- c:\arquivos de programas\Arquivos comuns\GTK
2011-05-01 16:55 . 2011-05-01 16:55 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2011-04-30 14:59 . 2011-04-30 15:04 -------- d-----w- C:\xampp
2011-04-30 00:00 . 2011-04-30 00:00 -------- d-----w- C:\Declaracoes Gravadas RFB
2011-04-29 00:31 . 2011-04-30 00:28 -------- d-----w- c:\documents and settings\Neto\.receitanet
2011-04-29 00:31 . 2011-04-29 00:31 -------- d--h--w- c:\arquivos de programas\InstallJammer Registry
2011-04-29 00:30 . 2011-04-30 00:02 -------- d-----w- C:\Arquivos de Programas RFB
2011-04-28 23:32 . 2011-02-09 20:03 69632 ----a-w- c:\windows\system32\MSJCE.dll
2011-04-28 23:32 . 2011-04-28 23:32 -------- d-----w- c:\arquivos de programas\Programas RFB
2011-04-27 23:21 . 2011-04-29 22:24 142296 ----a-w- c:\arquivos de programas\Mozilla Firefox\components\browsercomps.dll
2011-04-27 23:20 . 2011-04-29 22:25 781272 ----a-w- c:\arquivos de programas\Mozilla Firefox\mozsqlite3.dll
2011-04-27 23:20 . 2011-04-29 22:25 1874904 ----a-w- c:\arquivos de programas\Mozilla Firefox\mozjs.dll
2011-04-27 23:20 . 2011-04-29 22:25 465880 ----a-w- c:\arquivos de programas\Mozilla Firefox\libGLESv2.dll
2011-04-27 23:20 . 2011-04-29 22:25 15832 ----a-w- c:\arquivos de programas\Mozilla Firefox\mozalloc.dll
2011-04-27 23:20 . 2011-04-29 22:25 89048 ----a-w- c:\arquivos de programas\Mozilla Firefox\libEGL.dll
2011-04-27 23:20 . 2011-04-29 22:24 1892184 ----a-w- c:\arquivos de programas\Mozilla Firefox\d3dx9_42.dll
2011-04-27 23:20 . 2011-04-29 22:24 1974616 ----a-w- c:\arquivos de programas\Mozilla Firefox\D3DCompiler_42.dll
2011-04-20 00:16 . 2011-04-20 00:16 0 ----a-w- c:\windows\system32\ConduitEngine.tmp
2011-04-19 23:25 . 2011-04-20 00:16 -------- d-----w- c:\arquivos de programas\IncrediMail_MediaBar_2
2011-04-17 19:20 . 2011-04-17 19:21 -------- d-----w- c:\windows\system32\Adobe
.
.
.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-18 18:14 . 2011-02-07 14:39 46664 ----a-w- c:\windows\system32\drivers\gbpkm.sys
2011-03-13 12:38 . 2011-03-13 20:43 118845 ----a-w- c:\windows\Mac OSx Screensaver.scr
2011-03-07 05:31 . 2011-01-27 00:36 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2009-02-20 03:35 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:52 . 2009-02-20 03:36 1867008 ----a-w- c:\windows\system32\win32k.sys
2011-02-22 23:08 . 2009-02-20 03:36 916480 ----a-w- c:\windows\system32\wininet.dll
2011-02-22 23:08 . 2008-04-14 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-02-22 23:08 . 2008-04-14 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-02-22 11:43 . 2008-04-14 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-02-17 13:19 . 2009-02-20 03:36 457472 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:19 . 2009-02-20 03:36 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 09:24 5120 ----a-w- c:\windows\system32\xpsp4res.dll
2011-04-29 22:24 . 2011-04-27 23:21 142296 ----a-w- c:\arquivos de programas\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
.
[-] 2009-02-20 . 1D01C384F3BA123EB6F09769DEA005AC . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
Nota entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}]
2011-01-17 14:54 175912 ----a-w- c:\arquivos de programas\IncrediMail_MediaBar_2\prxtbInc0.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}"= "c:\arquivos de programas\IncrediMail_MediaBar_2\prxtbInc0.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0}"= "c:\arquivos de programas\IncrediMail_MediaBar_2\prxtbInc0.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Panda Malware Icon]
@="{F5D1CF73-C196-48F8-AAAC-B9181E22B4E6}"
[HKEY_CLASSES_ROOT\CLSID\{F5D1CF73-C196-48F8-AAAC-B9181E22B4E6}]
2010-12-16 20:18 320832 ----a-w- c:\arquivos de programas\Panda Security\Panda Cloud Antivirus\PSUNShell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Panda Suspect Icon]
@="{9AE343CB-BA45-4618-AF6A-0230EE6FC793}"
[HKEY_CLASSES_ROOT\CLSID\{9AE343CB-BA45-4618-AF6A-0230EE6FC793}]
2010-12-16 20:18 320832 ----a-w- c:\arquivos de programas\Panda Security\Panda Cloud Antivirus\PSUNShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2010-04-17 3872080]
"googletalk"="c:\documents and settings\Bueno\Dados de aplicativos\Google Talk\googletalk.exe" [2011-05-09 133632]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"PSUNMain"="c:\arquivos de programas\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" [2011-02-24 423232]
"COMODO Internet Security"="c:\arquivos de programas\COMODO\COMODO Internet Security\cfp.exe" [2011-01-27 2548552]
"NBAgent"="c:\arquivos de programas\Nero\Nero 10\Nero BackItUp\NBAgent.exe" [2010-09-28 1406248]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{E37CB5F0-51F5-4395-A808-5FA49E399003}"= "c:\arquivos de programas\GbPlugin\gbiehcef.dll" [2011-04-18 496072]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginCef]
2011-04-18 18:12 496072 ----a-w- c:\arquivos de programas\GbPlugin\gbiehcef.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"USB Gamepad"=c:\windows\USB Vibration\7906\USB Gamepad.exe -boot
"SunJavaUpdateSched"="c:\arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"
.[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=
"c:\\Arquivos de programas\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Arquivos de programas\\IncrediMail\\Bin\\IncMail.exe"=
"c:\\Arquivos de programas\\IncrediMail\\Bin\\ImApp.exe"=
"c:\\Arquivos de programas\\IncrediMail\\Bin\\ImpCnt.exe"=
"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=
"c:\\Arquivos de programas\\Java\\jre6\\bin\\javaw.exe"=
"d:\\Diversos\\Games\\Outros\\Installed Games\\Electronic Arts\\The Sims 3\\Game\\Bin\\TS3.exe"=
"c:\\xampp\\apache\\bin\\httpd.exe"=
.
R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [7/2/2011 11:39 46664]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [27/1/2011 09:09 691696]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [10/9/2010 22:40 239368]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [10/9/2010 22:40 27576]
R1 PSINKNC;PSINKNC;c:\windows\system32\drivers\PSINKNC.sys [16/12/2010 17:12 130376]
R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [7/2/2011 11:39 56776]
R2 NanoServiceMain;Panda Cloud Antivirus Service;c:\arquivos de programas\Panda Security\Panda Cloud Antivirus\PSANHost.exe [16/12/2010 17:19 140608]
R2 NAUpdate;@c:\arquivos de programas\Nero\Update\NASvc.exe,-200;c:\arquivos de programas\Nero\Update\NASvc.exe [4/5/2010 12:07 503080]
R2 PSINAflt;PSINAflt;c:\windows\system32\drivers\PSINAflt.sys [16/12/2010 17:12 141768]
R2 PSINFile;PSINFile;c:\windows\system32\drivers\PSINFile.sys [16/12/2010 17:12 97352]
R2 PSINProc;PSINProc;c:\windows\system32\drivers\PSINProc.sys [16/12/2010 17:12 111944]
R2 PSINProt;PSINProt;c:\windows\system32\drivers\PSINProt.sys [16/12/2010 17:12 113096]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\arquivos de programas\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe [1/12/2010 14:27 1483072]
R3 hid7906;MAP2A10K;c:\windows\system32\drivers\hid7906.sys [20/3/2011 13:58 34793]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\arquivos de programas\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [7/10/2010 12:34 10064]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/3/2010 13:16 130384]
S3 ip100xp;ENCORE 10/100Mbps Fast Ethernet PCI Adapter NT Driver;c:\windows\system32\drivers\ipfnd51.sys [26/1/2011 22:02 26752]
S3 RkPavproc1;RkPavproc1;c:\windows\system32\drivers\RkPavproc1.sys [8/5/2011 19:02 17544]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/3/2010 13:16 753504]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Conteúdo da pasta 'Tarefas Agendadas'
.
2011-05-16 c:\windows\Tasks\PandaUSBVaccine.job
.
2011-05-16 c:\windows\Tasks\User_Feed_Synchronization-{4F316B9D-258F-4C9F-AA53-F966EE798D80}.job
.
.
------- Scan Suplementar -------
.
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - hxxps://imagem.caixa.gov.br/cab/GBPDIST2K.CAB
FF - ProfilePath - c:\documents and settings\Bueno\Dados de aplicativos\Mozilla\Firefox\Profiles\jqx5orjl.default\
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
.
AddRemove-conduitEngine - c:\arquivos de programas\ConduitEngine\ConduitEngineUninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-16 19:53
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwClose, ZwOpenFile
.
Procurando processos ocultos ...
.
Procurando entradas auto inicializáveis ocultas ...
.
Procurando ficheiros/arquivos ocultos ...
.
Varredura completada com sucesso
arquivos/ficheiros ocultos: 0
.
**************************************************************************
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------
.
c:\windows\system32\guard32.dll
c:\arquivos de programas\GbPlugin\gbiehcef.dll
.
c:\windows\system32\guard32.dll
.
Tempo para conclusão: 2011-05-16 19:55:36
ComboFix-quarantined-files.txt 2011-05-16 22:55
ComboFix2.txt 2011-05-16 12:04
.
Pré-execução: 15 pasta(s) 29.287.698.432 bytes disponíveis
Pós execução: 16 pasta(s) 29.278.248.960 bytes disponíveis
.
Uma pergunta.
Percebi que a cada execução do ComboFix alguns "resets" são feitos como devolver aquilo qe foi removido do Menu Iniciar (Documentos Recentes, Minhas Imagens e etc.), atalhos sob o menu Novo, no menu de Contexto do botão direito sobre o Desktop, Definição do Firefox como Navegador Padrão e etc.
É normal?
Sim...ele pode retornar a algumas configurações.
Ficou faltando só um arquivo para remover.
Vamos lá...
O log do combofix está limpo.
1.
*Renomei o Combofix para Uninstall
*Execute-o
*Aguarde a mensagem: "ComboFix está desinstalado" e clique [OK]
2.
*Baixe o Avenger e salve-o no desktop
*Extraia para o desktop
*Selecione e copie (Ctrl+c) o código:
>
Files to delete:
c:\windows\system32\ConduitEngine.tmp
*Execute o Avenger
*Clique [Load Script] > [Paste from Clipboard] > [Execute] > [OK]
*O PC será reiniciado
*Cole o relatório apresentado
Desculpe a demora, peguei mais uma super gripe e nem cheguei perto do PC.
Segue o relatório.
Logfile of The Avenger Version 2.0, © by Swandog46http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "c:\windows\system32\ConduitEngine.tmp" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Contudo, devo salientar:
O reinício requerido pelo Avenger não ocorreu autmaticamente. Ao autorizar o reinício, aparentemente tudo foi desligado prém o PC não reiniciou de fato. Fiz manualmente.
Talvez por isso o relatório não tenha sido apresentado manualmente. Sendo assim, copiei-o de onde suspeitava que estaria ( C: ).
Assim que religuei o PC e abri o disco local para abrir o relatório, o Panda Cloud capturou e eliminou um aparente vírus nomeado como cleanup.exe com referência à esse link.
Eu acredito, embora não possa confirmar, que seja parte do Avenger já que minutos depois (enquanto escrevo isso) o próprio Avenger foi pêgo e elimnado do Desktop, apontando para esse link.
Sem problema...
Em relação ao Avenger o Panda pelo menos já encurtou a limpeza....:)
Delete o arquivo C:\avenger.txt e a pasta C:\avenger.
O PC está limpo.:)
Um abraço.
Antes de encerrarmos o tópico, a título de curiosidade para ver se é problema com softwarte ou algo no hardware.
Existe alguma explicaão para que o scroll do mouse fique "biruta" às vezes. Vez ou outra, rodo a rodinha para baixo e, do nada, a tela (seja qual for) sobe, como se eu tivesse rodado ela para cima.
Outras vezes, o efeito que tenho (principalmente no Firefox) é igual o de segurar Ctrl e rodar a rodinha (controle de zoom).
Não que seja um problema enorme, mas às vezes irrita.
Já experimentou testar com outro mouse?...acredito que seja algum defeito neste mouse.
PROBLEMA RESOLVIDO
Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.
Olá Bruno Augusto
1.
*Baixe o AD-Remover e salve-o no desktop
*Execute-o, clique [Clean] > [sim] > [OK] > [sim]
*O PC será reiniciado
*Cole o relatório C:\Ad-Report-CLEAN[1].txt
2.
*Baixe o DDS e salve-o no desktop
*Execute-o e salve os relatórios (DDS.txt e Attach.txt) no desktop
*Cole o relatório DDS.txt
3.
*Baixe o GMER e salve-o no desktop
*Crie uma pasta chamada GMER em C:\ e extraia para lá
*Desative temporariamente o antivírus
*Feche todos os programas ativos, inclusive o seu navegador
*Execute-o
*Caso receba a mensagem de atividade de rootkit e se deseja fazer um scan, clique [NÃO]
Na coluna da direita, desmarque:
>
[] IAT/EAT
[] Show All
*Clique [scan] e aguarde o término
*Clique [save...] e salve no desktop
*Cole o relatório