[Arquivado] Win XP - Aparência do desktop

[Kleber Esposto 0]

Olá JGarcia,consegui realizar as atividades do activedesktop.reg (arquivo .txt com informações de mudanças para serem feitas no registro (regedit), não é isso?) e rodei o fix.reg, mas continuo com a aparência da barra de ferramentas etc. com a cara do Win 98. As informações em .txt do arquivo desktopfix.reg eu não soube como utilizá-las. Sou leigo nas edições de registro, criação de chave e etc. Ahhh, não sei se muda aguma coisa, mas pode ser uma informação útil: meu Win XP é em inglês.Algumas pessoas me disseram que esse problema pode ser resolvido simplesmete alterando as propriedades do desktop, mudando de priorizar desempenho para priorizar aparência, mas não acho essa possibilidade nas configurações. Será que pode ser isso? Onde encontro para fazer essa mudança?Mais uma vez obrigado pela força,Kleber.

[jgarcia 1]

Opa Kleber Esposto,

 

Baixe:

 

Restorethemes.reg

 

-e-

 

Restore Luna Theme

 

* Para o Restorethemes.reg aja assim:

 

Clique com o botão direito do mouse --> escolha Salvar destino como (melhor salvar no desktop).

 

O arquivo.reg será baixado. Dê duplo clique sobre o arquivo. Responda "sim" quando for perguntado sobre as adições ao registro.

 

Reinicie o PC.

 

-ou-

 

* Para o Restore Luna Theme aja assim:

 

Descompacte o arquivo dentro da pasta C:\Windows\Resources.

 

Reinicie o PC.

 

Caso as ferramentas acima não resolvam o problema partiremos para outras ações. ;)

 

Um abraço.

[Kleber Esposto 0]

JGarcia,infelizmente nada de voltar a cara do meu WinXP!!!Abraço, Kleber.

[jgarcia 1]

Opa Kleber Esposto,

 

Vamos ao ataque.

 

1ª Etapa

 

Baixe o smitRem.exe em:

smitRem

 

Salve-o em sua área de trabalho.

 

Rode o smitRem.exe e clique em Start. Ele vai criar uma pasta na área de trabalho chamada smitRem. Não execute ainda.

 

Baixe o FixSF.reg em:

FixSF.reg

 

Baixe e salve-o como FixSF.reg em seu Desktop, mas não execute ainda.

 

Baixe o AVG AntiSpyware em:

AVG AntiSpyware

 

* Selecione "English" como idioma para a instalação;

* Clique em Next --> I Agree --> Next --> Next. Desmarque a caixa Install background guard e clique em Install e depois Finish;

* Na janela principal do AVG AntiSpyware clique em Actualizar no menu esquerdo e então clique em Iniciar actualização;

* Quando a atualização terminar, você verá a mensagem Actualizado com sucesso no canto inferior esquerdo;

* Pronto, mas não o execute ainda.

 

Baixe o CCleaner em:

CCleaner

 

Baixe, mas não execute ainda.

 

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo Seguro e a conexão à internet não será possível.

 

2ª Etapa

 

Reinicie em Modo Seguro.

 

Entre na pasta smitRem que deve estar na sua área de trabalho e rode o RunThis.bat. Pode levar algum tempo. Seja paciente.

 

Dê duplo-clique sobre o FixSF.reg contido em seu Desktop e responda "sim" à pergunta sobre as modificações no registro.

 

Execute uma verificação completa com o AVG AntiSpyware.

 

* Abra o AVG AntiSpyware e clique em Verificar --> Verificação Completa do Sistema;

* O AVG AntiSpyware detecta alguns programas legítimos, portanto não marque a caixa que diz Executar a ação em todas as infecções. Se o AVG AntiSpyware encontrar um arquivo que você acredita ser legítimo, escolha a opção "Nenhuma" e clique em OK. Caso contrário, deixe em Remover e clique em OK.

* Quando o AVG AntiSpyware terminar, feche-o.

 

3ª Etapa

 

Reinicie o computador em Modo Normal.

 

Execute o CCleaner e clique em Executar Cleaner.

 

Verifique se o problema foi resolvido.

 

Abraços.

[Kleber Esposto 0]

JGarcia,já havia feito esse procedimento antes mas, mesmo assim, segui suas sugestões e o repeti. Detectou alguns cookies e spy, nada muito sério, e eu os apaguei.Parece que o micro está normal em funcionamento e a diferença maior que eu percebo são a barra de tarefas e as janelas que continuam com a aparência do 98. Será que não seja só alguma configuração que eu não esteja conseguindo alterar? Não me parece ser mais problemas de malwares...Aliás, uso o AVG anti-vírus, o AVG anti-spyware (mas sem a proteção residente, que não é disponibilizada na versão free) e o Firewall do Windows. Pelo que vejo, toda vez há algum traço de invasão, ou possível invasão no meu micro. O que você sugere para eu estar melhor protegido e que seja free?Bom, será que temos mais alguma opção para retomar a aparência da barra de tarefas e das janelas?Abraço, Kleber.

[jgarcia 1]

Opa Kleber Esposto,

 

Poste um novo log do SilentRunners, conforme instruções contidas no Post #6.

 

Abraços.

[Kleber Esposto 0]

JGarcia,

 

segue o conteúdo do arquivo.

 

Valeu, Kleber.

 

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"

 

 

Startup items buried in registry:

---------------------------------

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

"msnmsgr" = ""C:\Program Files\MSN Messenger\msnmsgr.exe" /background" [MS]

"WMPNSCFG" = "C:\Program Files\Windows Media Player\WMPNSCFG.exe" [MS]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" ["HP"]

"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]

"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]

"hpsysdrv" = "c:\windows\system\hpsysdrv.exe" ["Hewlett-Packard Company"]

"Cpqset" = "C:\Program Files\HPQ\Default Settings\cpqset.exe" [null data]

"LWBMOUSE" = "C:\Program Files\Mouse Driver\Mouse Driver\5.2\MOUSE32A.EXE" [empty string]

"Windows Defender" = ""C:\Program Files\Windows Defender\MSASCui.exe" -hide" [MS]

"Share-to-Web Namespace Daemon" = "C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)

-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"

\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{2E3C3651-B19C-4DD9-A979-901EC3E930AF}\(Default) = "CompSegIB"

-> {HKLM...CLSID} = "ssh2 Class"

\InProcServer32\(Default) = "C:\WINDOWS\system32\scpsssh2.dll" ["Scopus Tecnologia Ltda"]

{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)

-> {HKLM...CLSID} = "Windows Live Sign-in Helper"

\InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

{AE7CD045-E861-484f-8273-0445EE161910}\(Default) = (no title provided)

-> {HKLM...CLSID} = "Adobe PDF Conversion Toolbar Helper"

\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

{C08DF07A-3E49-4E25-9AB0-D3882835F153}\(Default) = (no title provided)

-> {HKLM...CLSID} = "QUICKfind BHO Object"

\InProcServer32\(Default) = "C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll" [null data]

{C41A1C0E-EA6C-11D4-B1B8-444553540000}\(Default) = "G-Buster Browser Defense"

-> {HKLM...CLSID} = "GbIehObj Class"

\InProcServer32\(Default) = "C:\WINDOWS\Downloaded Program Files\gbieh.dll" ["Banco do Brasil"]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"

-> {HKLM...CLSID} = "HyperTerminal Icon Ext"

\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

-> {HKLM...CLSID} = (no title provided)

\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]

"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E37CB5F0-51F5-4395-A808-5FA49E399F83}" = "GbPlugin ShlObj"

-> {HKLM...CLSID} = "GbPluginObj Class"

\InProcServer32\(Default) = "C:\WINDOWS\Downloaded Program Files\gbieh.dll" ["Banco do Brasil"]

"{506F4668-F13E-4AA1-BB04-B43203AB3CC0}" = "{506F4668-F13E-4AA1-BB04-B43203AB3CC0}"

-> {HKLM...CLSID} = "ImageExtractorShellExt Class"

\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Visio11\VISSHE.DLL" [null data]

"{D66DC78C-4F61-447F-942B-3FB6980118CF}" = "{D66DC78C-4F61-447F-942B-3FB6980118CF}"

-> {HKLM...CLSID} = "CInfoTipShellExt Class"

\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Visio11\VISSHE.DLL" [null data]

"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universal Plug and Play Devices"

-> {HKLM...CLSID} = "Universal Plug and Play Devices"

\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"

-> {HKLM...CLSID} = "AVG7 Shell Extension Class"

\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"

-> {HKLM...CLSID} = "AVG7 Find Extension Class"

\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"

-> {HKLM...CLSID} = (no title provided)

\InProcServer32\(Default) = "C:\Program Files\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]

"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"

-> {HKLM...CLSID} = "Acrobat Elements Context Menu"

\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]

"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"

-> {HKLM...CLSID} = "Minhas Pastas de Compartilhamento"

\InProcServer32\(Default) = "C:\Program Files\MSN Messenger\fsshext.8.0.0812.00.dll" [MS]

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

-> {HKLM...CLSID} = "Portable Media Devices Menu"

\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

"{A4DF5659-0801-4A60-9607-1C48695EFDA9}" = "Share-to-Web Upload Folder"

-> {HKLM...CLSID} = "Share-to-Web Upload Folder"

\InProcServer32\(Default) = "C:\Program Files\Hewlett-Packard\HP Share-to-Web\HPGS2WNS.DLL" ["Hewlett-Packard"]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

<<!>> "{E37CB5F0-51F5-4395-A808-5FA49E399F83}" = "GbPlugin ShlObj"

-> {HKLM...CLSID} = "GbPluginObj Class"

\InProcServer32\(Default) = "C:\WINDOWS\Downloaded Program Files\gbieh.dll" ["Banco do Brasil"]

<<!>> "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}" = "Microsoft AntiMalware ShellExecuteHook"

-> {HKLM...CLSID} = "Microsoft AntiMalware ShellExecuteHook"

\InProcServer32\(Default) = "C:\PROGRA~1\WINDOW~4\MpShHook.dll" [MS]

<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"

-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"

\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["Anti-Malware Development a.s."]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

-> {HKLM...CLSID} = "WPDShServiceObj Class"

\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

 

HKLM\Software\Classes\PROTOCOLS\Filter\

<<!>> text/x-mrml\CLSID = "{C51721BE-858B-4A66-A8BF-D2882FF49820}"

-> {HKLM...CLSID} = "MRLMimeFilter Class"

\InProcServer32\(Default) = "C:\Program Files\YAMAHA\MidRadio Player\midradio.ocx" ["YAMAHA CORPORATION"]

<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

-> {HKLM...CLSID} = (no title provided)

\InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

 

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

-> {HKLM...CLSID} = "PDF Shell Extension"

\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

 

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"

-> {HKLM...CLSID} = "Acrobat Elements Context Menu"

\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]

AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"

-> {HKLM...CLSID} = "CContextScan Object"

\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]

AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"

-> {HKLM...CLSID} = "AVG7 Shell Extension Class"

\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"

-> {HKLM...CLSID} = "CContextScan Object"

\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"

-> {HKLM...CLSID} = "AVG7 Shell Extension Class"

\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

-> {HKLM...CLSID} = "WinZip"

\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

 

 

Group Policies {policy setting}:

--------------------------------

 

Note: detected settings may not have any effect.

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

 

"NoResolveTrack" = (REG_DWORD) hex:0x00000001

{unrecognized setting}

 

"NoActiveDesktop" = (REG_DWORD) hex:0x00000000

{Disable Active Desktop}

 

"NoSaveSettings" = (REG_DWORD) hex:0x00000000

{Don't save settings at exit}

 

"ClassicShell" = (REG_DWORD) hex:0x00000000

{Enable Classic Shell / Turn on Classic Shell}

 

"NoThemesTab" = (REG_DWORD) hex:0x00000000

{unrecognized setting}

 

"ForceActiveDesktopOn" = (REG_DWORD) hex:0x00000000

{Enable Active Desktop}

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

 

"NoResolveTrack" = (REG_DWORD) hex:0x00000001

{unrecognized setting}

 

""NoActiveDesktop"=-" = (REG_SZ) (empty string)

{unrecognized setting}

 

""ForceActiveDesktopOn"=-" = (REG_MULTI_SZ) (empty string)

{unrecognized setting}

 

"NoActiveDesktopChanges" = (REG_DWORD) hex:0x00000000

{unrecognized setting}

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

 

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000

{Prevent access to registry editing tools}

 

"NoDispScrSavPage" = (REG_DWORD) hex:0x00000000

{unrecognized setting}

 

"NoColorChoice" = (REG_DWORD) hex:0x00000000

{unrecognized setting}

 

"NoSizeChoice" = (REG_DWORD) hex:0x00000000

{unrecognized setting}

 

"NoVisualStyleChoice" = (REG_DWORD) hex:0x00000000

{unrecognized setting}

 

"DisableTaskMgr" = (REG_DWORD) hex:0x00000000

{Remove Task Manager}

 

"NoDispAppearancePage" = (REG_DWORD) hex:0x00000000

{unrecognized setting}

 

"NoDispBackgroundPage" = (REG_DWORD) hex:0x00000000

{Hide Desktop tab}

 

"NoDispCPL" = (REG_DWORD) hex:0x00000000

{Remove Display in Control Panel}

 

"NoDispSettingsPage" = (REG_DWORD) hex:0x00000000

{unrecognized setting}

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

 

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001

{Shutdown: Allow system to be shut down without having to log on}

 

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001

{Devices: Allow undock without having to log on}

 

"DisableTaskMgr" = (REG_DWORD) hex:0x00000000

{unrecognized setting}

 

 

Active Desktop and Wallpaper:

-----------------------------

 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\hp1400.bmp"

 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\WINDOWS\hp1400.bmp"

 

 

Enabled Screen Saver:

---------------------

 

HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

 

 

Startup items in "Owner" & "All Users" startup folders:

-------------------------------------------------------

 

C:\Documents and Settings\All Users\Start Menu\Programs\Startup

"Alarm Manager" -> shortcut to: "C:\Program Files\Palm\AlarmApp.exe" ["Palm, Inc."]

 

 

Enabled Scheduled Tasks:

------------------------

 

"BACKUP DO PALM" -> launches: "C:\WINDOWS\system32\ntbackup.exe backup "@C:\Documents and Settings\Owner\Local Settings\Application Data\Microsoft\Windows NT\NTBackup\data\BACKUP DO PALM.bks" /a /d "Set created 04/08/2006 at 10:39" /v:yes /r:no /rs:no /hc:off /m incremental /j "BACKUP DO PALM" /l:s /f "C:\Documents and Settings\Owner\My Documents\BACKUP\BACKUP_DADOSPALM.bkf"" [MS]

"BACKUP" -> launches: "C:\WINDOWS\system32\ntbackup.exe backup "@C:\Documents and Settings\Owner\Local Settings\Application Data\Microsoft\Windows NT\NTBackup\data\BACKUP.bks" /a /d "Set created 02/08/2006 at 16:59" /v:yes /r:no /rs:no /hc:off /m incremental /j "BACKUP" /l:s /f "C:\Documents and Settings\Owner\My Documents\BACKUP\BACKUP_MEUSDOCUMENTOS.bkf"" [MS]

"FAZENDO BACKUP" -> launches: "C:\WINDOWS\system32\ntbackup.exe backup "@C:\Documents and Settings\Owner\Local Settings\Application Data\Microsoft\Windows NT\NTBackup\data\FAZENDO BACKUP.bks" /a /d "Set created 02/08/2006 at 17:04" /v:yes /r:no /rs:no /hc:off /m incremental /j "FAZENDO BACKUP" /l:s /f "C:\Documents and Settings\Owner\My Documents\BACKUP\BACKUP_MEUSDOCUMENTOS.bkf"" [MS]

"MP Scheduled Scan" -> launches: "C:\Program Files\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges" [MS]

 

 

Winsock2 Service Provider DLLs:

-------------------------------

 

Namespace Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

 

Transport Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 47

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

 

 

Toolbars, Explorer Bars, Extensions:

------------------------------------

 

Toolbars

 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"

-> {HKLM...CLSID} = "Adobe PDF"

\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

 

HKLM\Software\Microsoft\Internet Explorer\Toolbar\

"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = (no title provided)

-> {HKLM...CLSID} = "Adobe PDF"

\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

 

Explorer Bars

 

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

{182EC0BE-5110-49C8-A062-BEB1D02A220B}\(Default) = (no title provided)

-> {HKLM...CLSID} = "Adobe PDF"

\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll" ["Adobe Systems Incorporated"]

 

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Research"

Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]

InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

 

Extensions (Tools menu items, main toolbar menu buttons)

 

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\

"ButtonText" = "Research"

 

{E2E2DD38-D088-4134-82B7-F2BA38496583}\

"MenuText" = "@xpsp3res.dll,-20001"

"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

 

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [file not found]

 

 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

 

AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["Anti-Malware Development a.s."]

AVG E-mail Scanner, AVGEMS, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe" ["GRISOFT, s.r.o."]

AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe" ["GRISOFT, s.r.o."]

AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe" ["GRISOFT, s.r.o."]

Fax, Fax, "C:\WINDOWS\system32\fxssvc.exe" [MS]

HP Configuration Interface Service, HPConfig, "C:\WINDOWS\system32\HPConfig.exe" ["Hewlett-Packard"]

Registry Management Service, RegManServ, "C:\Program Files\Advanced Registry Doctor\RegManServ.exe" [null data]

Serviço Messenger Sharing USN Journal Reader, usnsvc, "C:\WINDOWS\system32\svchost.exe -k usnsvc" {"C:\Program Files\MSN Messenger\usnsvc.dll" [MS]}

Windows Defender, WinDefend, ""C:\Program Files\Windows Defender\MsMpEng.exe"" [MS]

Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}

 

 

Print Monitors:

---------------

 

HKLM\System\CurrentControlSet\Control\Print\Monitors\

Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" ["Adobe Systems Incorporated."]

hpzlnt04\Driver = "hpzlnt04.dll" ["HP"]

Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]

Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]

PDF Port\Driver = "C:\WINDOWS\System32\pdfports.dll" [file not found]

 

 

----------

<<!>>: Suspicious data at a malware launch point.

 

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

DLL launch points, use the -supp parameter or answer "No" at the

first message box and "Yes" at the second message box.

---------- (total run time: 54 seconds, including 3 seconds for message boxes)

[jgarcia 1]

Opa Kleber Esposto,

 

Vamos lá.

 

Reinicie o PC em Modo Seguro.

 

Vá em Iniciar -> Executar -> digite regedit -> dê Ok.

 

Navegue até a seguinte subchave:

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

 

No painel à direita delete:

 

"NoResolveTrack"

"NoActiveDesktop"

"NoSaveSettings"

"ClassicShell"

"NoThemesTab"

"ForceActiveDesktopOn"

 

Dê um clique direito sobre a tela à direita. Escolha Novo -> Valor DWORD.

 

Dê o nome de NoDriveTypeAutoRun.

 

Selecione-o, dê um clique direito -> Modificar.

 

Coloque 91 em Dados do valor.

 

Dê um clique direito sobre a tela à direita novamente. Escolha Novo -> Valor DWORD.

 

Dê o nome de NoInternetIcon.

 

Selecione-o, dê um clique direito -> Modificar.

 

Coloque 1 em Dados do valor.

 

Navegue até a seguinte subchave:

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

 

No painel à direita delete:

 

"NoResolveTrack"

""NoActiveDesktop"=-"

""ForceActiveDesktopOn"=-"

"NoActiveDesktopChanges"

 

Navegue até a seguinte subchave:

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

 

No painel à direita delete:

 

"DisableRegistryTools"

"NoDispScrSavPage"

"NoColorChoice"

"NoSizeChoice"

"NoVisualStyleChoice"

"DisableTaskMgr"

"NoDispAppearancePage"

"NoDispBackgroundPage"

"NoDispCPL"

"NoDispSettingsPage"

 

Navegue até a seguinte subchave:

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System

 

No painel à direita delete:

 

"DisableTaskMgr"

 

Saia do Editor do Registro.

 

Reinicie em Modo Normal.

 

O seu papel de parede é (ou era) este:

C:\WINDOWS\hp1400.bmp

 

Aguardo retorno.

 

Abraços.

[Kleber Esposto 0]

JGarcia,segui todos os passos mas ainda não consegui ter minha barra de tarefas do WinXP de volta.Valeu, Kleber.

[jgarcia 1]

C:\WINDOWS\hp1400.bmp

E este arquivo? Você conhece?

[Kleber Esposto 0]

JGarcia,eu sempre usava o tema tradicional do Win XP com o papel de parede da HP (marca do meu notebook) com resolução para 1400 dpi, que é a resolução que eu uso no meu desktop. Esse arquivo é o do papel de parede.Agora eu consigo colocar o tema do WinXP, mas ele não me devolve a aparência da barra de tarefas, que fica como a do Win 98. Eu trabalho com o mesmo papel de parede mas com a barra antiga.Kleber.

[jgarcia 1]

Opa Kleber Esposto,

 

Baixe e execute o task-fix.reg.

 

Retorne com o resultado.

 

Abraços.

[Kleber Esposto 0]

JGarcia,nada! Será que não vou conseguir ter a cara do XP de volta sem ser formatando ou com algum outro procedimento mais drático ainda?Abraço!

[jgarcia 1]

Opa Kleber Esposto,

 

Baixe o Fixwareout.

 

Feche todos os programas.

 

Execute o FixWareout (dê duplo clique sobre o ícone) --> "Next" --> "Install" --> "Finish" --> aperte qualquer tecla para continuar --> caso a ferramenta peça reboot, clique em Ok.

 

Verifique o arquivo C:\fixwareout\report.txt.

 

Preciso que coloque o conteúdo do report.txt em sua próxima resposta.

 

Abraços.

[Kleber Esposto 0]

JGarcia,

 

aí está o conteúdo do report.

 

Abraço.

 

 

Fixwareout Last edited 2/11/2007

Post this report in the forums please

...

»»»»»Prerun check

 

»»»»» System restarted

 

»»»»» Postrun check

HKLM\SOFTWARE\~\Winlogon\ "System"=""

....

....

»»»»» Misc files.

....

»»»»» Checking for older varients.

....

 

Search five digit cs, dm, kd, jb, other, files.

The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.

 

 

 

Click browse, find the file then click submit.

http://www.virustotal.com/flash/index_en.html

Or http://virusscan.jotti.org/

 

»»»»» Other

 

 

 

»»»»» Current runs

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb04.exe"

"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"

"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"

"hpsysdrv"="c:\\windows\\system\\hpsysdrv.exe"

"Cpqset"="C:\\Program Files\\HPQ\\Default Settings\\cpqset.exe"

"LWBMOUSE"="C:\\Program Files\\Mouse Driver\\Mouse Driver\\5.2\\MOUSE32A.EXE"

"Windows Defender"="\"C:\\Program Files\\Windows Defender\\MSASCui.exe\" -hide"

"Share-to-Web Namespace Daemon"="C:\\Program Files\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"

"Skype"="\"C:\\Program Files\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"

"WMPNSCFG"="C:\\Program Files\\Windows Media Player\\WMPNSCFG.exe"

....

Hosts file was reset, If you use a custom hosts file please replace it

C:\WINDOWS\System32\AUTOEXEC.NT missing

»»»»» End report »»»»»

[jgarcia 1]

Opa Kleber Esposto,

 

1. Baixe o Spyware Doctor em:

Spyware Doctor

 

2. Baixe e atualize o bando de dados, mas não execute ainda.

 

3. Reinicie em Modo Seguro;

 

4. Execute uma verificação completa com o Spyware Doctor.

 

5. Reinicie em Modo Normal;

 

6. Retorne com o resultado.

 

Abraços.

[Kleber Esposto 0]

JGarcia,baixei e rodei o Spyware Doctor. Ele detectou alguns maliciosos, que eu autorizei deleção. Mas acho que o fato de eu não conseguir ter a aparência do XP de volta não está relacionado a alguma praga agindo na máquina. Digo isso porque ontem tentei conectá-lo a uma TV pela saída Super vídeo e não consegui pois não estava disponível a opção de eu configurar para mandar a imagem para uma TV nas propriedades de vídeo do meu notebook. Assim, não foram só as configurações de aparência que tiveram problemas, mas outras também. Acredito que o ataque do spysheriff tenha corrompido essa parte do meu Sistema Operacional e por isso eu esteja tendo esses problemas.O que você acha? Tem algua solução para isso que não seja formatar? Tentar recuperar o estado original do Windows antes do ataque é inviável, pois ele aconteceu há mais de dois meses.Um abraço, Kleber.

[jgarcia 1]

Opa Kleber Esposto,

 

Vou estudar o seu caso neste fim de semana e retornarei com alguma informação, ok.

 

Abraços.

[Shine 0]

Tópico Arquivado

 

Como o autor não respondeu ao tópico por mais de 20 dias, o mesmo foi arquivado.

 

Caso você seja o autor do tópico e quer que o mesmo seja reaberto, envie uma mensagem privada para um moderador com um link para este tópico e explique o motivo da reabertura.