[Resolvido!]ipwins.exe - Não foi possivel localizar componente

[cgsimoes 0]

De um tempo para ca, meu micro vem apresentando a seguinte mensagem ao ser inicializado:

ipwins.exe - Não foi possivel localizar componente

Este aplicativo não pôde ser iniciado porque não foi encontrado ipwins.dll. A reisntalação do aplicativo pode corrigir o problema.

Alem desta mensagem ficar travada, nao consigo fecha-la mesmo aparecendo o OK. A mesma é fechada automaticamente apos determinado tempo, sem que retorne novas mensagens.

Outro problema é a lentidao que esta apresentando em qualquer atividade que estamos executando e travamentos constantes, e na hora de desligar entao... este é um sacrificio, geralmente só funciona depois da terceira ou quarta tentativa do Iniciar/Desligar....

 

Será que poderiam me orientar de como prosseguir??

Grata

 

Segue Log para que possa verificar se trata-se de virus

Logfile of HijackThis v1.99.1

Scan saved at 02:02:47, on 22/3/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\windows\temp\adware\fsg_4104.exe

C:\program files\altnet\points manager\points manager.exe

C:\windows\system32\rlvknlg.exe

C:\Arquivos de programas\ExAlien.exe

C:\Arquivos de programas\Arquivos comuns\{08F7FC6B-0BB8-1046-0905-050825200037}\Update.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\Save\Save.exe

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\ExAlien.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\PROGRA~1\Altnet\DOWNLO~1\asm.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\pctspk.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\svchost.exe

C:\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orkut.com/GLogin.aspx?done=http...ww.orkut.com%2F

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Arquivos de programas\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O2 - BHO: (no name) - {3F20A1A5-97F9-9444-CD90-06191647AE51} - C:\WINDOWS\system32\upohsbm.dll

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\Arquivos de programas\RXToolBar\sfcont.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\ARQUIV~1\iGv6\igshop.dll (file missing)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Arquivos de programas\Arquivos comuns\{38F7FC6B-0BB8-1046-0905-050825200037}\MyToolBar.dll

O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\WINDOWS\Downloaded Program Files\gbiehabn.dll

O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\system32\mpeg4dec0.dll (file missing)

O3 - Toolbar: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\ARQUIV~1\iGv6\igshop.dll (file missing)

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Arquivos de programas\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O3 - Toolbar: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Arquivos de programas\Arquivos comuns\{38F7FC6B-0BB8-1046-0905-050825200037}\MyToolBar.dll

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [DC6_check] "C:\Arquivos de programas\Arquivos comuns\dc6_startupmon.exe"

O4 - HKLM\..\Run: [ERS_check] "C:\Arquivos de programas\Arquivos comuns\ers_startupmon.exe"

O4 - HKLM\..\Run: [ipWins] C:\Arquivos de programas\Ipwindows\ipwins.exe

O4 - HKLM\..\Run: [Trickler] "c:\windows\temp\adware\fsg_4104.exe"

O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s

O4 - HKLM\..\Run: [RelevantKnowledge] C:\windows\system32\rlvknlg.exe -boot

O4 - HKLM\..\Run: [ExAlien] C:\Arquivos de programas\ExAlien.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKCU\..\Run: [WhenUSave] "C:\Arquivos de programas\Save\Save.exe"

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: ExAlien.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\ARQUIV~1\iGv6\igshop.dll (file missing)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugi...GbPluginABN.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Arquivos de programas\RXToolBar\sfcont.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: winexz32 - winexz32.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Gbp Service (GbpSv) - GAS Tecnologia LTDA - C:\Arquivos de programas\GbPlugin\GbpSv.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

[Sam Spade 2]

Olá cgsimoes! O PC está bastante infectado. Há uma variedade grande de malwares e entre eles há um trojan banker. Este trojan captura senhas e as envia para um hacker. É recomendável que troque as mesmas, depois que limpar o PC.

 

Vamos usar uma ferramenta específica para este tipo de trojan e outra para fazer uma limpeza inicial em outros malwares. Baixe:

 

BankerFix

EliStarA > No final da página clique no botão Descargar EliStarA.

 

Salve ou imprima estas instruções:

 

1 - Desative o seu anti vírus temporariamente, para não haver conflitos.

 

2 - Dê dois cliques no bankerfix.exe para executá-lo.

 

Clique em OK na primeira e na segunda vez que aparecerem caixas de mensagem. Se você estiver executando o BankerFix pela segunda vez, ele irá pedir para verificar por uma atualização. Diga que Sim e depois clique em OK.

 

Quando ele executar, aparecerá uma tela preta pedindo para que aperte qualquer tecla. Tecle Enter e espere ele terminar. Pode levar algum tempo.

 

Ao terminar, leia a mensagem na tela e aperte Enter novamente.

 

3 - Reinicie o PC e aperte F8 intermitentemente. No menu escolha: modo seguro.

 

Rode o EliStarA e aguarde, pois o scan é demorado.

 

Ao final será gerado um log que encontrará em C:\infoSat.txt.

 

4 - Reinicie o PC em modo normal. Habilite o seu anti vírus novamente.

 

5 - Gere um novo log com o HijackThis.

 

Poste:

 

infoSat.txt

log do HijackThis

relatorio.txt do BankerFix > está em C:\LinhaDefensiva\

 

 

.

[cgsimoes 0]

Sam Spade

Muito Obrigada pela ajuda e apesar da demora segue os logs:

 

 

Mon Apr 16 22:53:43 2007

EliStartPage v13.74 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARQUIVOS DE PROGRAMAS\IPWINDOWS\IPWINS.EXE --> Eliminado MaxiFiles

C:\PROGRAM FILES\ALTNET\POINTS MANAGER\POINTS MANAGER.EXE --> AltNet Renombrado a .VIR

C:\WINDOWS\SYSTEM32\CD_CLINT.DLL --> Eliminado CyDoor

C:\ARQUIVOS DE PROGRAMAS\SAVE\SAVE.EXE --> Eliminado SaveNow

C:\ARQUIVOS DE PROGRAMAS\SAVE\SAVEUNINST.EXE --> Eliminado SaveNow

Por favor, envienos una muestra del fichero

C:\Muestras\MGSBAR.DLL.Muestra EliStartPage v13.74

a "virus@satinfo.es". Gracias.

C:\ARQUIVOS DE PROGRAMAS\MYGLOBALSEARCH\BAR\1.BIN\MGSBAR.DLL --> Eliminado

C:\PROGRAM FILES\ALTNET\DOWNLOAD MANAGER\ADM25.DLL --> Eliminado AltNet

C:\ARQUIVOS DE PROGRAMAS\ARQUIVOS COMUNS\WINANTIVIRUS PRO 2006\WAPCHK.DLL --> Eliminado WinAntiVirus Pro 2006

C:\PROGRAM FILES\ALTNET\DOWNLOAD MANAGER\ADM4.DLL --> Eliminado AltNet

C:\PROGRAM FILES\ALTNET\DOWNLOAD MANAGER\ASMPS.DLL --> AltNet Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "IPWINS"="C:\Arquivos de programas\Ipwindows\ipwins.exe"

Entrada Eliminada [HKLM\...\Run] "AltnetPointsManager"="c:\program files\altnet\points manager\points manager.exe -s"

Entrada Eliminada [HKLM\...\Run] "Trickler"=""c:\windows\temp\adware\fsg_4104.exe""

Entrada Eliminada [HKCU\...\Run] "WhenUSave"=""C:\Arquivos de programas\Save\Save.exe""

Eliminada Class, "{014DA6C9-189F-421A-88CD-07CFE51CFF10}" -> C:\Arquivos de programas\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

Eliminada Class, "{1D3BCE37-7834-4579-8169-E67681420A98}" -> C:\Program Files\Altnet\Download Manager\adm25.dll

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminada Class, "{2AB289AE-4B90-4281-B2AE-1F4BB034B647}" -> C:\Arquivos de programas\RXToolBar\sfcont.dll

Eliminada Class, "{3646C2BD-3554-49CA-8125-44DEEFB881DE}" -> NULL1

Eliminada Class, "{37B85A21-692B-4205-9CAD-2626E4993404}" -> C:\Arquivos de programas\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

Eliminada Class, "{3F4D4F88-0198-4921-B630-957F3EB814E0}" -> NULL1

Eliminada Class, "{59879FA4-4790-461C-A1CC-4EC4DE4CA483}" -> C:\Arquivos de programas\RXToolBar\sfcont.dll

Eliminada Class, "{9BBCF06C-DCD7-495D-80DF-CDD5399D0FF8}" -> NULL1

Eliminada Class, "{B2A3156E-3332-4b47-AF5A-5B121503514F}" -> C:\Arquivos de programas\Arquivos comuns\WinAntiVirus Pro 2006\WapCHK.dll

Eliminada Class, "{C15B7EA2-A360-43E8-A591-5FAEDC7C4E1D}" -> NULL1

Eliminada Class, "{DEF37997-D9C9-4A4B-BF3C-88F99EACEEC2}" -> C:\Program Files\Altnet\Download Manager\adm4.dll

Eliminada Class, "{E813099D-5529-47F4-9B37-4AFAFCB00A43}" -> C:\Program Files\Altnet\Download Manager\asmps.dll

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Application Data%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Archivos de Programa%\MyWay"

Eliminada Carpeta "%Archivos de Programa%\WinAntiVirus Pro 2006"

Eliminadas las Paginas de Inicio y de Busqueda del IE

 

Mon Apr 16 22:55:52 2007

EliStartPage v13.74 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "Trickler"=""c:\windows\temp\adware\fsg_4104.exe""

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Eliminados Ficheros Temporales del IE

 

Mon Apr 16 22:56:18 2007

EliStartPage v13.74 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Arquivos de programas\Common Files\Companion Wizard\WAPCHK.DLL --> Eliminado, WinAntiVirus Pro 2006

C:\Arquivos de programas\Common Files\Companion Wizard\WAPCHK{805D990D-707E-45DE-BE98-955CB741E2C3}.DLL --> Eliminado, WinAntiVirus Pro 2006

C:\Program Files\Altnet\Download Manager\ASMPS.DLL.VIR --> Acceso Denegado, AltNet

C:\WINDOWS\system32\IGFXHK.DLL --> Eliminado, MediaBack (BHO)

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\spool\drivers\w32x86\hpphotosmart_c3100_s4080\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\Temp\WIN3A3.TMP --> Eliminado, Dialer-Cool

C:\WINDOWS\Temp\Adware\FSG_4104.EXE --> Acceso Denegado, Gator Gain

 

Mon Apr 16 23:02:21 2007

EliStartPage v13.74 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\Altnet\Download Manager\ASMPS.DLL.VIR.VIR --> Acceso Denegado, AltNet

C:\WINDOWS\Temp\Adware\FSG_4104.EXE.VIR --> Eliminado, Gator Gain

 

Mon Apr 16 23:09:25 2007

EliStartPage v13.74 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos Comunes%\WinAntiVirus Pro 2006"

Eliminada Carpeta "%Archivos de Programa%\Save"

Eliminada Carpeta "\Program Files\AltNet"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

 

Mon Apr 16 23:09:42 2007

EliStartPage v13.74 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

*********************************************************************

Logfile of HijackThis v1.99.1

Scan saved at 23:16:28, on 16/4/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\pctspk.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

c:\windows\system32\rlvknlg.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Arquivos comuns\{08F7FC6B-0BB8-1046-0905-050825200037}\Update.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Scan2

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {3F20A1A5-97F9-9444-CD90-06191647AE51} - C:\WINDOWS\system32\upohsbm.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\ARQUIV~1\iGv6\igshop.dll (file missing)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Arquivos de programas\Arquivos comuns\{38F7FC6B-0BB8-1046-0905-050825200037}\MyToolBar.dll

O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\WINDOWS\Downloaded Program Files\gbiehabn.dll

O3 - Toolbar: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\ARQUIV~1\iGv6\igshop.dll (file missing)

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Arquivos de programas\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)

O3 - Toolbar: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Arquivos de programas\Arquivos comuns\{38F7FC6B-0BB8-1046-0905-050825200037}\MyToolBar.dll

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [DC6_check] "C:\Arquivos de programas\Arquivos comuns\dc6_startupmon.exe"

O4 - HKLM\..\Run: [ERS_check] "C:\Arquivos de programas\Arquivos comuns\ers_startupmon.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\ARQUIV~1\iGv6\igshop.dll (file missing)

O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugi...GbPluginABN.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: winexz32 - winexz32.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Gbp Service (GbpSv) - GAS Tecnologia LTDA - C:\Arquivos de programas\GbPlugin\GbpSv.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

*********************************************************************

BankerFix 2.2 - Removedor de Bankers

Linha Defensiva - http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

Data: 16/4/2007 - 22:48

=======================================================

Arquivo infectado detectado: C:\start.bat

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\WINDOWS\fonts\AUNZIP32.dll

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\WINDOWS\fonts\AZIP32.dll

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\WINDOWS\system32\Ie.exe

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\Arquivos de programas\ExAlien.exe

Arquivo infectado removido com sucesso!

 

Arquivo infectado detectado: C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\ExAlien.exe

Arquivo infectado removido com sucesso!

 

 

Log do FoxFix

=======================================================

Iniciando Log do PV

-----------------------------------

 

Killing '*'

 

Arquivos a remover

-----------------------------------

 

 

Arquivos ruins restantes

-----------------------------------

 

 

Reg Importado

-----------------------------------

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[Sam Spade 2]

Ok, limpou muita coisa no PC mas, ainda está com muitas infecções. O adware Relevant Knowledge modificou os Provedores de Serviço em Camada (LSP) e isso é um problema:

 

O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll

Veja aqui, para que saiba o que pode ocorrer. Por isso, deve seguir cuidadosamente as instruções, para não haver falhas. Baixe:

 

KillBox

LSP-Fix

WinSockFix

 

Copie e salve no Bloco de notas este texto em azul:

c:\windows\system32\rlvknlg.exe

C:\Arquivos de programas\Arquivos comuns\{08F7FC6B-0BB8-1046-0905-050825200037}\Update.exe

C:\WINDOWS\system32\upohsbm.dll

C:\Arquivos de programas\Arquivos comuns\{38F7FC6B-0BB8-1046-0905-050825200037}\MyToolBar.dll

C:\Arquivos de programas\Arquivos comuns\dc6_startupmon.exe

C:\Arquivos de programas\Arquivos comuns\ers_startupmon.exe

[Sam Spade 2]

Salve ou imprima estas instruções, pois vai segui-las desconectado e sem acesso a esta página:

 

1 - Copie o texto que salvou no bloco de notas. Rode o KillBox e marque Delete on Reboot, no menu File clique em Paste from Clipboard.

Depois clique no botão All Files.

 

Clique no botão . Responda Sim à pergunta.

 

Ao reiniciar o PC, aperte F8 intermitentemente. No menu escolha: modo seguro.

 

2 - Faça um scan com o HijackThis, marque as entradas abaixo, que ainda encontrar e clique em

 

O2 - BHO: (no name) - {3F20A1A5-97F9-9444-CD90-06191647AE51} - C:\WINDOWS\system32\upohsbm.dll

 

O2 - BHO: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Arquivos de programas\Arquivos comuns\{38F7FC6B-0BB8-1046-0905-050825200037}\MyToolBar.dll

 

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Arquivos de programas\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)

 

O3 - Toolbar: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Arquivos de programas\Arquivos comuns\{38F7FC6B-0BB8-1046-0905-050825200037}\MyToolBar.dll

 

O4 - HKLM\..\Run: [DC6_check] "C:\Arquivos de programas\Arquivos comuns\dc6_startupmon.exe"

 

O4 - HKLM\..\Run: [ERS_check] "C:\Arquivos de programas\Arquivos comuns\ers_startupmon.exe"

 

O20 - Winlogon Notify: winexz32 - winexz32.dll (file missing)

 

Atenção: marque estas que foram indicadas. Não marque nenhuma entrada O10 - Unknown file in Winsock LSP.

 

 

3 - Reinicie o PC normalmente. Rode o LSP-Fix. Embaixo de Advanced tem um aviso I know what I'm doing. Você deve marcar a caixa ao lado.

 

- Abaixo vai ver a janela Keep. Junto com outras entradas (que não deve fazer nada com elas) procure as da rlls.dll.

 

- Mova-as (só as entradas da rlls.dll) para a janela Remove clicando no botão com o símbolo >>.

 

- Depois que fizer isso, clique no botão Finish >>

 

- Reinicie o PC.

 

4 - Gere um log com o HijackThis e poste.

 

ATENÇÃO: Se, ao reiniciar, sua internet parar de funcionar corretamente, use o WinsockFix. Caso contrário não é necessário utilizá-lo. Caso você use o WinsockFix, reinicie o computador outra vez.

[cgsimoes 0]

Sam Spade muito obrigada, segue log:

 

Logfile of HijackThis v1.99.1

Scan saved at 19:26:44, on 20/4/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\pctspk.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\ARQUIV~1\iGv6\igshop.dll (file missing)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\WINDOWS\Downloaded Program Files\gbiehCef.dll

O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\WINDOWS\Downloaded Program Files\gbiehabn.dll

O3 - Toolbar: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\ARQUIV~1\iGv6\igshop.dll (file missing)

O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\ARQUIV~1\iGv6\igshop.dll (file missing)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399003} (GbPluginObj Class) - https://imagem.caixa.gov.br/cab/GbPluginCef.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugi...GbPluginABN.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Gbp Service (GbpSv) - GAS Tecnologia LTDA - C:\Arquivos de programas\GbPlugin\GbpSv.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

[Sam Spade 2]

Ok, o log está limpo. Está tudo bem com o PC agora?

[cgsimoes 0]

Sam Spade;Meu micro esta bem melhor realmente, você me indica algum anti-virus, para que possa evitar esses problemas??ObrigadaCarla

[Sam Spade 2]

Ok, veja neste artigo indicações de anti vírus e instale também o plugin McAfee SiteAdvisor para evitar sites maliciosos.

 

Para finalizar, vá no Painel de Controle > Sistema > Restauração do Sistema > marque Desativar a restauração do sistema > Aplicar > OK.

Depois desmarque novamente.

 

Abraço.

[jgarcia 1]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto é necessário enviar uma Mensagem Privada para um Moderador com um link para o tópico.