[Resolvido!]perdi meu antivirus!

[antonov 0]

ola pessoal! de repente sumiu meu antivirus, avast e agora travou a internet e outras opções!o que faço!obrigado

[jgarcia 1]

Opa antonov,

 

Faça o seguinte:

 

Baixe o HijackThis versão 1.99.1.

 

Depois > Iniciar > Meu Computador > 02 cliques no C > Coloca o HijackThis no C (extraindo do zip --> para uma pasta própria tipo c:/Hijack).

 

Execute o Hijack a partir do C, fechando os demais programas (deixando somente a área de trabalho).

 

Clique em Do a system scan and save a logfile, mas não marque nada, apenas poste o log gerado aqui neste mesmo tópico.

 

Abraços.

[antonov 0]

ola J Garcia, obrigado pela sua atenção! vou fazer sua receita e em breve aqui colocarei. As vezes o cumputador trava totalmente desliga a coneção. perdi tambem o mediaplay. Fiz uma varredura pela symantec e tomo a liberdade de coloca-la abaixo. :\WINDOWS\internt.exe está infectado com Dialer.Generic C:\WINDOWS\system32\directx.exe está infectado com Trojan.Monicker C:\WINDOWS\system32\vbsys.dll_old está infectado com Trojan Horse C:\WINDOWS\system32\vbsys2.dll está infectado com Trojan Horse C:\WINDOWS\pchealth\explorer.exe está infectado com Trojan.Monicker C:\WINDOWS\exefld\15228265.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\15230062.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\15251687.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\15276890.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\15297843.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\15452031.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\3011890.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\347531.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\349437.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\350093.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\352515.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\358765.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\366187.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\367468.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\375093.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\375328.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\376906.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\382843.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\384078.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\385828.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\389250.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\391593.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\392359.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\392703.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\399546.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\407500.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\412281.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\412765.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\413140.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\423062.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\429281.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\432796.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\448781.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\450734.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\451484.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\456375.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\468656.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\469546.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\470000.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\470906.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\471593.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\473468.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\478828.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\484359.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\488140.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\518218.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\531265.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\536046.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\544968.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\553968.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\564500.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\576812.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\590468.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\618781.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\633500.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\640218.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\640828.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\658562.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\694250.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\732218.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\801218.exe está infectado com Bloodhound.Beagle C:\WINDOWS\exefld\908609.exe está infectado com Bloodhound.Beagle C:\Arquivos de programas\WinRAR\WinRar_3-0_All.exe está infectado com Downloader C:\Arquivos de programas\ipwins\ipwins.exe está infectado com Adware.MaxSearch C:\Arquivos de programas\Ipwindows\ipwins.dll está infectado com Adware.MaxSearch C:\Arquivos de programas\Ipwindows\ipwins.exe está infectado com Adware.MaxSearch C:\Arquivos de programas\Ipwindows\Uninst.exe está infectado com Adware.MaxSearch

[antonov 0]

bom dia JGarcia,

abaixo o scan feito agora pouco

 

Logfile of HijackThis v1.99.1

Scan saved at 16:25:06, on 23/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\VitalSigns\Net.Medic\Program\netMedic.exe

C:\Arquivos de programas\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

C:\ARQUIV~1\VITALS~1\Net.Medic\Program\syshook.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\hijack\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

&http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.comkitel.com.br/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Downloads\getright6\getright[1].pro.v.6.0a.cracked-tsrh\xx2gr.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NVMixerTray] "C:\Arquivos de programas\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [PCLEPCI] C:\ARQUIV~1\Pinnacle\PPE\PPE.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Arquivos de programas\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe

O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\Luiz\Dados de aplicativos\hidires\hidr.exe

O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe

O4 - Global Startup: Net.Medic.lnk = C:\Arquivos de programas\VitalSigns\Net.Medic\Program\netMedic.exe

O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Arquivos de programas\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

O8 - Extra context menu item: Abrir com o GetRight Browser - C:\DOWNLO~1\GETRIG~1\GETRIG~1.CRA\GRbrowse.htm

O8 - Extra context menu item: Download com o GetRight - C:\DOWNLO~1\GETRIG~1\GETRIG~1.CRA\GRdownload.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -

http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Arquivos de programas\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {33331111-1111-1111-1111-611111193423} -

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: DirectX Service (DirectQopr) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[jgarcia 1]

Opa antonov,

 

Rapaz, quanta praga! :skull:

 

Bem, vamos lá.

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

Desinstale:

-> ipwins

-> Ipwindows

 

Utilize Adicionar / Remover programas.

 

Obs.: Caso não encontre algum dos programas acima citados na lista, apenas passe para a próxima etapa.

 

1ª Etapa

 

Baixe o Killbox em:

Killbox

 

Baixe, mas não execute ainda.

 

Baixe a ferramenta de correção da Symantec.

 

Baixe -> vá em Arquivo -> Salvar como em seu desktop, mas não a execute ainda.

 

Baixe o CCleaner em:

CCleaner

 

Baixe, mas não execute ainda.

 

2ª Etapa

 

Faça o seguinte:

 

Vá em Iniciar -->Executar --> digite services.msc e dê OK.

 

Procure o serviço DirectX Service.

 

Dê um clique direito nele e vá para Propriedades.

 

Clique em Parar e modifique o Tipo de Inicialização para Desativado.

 

1. Execute o Killbox, clique em Delete on Reboot.

 

2. Copie a lista abaixo em negrito para a área de transferência. Selecione tudo com o auxílio do mouse --> vá até a aba Editar na barra do navegador --> clique em Copiar.

 

C:\Arquivos de programas\WinRAR\WinRar_3-0_All.exe

C:\Documents and Settings\Luiz\Dados de aplicativos\hidires\hidr.exe

C:\Documents and Settings\Luiz\Dados de aplicativos\hidires\m_hook.sys

C:\Documents and Settings\Luiz\Dados de aplicativos\hidn\hidn2.exe

C:\WINDOWS\system32\hldrrr.exe

C:\WINDOWS\system32\wintems.exe

C:\WINDOWS\system32\directx.exe

C:\WINDOWS\system32\vbsys.dll_old

C:\WINDOWS\system32\vbsys2.dll

C:\WINDOWS\pchealth\explorer.exe

C:\WINDOWS\internt.exe

C:\WINDOWS\exefld

 

3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.

 

4. Aperte em "X". Responda "não" à pergunta.

 

3ª Etapa

 

Reinicie o computador em Modo Normal.

 

Execute a ferramenta de correção. Para isto dê um clique-direito sobre UnHookExec.inf contido em seu desktop e depois em instalar.

 

Vá em Iniciar -> Executar -> digite regedit -> dê Ok.

 

Navegue e delete as seguintes subchaves, se houver:

 

HKEY_CURRENT_USER\Software\FirstRRRun

HKEY_CURRENT_USER\Software\FIRSTRUXZX

 

Navegue até a seguinte subchave:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

No painel à direita, delete os seguintes valores, se houver:

 

"drvsyskit" = "%Userprofiles%\Application Data\hidires\hidr.exe"

"drvsyskit" = "%Userprofiles%\Application Data\hidires\m_hook.sys"

"drvsyskit" = "%Userprofiles%\Application Data\hidn\hidn2.exe"

"german.exe" = "%System%\wintems.exe"

"hldrrr" = "%System%\hldrrr.exe"

 

Navegue até a seguinte subchave:

 

HKEY_CURRENT_USER\Software\DateTime4

 

No painel à direita, restaure os seguintes valores originais, se necessário:

 

"port" = "0x5B7E"

"uid" = "[RANDOM]"

"wdrn" = "0x00000001"

 

Navegue até a seguinte subchave:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

 

Selecione a pasta (Control) -> dê um clique-direito -> Novo -> Chave -> coloque o nome de Safeboot.

 

Criada a pasta Safeboot, a selecione -> dê um clique-direito -> Novo -> Valor da sequência -> dê o nome de AlternateShell.

 

No painel à direita selecione AlternateShell -> dê um clique-direito -> Modificar -> no local destinado ao valor coloque cmd.exe.

 

Saia do Editor do Registro.

 

Localize e delete:

 

C:\Arquivos de programas\ipwins <- a pasta

C:\Arquivos de programas\Ipwindows <- a pasta

C:\Documents and Settings\Luiz\Dados de aplicativos\hidires <- a pasta

C:\Documents and Settings\Luiz\Dados de aplicativos\hidn <- a pasta

C:\WINDOWS\exefld <- a pasta

 

Vá até a pasta C:\!Killbox e delete o conteúdo.

 

4ª Etapa

 

Execute o HijackThis, clique em Open the Misc Tools section.

 

Clique em Delete an NT service.

 

Coloque:

 

DirectX Service

 

Elimine o serviço.

 

Execute o HijackThis novamente, clique em Do a system scan only e marque:

FR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe

O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe

O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\Luiz\Dados de aplicativos\hidires\hidr.exe

O4 - HKCU\..\Run: [german.exe] C:\WINDOWS\system32\wintems.exe

O16 - DPF: {33331111-1111-1111-1111-611111193423} -

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O23 - Service: DirectX Service (DirectQopr) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)

Clique em Fix Checked.

 

5ª Etapa

 

Reinicie em Modo Normal novamente.

 

Execute o CCleaner e clique em Executar Cleaner.

 

Retorne com um novo log do HijackThis.

 

Aguardo retorno.

 

Um abraço.

[antonov 0]

ola JGarcia! em primeiro meus agradecimentos pela ajuda! Isso faz você um cara muito especial e joga no meu time. Eu tambem exerço uma função "parasacerdotal" em eletronica. você sente prazer e o sucesso dos desconhecidos lhe causa uma benta sensação de leveza e paz (não há valor no mundo de materia que consegue comprar) e gozado ver o outros, eles envelhecem e nos não, por que? bem filosofia a parte, caso você precise de alguma coisa aqui de São Paulo, capital, considere resolvida, lcpair@hotmail.com estou as suas ordens.

 

bem abaixo segue o novo log, foi um tourada inesquecivel para um leigo convicto de informatica (sabe aquele medico, o genicologista, pois para sua mulher ele não passa de um lenhador!!!)

espero ter derrotado o touro embora eu torça para o touro, indios e acredito piamente: o banqueiro sempre (até hoje) é o chefe dos bandidos....

 

Luiz

 

Logfile of HijackThis v1.99.1

Scan saved at 21:49:44, on 23/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\VitalSigns\Net.Medic\Program\netMedic.exe

C:\Arquivos de programas\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

C:\ARQUIV~1\VITALS~1\Net.Medic\Program\syshook.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\hijack\para eliminar virus\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comkitel.com.br/

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Downloads\getright6\getright[1].pro.v.6.0a.cracked-tsrh\xx2gr.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NVMixerTray] "C:\Arquivos de programas\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [PCLEPCI] C:\ARQUIV~1\Pinnacle\PPE\PPE.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Arquivos de programas\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Net.Medic.lnk = C:\Arquivos de programas\VitalSigns\Net.Medic\Program\netMedic.exe

O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Arquivos de programas\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

O8 - Extra context menu item: Abrir com o GetRight Browser - C:\DOWNLO~1\GETRIG~1\GETRIG~1.CRA\GRbrowse.htm

O8 - Extra context menu item: Download com o GetRight - C:\DOWNLO~1\GETRIG~1\GETRIG~1.CRA\GRdownload.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Arquivos de programas\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9AAE91C2-8870-40AB-B93E-F866FE0D9BC5}: NameServer = 200.204.0.10 200.204.0.10

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[antonov 0]

se resolveu conforme o seu conhecimento, eu não sei, todavia agora consegui instalar um antivirus, coisa impossível anteriormente, e a maquina voltou com velocidade a todo bits....

[jgarcia 1]

Opa antonov,

 

Baixe o F-Secure Blacklight em:

F-Secure Blacklight

 

Salve-o em sua área de trabalho e o execute. Aceite o acordo.

 

Se ele encontrar algum arquivo, ignore, pois quero apenas o log.

 

Ao final do scan será gerado o arquivo fsb-xxxxx.log (onde xxx são números). Preciso que você copie o log e poste em sua próxima resposta.

 

Abraços.

[antonov 0]

ola Jgarcia meu good day!segue 02/24/07 19:23:01 [info]: BlackLight Engine 1.0.55 initialized02/24/07 19:23:01 [info]: OS: 5.1 build 2600 (Service Pack 2)02/24/07 19:23:01 [Note]: 7019 402/24/07 19:23:01 [Note]: 7005 002/24/07 19:23:17 [Note]: 7006 002/24/07 19:23:17 [Note]: 7011 143602/24/07 19:23:18 [Note]: 7026 002/24/07 19:23:18 [Note]: 7026 002/24/07 19:23:20 [Note]: FSRAW library version 1.7.102102/24/07 19:25:07 [Note]: 2000 101202/24/07 19:25:07 [Note]: 2000 101202/24/07 19:25:21 [Note]: 7007 0abs.antonov

[jgarcia 1]

Opa antonov,

 

Boa notícia: o seus logs estão LIMPOS. :thumbsup:

 

Para finalizar:

 

1. Desabilite e Reabilite a função de Restauração Automática do XP. Clique aqui para ver como.

 

Abraços.

 

PS.: Gostaria de saber como você foi infectado. Link do MSN? Link do Orkut? Esta informação é muito importante para mim.

[antonov 0]

realmente é uma boa notícia. A infecção, provalvelmente se deu no orkut. Eu tenho uma neguinha de quase dez anos que não saia de la. Com isso e outras esta afastada do orkut. o mestre recomenda qual programa para evitar todo esse alvoroço?absLuiz/antonovp.s.: a oferta permanecerá de pe! precisando algo de SumPaolo, avise-me, ok?

[jgarcia 1]

Opa antonov,

 

A manutenção de um bom trio (AV + Antispy + Firewall) e bons hábitos de navegação garantem a segurança do PC por meses à fio. ;)

 

Peça ao seu rebento que dê uma lida neste artigo aqui, a fim de que ele entenda os perigos do mundo virtual.

 

Abraços e disponha. :thumbsup:

[antonov 0]

ola JGarcia -valeu cara! como dizem os gauchos, precisando apareça, tche!antonov

[jgarcia 1]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto é necessário enviar uma Mensagem Privada para um Moderador com um link para o tópico.