[Arquivado]Gerenciador Financeiro

[Rackson 0]

Salve Salve Jgarcia

 

Esses dias apareceu uma pasta chamada Banco do Brasil dentro de "c:".

Como eh uma LAN, pensei q era soh pasta de usuário burro então eu fui e deletei.

Mais hoje eu tava mechendo aqui qndo apareceu uma janela com o nome GERENCIADOR FINANCEIRO, com logo e tudo do Banco do Brasil. Essa janela não podia ser fechada, nem finalizada pelo Gerenciador de Arquivos, já que eu não sabia qual o nome do processo. Essa janela pedia "Chave de Acesso", "Senha de Acesso" e "Senha Teclado Virtual".

Dae eu fui tentar reiniciar o pc, mais naum deu, simplesmente não reiniciou e dae eu resetei. Mas acho q esse deve ser mais um problema.

 

Tah, basicamente eh "só" isso q tah acontecendo...

Tipoh c alguem poder ajudar... heh... agradeço...

 

Flow.

 

Ah, meu log xD

 

Logfile of HijackThis v1.99.1

Scan saved at 09:57:38, on 15/3/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\AgentSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\Agent\agent391.bin

C:\WINDOWS\VM_STI.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\windows\system32\taskmgr32.scr

C:\WINDOWS\explorer.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sunshinemineiros.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sunshinemineiros.com.br/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {4254E07D-1B18-446C-BA07-20A70E629F88} - C:\ARQUIV~1\AEVITA~1\SAVEFL~1.DLL

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Arquivos de programas\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

O3 - Toolbar: &AEVITA Save Flash - {33973600-925A-11D9-A1F6-9234C84D2622} - C:\ARQUIV~1\AEVITA~1\SAVEFL~1.DLL

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [drwatson32.exe] C:\WINDOWS\system32\drwatson32.exe

O4 - HKLM\..\RunServicesOnce: [Geto] C:\GetoMan\Client\VerMan.exe

O4 - HKLM\..\RunServicesOnce: [Geto Plus] C:\GetoMan\Client\VerMan.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [taskmgr32] C:\windows\system32\taskmgr32.scr

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: AEVITA Save Flash - {0C4D904C-697B-4F51-B82F-D5D8D8D36405} - C:\ARQUIV~1\AEVITA~1\SAVEFL~1.DLL

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6BD64452-2FDD-400E-AB25-EEF93895A2A1} (Gazzag Chat) - http://www.gazzag.com/gim/gazzagchatctl.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{903ED721-548C-40AC-9CCF-C969B0724D44}: NameServer = 200.163.66.5,200.163.66.3

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Geto Agent Service (GetoAgent) - Unknown owner - C:\WINDOWS\system32\AgentSvc.exe

[jgarcia 1]

Caro Rackson,

 

Vamos lá.

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

Desinstale:

--> AEVITA Save Flash

 

Utilize Adicionar / Remover programas.

 

Desinstale e reinicie após tê-lo desinstalado.

 

1ª Etapa

 

Baixe o Killbox em:

Killbox

 

Execute o KillBox:

1) Selecione Delete on reboot;

2) Full path of file to delete;

3) Coloque:

C:\windows\system32\taskmgr32.scr - Aperte X. Responda “não” à pergunta.

 

Repita a operação para:

C:\WINDOWS\system32\drwatson32.exe

C:\ARQUIV~1\AEVITA~1

Caso o Killbox acuse a não existência de algum arquivo/pasta, apenas passe para o próximo.

 

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo Seguro e a conexão à internet não será possível.

 

2ª Etapa

 

Reinicie o computador em Modo Seguro (após reiniciar aperte a tecla F8 até aparecer uma tela preta em DOS e escolha Modo Seguro).

 

Execute o HijackThis, clique em Do a system scan only e marque:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {4254E07D-1B18-446C-BA07-20A70E629F88} - C:\ARQUIV~1\AEVITA~1\SAVEFL~1.DLL

O3 - Toolbar: &AEVITA Save Flash - {33973600-925A-11D9-A1F6-9234C84D2622} - C:\ARQUIV~1\AEVITA~1\SAVEFL~1.DLL

O4 - HKLM\..\Run: [drwatson32.exe] C:\WINDOWS\system32\drwatson32.exe

O4 - HKCU\..\Run: [taskmgr32] C:\windows\system32\taskmgr32.scr

O9 - Extra button: AEVITA Save Flash - {0C4D904C-697B-4F51-B82F-D5D8D8D36405} - C:\ARQUIV~1\AEVITA~1\SAVEFL~1.DLL

O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab

Clique em Fix Checked.

 

3ª Etapa

 

Reinicie em modo normal.

 

Verifique se os problemas foram resolvidos e poste o novo log.

 

Um abraço.

[Rackson 0]

Salve Jgarcia

Fiz oq c falou e logo depois de ter deletado aqueles arquivos pelo killbox! ja deu pra reiniciar.

Parece q ta tudo beleza por aqui.

Vai meu log abaixo:

 

Logfile of HijackThis v1.99.1

Scan saved at 10:16:59, on 18/3/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\AgentSvc.exe

C:\WINDOWS\system32\Agent\agent391.bin

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\VM_STI.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\WINDOWS\explorer.exe

C:\Hijackthis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sunshinemineiros.com.br/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Arquivos de programas\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [drwatson32.exe] C:\WINDOWS\system32\drwatson32.exe

O4 - HKLM\..\RunServicesOnce: [Geto] C:\GetoMan\Client\VerMan.exe

O4 - HKLM\..\RunServicesOnce: [Geto Plus] C:\GetoMan\Client\VerMan.exe

O4 - HKCU\..\Run: [taskmgr32] C:\windows\system32\taskmgr32.scr

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6BD64452-2FDD-400E-AB25-EEF93895A2A1} (Gazzag Chat) - http://www.gazzag.com/gim/gazzagchatctl.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{903ED721-548C-40AC-9CCF-C969B0724D44}: NameServer = 200.163.66.5,200.163.66.3

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Geto Agent Service (GetoAgent) - Unknown owner - C:\WINDOWS\system32\AgentSvc.exe

[jgarcia 1]

Caro Rackson,

 

Execute o HijackThis, clique em Do a system scan only e marque:

O4 - HKLM\..\Run: [drwatson32.exe] C:\WINDOWS\system32\drwatson32.exe

O4 - HKCU\..\Run: [taskmgr32] C:\windows\system32\taskmgr32.scr

Clique em Fix Checked.

 

Poste o novo log.

 

Abraços.

[Rackson 0]

Salve Salve Jgarcia

 

Quanto ao troço la do Banco do Brasil, parou de aparecer.

Qndo fui mecher hj nesse pc, tava abrindo uma janela do IE toda hora, com um endereço q eu esqueci de anotar, mais tava so dando A Página Não pode ser Exibida, só que depois q eu fiz oq você falou e reiniciei ficou tudo de boa (aparentemente).

 

Meu novo log vai abaixo.

 

 

Ah, pergunta: Eu posso deletar esse troço de Gazzag tb, c não utilizar?

O16 - DPF: {6BD64452-2FDD-400E-AB25-EEF93895A2A1} (Gazzag Chat) - http://www.gazzag.com/gim/gazzagchatctl.cab

 

Logfile of HijackThis v1.99.1

Scan saved at 17:33:27, on 20/3/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\AgentSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\Agent\agent391.bin

C:\WINDOWS\VM_STI.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sunshinemineiros.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sunshinemineiros.com.br/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Arquivos de programas\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\RunServicesOnce: [Geto] C:\GetoMan\Client\VerMan.exe

O4 - HKLM\..\RunServicesOnce: [Geto Plus] C:\GetoMan\Client\VerMan.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6BD64452-2FDD-400E-AB25-EEF93895A2A1} (Gazzag Chat) - http://www.gazzag.com/gim/gazzagchatctl.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{903ED721-548C-40AC-9CCF-C969B0724D44}: NameServer = 200.163.66.5,200.163.66.3

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Geto Agent Service (GetoAgent) - Unknown owner - C:\WINDOWS\system32\AgentSvc.exe

[jgarcia 1]

Caro Rackson,

 

Vá em Iniciar --> Executar --> digite msconfig --> dê Ok --> aba Iniciar --> marque todas as caixas.

 

Feito isto poste um novo log.

 

Abraços.

[Rackson 0]

Salve Jgacia

 

Seguinte, marquei todas as caixas, exeto a do MsnPlus, do Winampa, do NecoChec e do winzip32 que acho não fazer muita diferença.

 

Pois bem, tinha um tal de System32.exe que a algum tempoo Avast! bloqueou ele na inicialização, tipoh ele tava lah no "msconfig" pra iniciar. Perguntei pra várias pessoas se eles tinham esse arquivo pra iniciar, e ninguem tinha. Então deduzi que não era um arquivo necessário pra inicializar e podia ser maléfico. Então dismarquei a caixa do tal System32. Mas quando você disse pra marcar todas, esta em marquei também. Oque ocorreu quando eu reiniciei foi que o Avast! falou que este mesmo arquivo estava infectado. Movi ele pra Quarentena e reiniciei.

Depois eu fui lá no msconfig e o System32 não tava la mais pra iniciar, só que agora na PO** do internet explorer ta aparecento uma barra cinza de Search com várias abas (essa barra é bem manjada) escrito tipoh "News", "Mp3", etc...

Também apareceu umas duas vezes uma barra azul com uns troços de cassino e tal na parte inferior do navegador e devez enquanto aparece a janelinha do Avast! que aparece toda vez que você abre o internet explorer... é como c ele estivesse bloqueando algo tipoh um a página da internet de ser executada.

 

beleza é isso ae...

 

abaixo vai meu novo log:

 

 

Logfile of HijackThis v1.99.1

Scan saved at 09:32:05, on 24/3/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\AgentSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Agent\agent391.bin

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\VM_STI.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\pctspk.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

c:\arquiv~1\intern~1\iexplore.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fvsjwbevhagcdwzxvxwl.com/1eRw0c...c1ptl3wgps0.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sunshinemineiros.com.br/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {91FF73B3-AEAD-4666-A124-95F7920CF64E} - C:\DOCUME~1\ADMINI~1\DADOSD~1\4mp3\BendIntra.exe

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Arquivos de programas\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [secondUploadAntiJump] C:\Documents and Settings\All Users.WINDOWS\Dados de aplicativos\balmgreysecondupload\dent multi.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [fourfordtickbash] C:\Documents and Settings\All Users.WINDOWS\Dados de aplicativos\ArmyWaitFourFord\coal sixth.exe

O4 - HKLM\..\RunServicesOnce: [Geto] C:\GetoMan\Client\VerMan.exe

O4 - HKLM\..\RunServicesOnce: [Geto Plus] C:\GetoMan\Client\VerMan.exe

O4 - HKCU\..\Run: [surf cash] C:\DOCUME~1\ADMINI~1\DADOSD~1\INFOSAFE\Lite trans.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6BD64452-2FDD-400E-AB25-EEF93895A2A1} (Gazzag Chat) - http://www.gazzag.com/gim/gazzagchatctl.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{903ED721-548C-40AC-9CCF-C969B0724D44}: NameServer = 200.163.66.5,200.163.66.3

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Geto Agent Service (GetoAgent) - Unknown owner - C:\WINDOWS\system32\AgentSvc.exe

[jgarcia 1]

Caro Rackson,

 

Vamos lá.

 

1ª Etapa

 

Baixe o Uninstall Lop em:

Uninstall Lop

 

Execute-o.

 

2ª Etapa

 

Execute o KillBox:

1) Selecione Delete on reboot;

2) Full path of file to delete;

3) Coloque:

C:\DOCUME~1\ADMINI~1\DADOSD~1\4mp3 - Aperte X. Responda “não” à pergunta.

 

Repita a operação para:

C:\Documents and Settings\All Users.WINDOWS\Dados de aplicativos\balmgreysecondupload

C:\Documents and Settings\All Users.WINDOWS\Dados de aplicativos\ArmyWaitFourFord

C:\DOCUME~1\ADMINI~1\DADOSD~1\INFOSAFE

Caso o Killbox acuse a não existência de algum arquivo/pasta, apenas passe para o próximo.

 

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo Seguro e a conexão à internet não será possível.

 

3ª Etapa

 

Reinicie o computador em Modo Seguro.

 

Execute o HijackThis, clique em Do a system scan only e marque:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fvsjwbevhagcdwzxvxwl.com/1eRw0c...c1ptl3wgps0.php

O2 - BHO: (no name) - {91FF73B3-AEAD-4666-A124-95F7920CF64E} - C:\DOCUME~1\ADMINI~1\DADOSD~1\4mp3\BendIntra.exe

O4 - HKLM\..\Run: [secondUploadAntiJump] C:\Documents and Settings\All Users.WINDOWS\Dados de aplicativos\balmgreysecondupload\dent multi.exe

O4 - HKLM\..\Run: [fourfordtickbash] C:\Documents and Settings\All Users.WINDOWS\Dados de aplicativos\ArmyWaitFourFord\coal sixth.exe

O4 - HKCU\..\Run: [surf cash] C:\DOCUME~1\ADMINI~1\DADOSD~1\INFOSAFE\Lite trans.exe

Clique em Fix Checked.

 

4ª Etapa

 

Reinicie em modo normal.

 

Verifique se os problemas foram resolvidos e poste o novo log.

 

Um abraço.

[Sam Spade 2]

Tópico Arquivado

 

Como o autor não respondeu por mais de 20 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.