[Resolvido!]Acho que meu pc está infectado

[Ana Lucia 0]

Olá,

Estou escrevendo pois preciso de ajuda: apareceram uns adesivos em todos os ícones na área de trabalho(só dos programas),adesivos vermelhos.Eu passei o Antivir, e ele detectou o virus Trojanhorse TR/delphidownloader.gen.Movi para quarentena.Passei o Bankerfix e não tinha nada.

Pensei que estava tudo certo, mas de repente apareceram novos adesivos substituindo as setinhas de atalho, só que na cor lilás.Já rodei o antivir duas vezes e ele não detectou nada.Fiz estes procedimentos porque já tinha o Bankerfix recomendado pelo Linha Defensiva, mas eles não podem me ajudar porque o problema anterior tem menos de 30 dias, e a gente só pode postar após 30 dias.Vocês podem me ajudar?Vou encaminhar meu log para vocês analisarem.Por favor, me ajudem, eu não sei se estou ou não infectada, mas este problema está me deixando amarrada:tenho medo de abrir qualquer programa(preciso usar o powerpoint),ia gravar uns documentos num cd para abrir espaço no disco mas tenho medo de gravar arquivos contaminados.

 

Logfile of HijackThis v1.99.1

Scan saved at 00:13:58, on 15/04/07

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE

C:\ARQUIVOS DE PROGRAMAS\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARQUIVOS DE PROGRAMAS\VELOX\DISCADOR\DISCADOR.EXE

C:\WINDOWS\RunDLL.exe

C:\ARQUIVOS DE PROGRAMAS\SHAREAZA\SHAREAZA.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARQUIVOS DE PROGRAMAS\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE

C:\ARQUIVOS DE PROGRAMAS\ANTIVIR PERSONALEDITION CLASSIC\AVSCAN.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\ARQUIVOS DE PROGRAMAS\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARQUIVOS DE PROGRAMAS\MSN MESSENGER\MSNMSGR.EXE

C:\ARQUIVOS DE PROGRAMAS\OUTLOOK EXPRESS\MSIMN.EXE

C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GBIEH.DLL

O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GBIEHCEF.DLL

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\WINDOWS\SYSTEM\SCPSSSH2.DLL

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARQUIVOS DE PROGRAMAS\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup

O4 - HKLM\..\Run: [avgctrl] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgctrl.exe" /min

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE

O4 - HKLM\..\RunServices: [GbpSv] C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\GBPSV.EXE

O4 - HKLM\..\RunServices: [schedm] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\schedm.exe"

O4 - HKCU\..\Run: [LightDialer] C:\ARQUIVOS DE PROGRAMAS\VELOX\DISCADOR\DISCADOR.EXE

O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY

O4 - HKCU\..\Run: [shareaza] "C:\ARQUIVOS DE PROGRAMAS\SHAREAZA\SHAREAZA.EXE" -tray

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {6BD64452-2FDD-400E-AB25-EEF93895A2A1} (Gazzag Chat) - http://www.gazzag.com/gim/gazzagchatctl.cab

O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://cpib.bradesco.com.br/scpsssh2.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/cha...v45/yacscom.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399003} (GbPluginObj Class) - https://imagem.caixa.gov.br/cab/GbPluginCef.cab

O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab

O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Advanced) - http://www.elancers.com.br/erv2/vagas/activex/smsx.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...ebscan_ansi.cab

Esqueci de dizer que o delphi estava em c:\windows\videoconvite.Posso apagar?Não consegui achar ele na pasta do weindows.Se eu deletar na quarentena prejudico alguma função?

Obrigada! :upset:

P.S: Esta página de vocês é linda e super funcional! :thumbsup:

[jgarcia 1]

Opa Ana Lucia,

 

Vamos lá.

 

1. Baixe a seguinte ferramenta:

Remdelf2b

 

Importante: Após baixar a ferramenta mova o arquivo para o C:\.

 

É prudente que você imprima ou salve estas instruções em um local de fácil acesso, pois na próxima etapa entraremos em Modo Seguro e a conexão à internet não será possível.

 

2. Reinicie o computador em Modo Seguro;

 

3. Vá até Iniciar -> Executar -> digite C:\Remdelf.exe C: -> clique em Ok;

 

OBS: Caso possua outras unidades de disco, você deverá adicioná-las ao comando, da seguinte forma: C:\Remdelf.exe C: D:

 

Abrir-ser-á uma tela do prompt do MS-DOS.

 

4. Aguarde até que a verificação seja concluída;

 

Quando o processo for finalizado pressione a tecla ENTER, a fim de que o computador seja reiniciado.

 

5. Retorne com um novo log com o HijackThis.

 

Abraços.

[Ana Lucia 0]

Olá!

Obrigada.Antes de postar o log preciso contar uma coisa: como o prazo era de 5 dias, eu fui pesquisar no próprio fórum daqui e no LD problemas parecidos.Aí, baixei o AD ware personal SE - rodei.Baixei o Terminator Spyware - rodei,baixei o Spybot S&D - rodei.Estão ainda instalados.Apareceram uns objetos críticos - muitos, e eu deletei.O computador estava cheio de adesivos coloridos nas setinhas de atalho e eu fiquei com medo, por isso fiz isso.Aí,hoje segui as instruçõpers.Mas quando eu clicava para reiniciar em MS DOS, ele reiniciava normal, inclusive abrindo o discador da internet.De qualquer forma eu segui as instruções todas, baixei a ferramenta, e fiz tudo.Só que estava conectado.Não desista de mim, eu simplesmente nunca reiniciei no modo seguro e não sabia a diferença que ocorre no computador.Devo desinstalar tudo que instalei? O log segue abaixo:

Logfile of HijackThis v1.99.1

Scan saved at 01:55:24, on 18/04/07

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE

C:\ARQUIVOS DE PROGRAMAS\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARQUIVOS DE PROGRAMAS\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE

C:\ARQUIVOS DE PROGRAMAS\SPYWARE TERMINATOR\SPYWARETERMINATORSHIELD.EXE

C:\ARQUIVOS DE PROGRAMAS\VELOX\DISCADOR\DISCADOR.EXE

C:\WINDOWS\RunDLL.exe

C:\ARQUIVOS DE PROGRAMAS\SHAREAZA\SHAREAZA.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\WINHLP32.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARQUIVOS DE PROGRAMAS\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARQUIVOS DE PROGRAMAS\CRAWLER\TOOLBAR\CTOOLBAR.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.a...&tbid=60308

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60308

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60308

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60308

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60308

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARQUIV~1\CRAWLER\TOOLBAR\CTBR.DLL

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GBIEH.DLL

O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GBIEHCEF.DLL

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\WINDOWS\SYSTEM\SCPSSSH2.DLL

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARQUIV~1\CRAWLER\TOOLBAR\CTBR.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHELPER.DLL

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARQUIVOS DE PROGRAMAS\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\ARQUIV~1\CRAWLER\TOOLBAR\CTBR.DLL

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup

O4 - HKLM\..\Run: [avgctrl] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgctrl.exe" /min

O4 - HKLM\..\Run: [spywareTerminator] "C:\ARQUIVOS DE PROGRAMAS\SPYWARE TERMINATOR\SpywareTerminatorShield.exe"

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE

O4 - HKLM\..\RunServices: [GbpSv] C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\GBPSV.EXE

O4 - HKLM\..\RunServices: [schedm] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\schedm.exe"

O4 - HKCU\..\Run: [LightDialer] C:\ARQUIVOS DE PROGRAMAS\VELOX\DISCADOR\DISCADOR.EXE

O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY

O4 - HKCU\..\Run: [shareaza] "C:\ARQUIVOS DE PROGRAMAS\SHAREAZA\SHAREAZA.EXE" -tray

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {6BD64452-2FDD-400E-AB25-EEF93895A2A1} (Gazzag Chat) - http://www.gazzag.com/gim/gazzagchatctl.cab

O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://cpib.bradesco.com.br/scpsssh2.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/cha...v45/yacscom.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399003} (GbPluginObj Class) - https://imagem.caixa.gov.br/cab/GbPluginCef.cab

O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab

O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Advanced) - http://www.elancers.com.br/erv2/vagas/activex/smsx.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...ebscan_ansi.cab

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\ARQUIV~1\CRAWLER\TOOLBAR\CTBR.DLL

 

Pronto!Obrigada,mesmo!(Vocês são também do Linha Defensiva?)

Abraços,

Ana Lucia :assobiando: :upset:

[Ana Lucia 0]

Olá,

Estou respondendo antes da resposta ao post anterior porque mesmo com todas as precauções, aconteceu de novo.As setinhas de atalho estão com uns adesivos marrons.Vou postar o log para você ver afinal o que está acontecendo,tá?

 

Logfile of HijackThis v1.99.1

Scan saved at 18:25:59, on 19/04/07

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE

C:\ARQUIVOS DE PROGRAMAS\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARQUIVOS DE PROGRAMAS\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE

C:\ARQUIVOS DE PROGRAMAS\SPYWARE TERMINATOR\SPYWARETERMINATORSHIELD.EXE

C:\ARQUIVOS DE PROGRAMAS\VELOX\DISCADOR\DISCADOR.EXE

C:\WINDOWS\RunDLL.exe

C:\ARQUIVOS DE PROGRAMAS\SHAREAZA\SHAREAZA.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARQUIVOS DE PROGRAMAS\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARQUIVOS DE PROGRAMAS\MICROSOFT OFFICE\OFFICE\WINWORD.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\ARQUIVOS DE PROGRAMAS\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARQUIVOS DE PROGRAMAS\CRAWLER\TOOLBAR\CTOOLBAR.EXE

C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.a...&tbid=60308

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60308

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60308

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60308

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60308

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARQUIV~1\CRAWLER\TOOLBAR\CTBR.DLL

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GBIEH.DLL

O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GBIEHCEF.DLL

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\WINDOWS\SYSTEM\SCPSSSH2.DLL

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARQUIV~1\CRAWLER\TOOLBAR\CTBR.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHELPER.DLL

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARQUIVOS DE PROGRAMAS\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\ARQUIV~1\CRAWLER\TOOLBAR\CTBR.DLL

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup

O4 - HKLM\..\Run: [avgctrl] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgctrl.exe" /min

O4 - HKLM\..\Run: [spywareTerminator] "C:\ARQUIVOS DE PROGRAMAS\SPYWARE TERMINATOR\SpywareTerminatorShield.exe"

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE

O4 - HKLM\..\RunServices: [GbpSv] C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\GBPSV.EXE

O4 - HKLM\..\RunServices: [schedm] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\schedm.exe"

O4 - HKCU\..\Run: [LightDialer] C:\ARQUIVOS DE PROGRAMAS\VELOX\DISCADOR\DISCADOR.EXE

O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY

O4 - HKCU\..\Run: [shareaza] "C:\ARQUIVOS DE PROGRAMAS\SHAREAZA\SHAREAZA.EXE" -tray

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {6BD64452-2FDD-400E-AB25-EEF93895A2A1} (Gazzag Chat) - http://www.gazzag.com/gim/gazzagchatctl.cab

O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://cpib.bradesco.com.br/scpsssh2.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/cha...v45/yacscom.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399003} (GbPluginObj Class) - https://imagem.caixa.gov.br/cab/GbPluginCef.cab

O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab

O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Advanced) - http://www.elancers.com.br/erv2/vagas/activex/smsx.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...ebscan_ansi.cab

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\ARQUIV~1\CRAWLER\TOOLBAR\CTBR.DLL

 

Obrigada!

 

Ana Lucia

[Ana Lucia 0]

Desculpe,mas aconteceu algo muito estranho: fui acionar o antivir e veio uma mensagem: the engine CRC has been changed.Esta janela apareceu quando eu fui escanear o arquivo que uma amiga trouxe em um disquete.Tentei traduzir mas não entendi, então abrimos o arquivo.Desde então o antivirus não funciona.O terminator não detectou nada.O que houve?

[jgarcia 1]

Opa Ana Lucia,

 

Execute o Active Scan da Panda e retorne com o resultado.

 

Abraços.

[Ana Lucia 0]

Não consegui baixar o que você orientou.Após fazer todo o downloading veio a seguinte mensagem:

"An error has occurred downloading Panda ActiveScan. Please repeat the process. If the error occurs again, restart your system and try againPossible causes of this error are:

 

Not allowing the application's ActiveX control to be downloaded.

 

Problems with the Internet connection.

 

The error could be due to a download error or an installation error due to lack of hard disk space, privileges etc.,... "

 

Vale informar que hoje à tarde, como disse acima eu tentei passar o antivir e veio a mensagem que descrevi, sobre o CRC change...Quando eu estava baixando o Panda, do nada o antivir veio avisar que tinha um virus,o W95/Blumblebee.1738.Eu cliquei em remover, mas não sei se foi.O que faço?

Ana Lucia

[Ana Lucia 0]

Desculpem insistir, mas estou muito preocupada.Aconteceu outro problema:Fiz a limpeza de disco e após o último pos6 para vocês, achei melhor fazer um backup.Veio uma mensagem dizendo que a mídia estava cheia para eu disponibilizar outra.Fechei e veio uma mensagem falando que o computador estava com um sério problema que colocava em risco o sistema operacional.Eu desliguei o computador.Quando liguei, não tinha mais nenhuma memória no disco C.Eu fui procurar e o backup foi copiado para lá e não para o cd que eu tinha colocado no drive.Exclui o arquivo e mais um que tinha um sinal de ~.Só isso.Abriu espaço na memória,mas quando reiniciou continuava o disco cheio, enclusive o D.Excluí alguns arquivos, abri espaço.Mandei desfragmentar, mas veio mensagem que havia erros no C.Mandei corrigir.Mas não está desfragmentando.Sempre retorna para inicialização.O que faço?

[jgarcia 1]

Opa Ana Lucia,

 

Vamos lá.

 

Desinstale:

-> CRAWLER

 

Utilize Adicionar / Remover programas.

 

Desinstale e reinicie após tê-lo feito.

 

1ª Etapa

 

Reinicie o computador em Modo de Segurança (ao reiniciar aperte a tecla F8 repetidamente até que apareça uma tela preta em DOS e escolha a opção Modo de Segurança).

 

Execute o HijackThis, clique em Do a system scan only e marque (talvez alguns já não apareçam mais):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.a...&tbid=60308

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60308

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60308

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60308

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60308

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARQUIV~1\CRAWLER\TOOLBAR\CTBR.DLL

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\ARQUIV~1\CRAWLER\TOOLBAR\CTBR.DLL

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\ARQUIV~1\CRAWLER\TOOLBAR\CTBR.DLL

O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\ARQUIV~1\CRAWLER\TOOLBAR\CTBR.DLL

Clique em Fix Checked.

 

2ª Etapa

 

Ainda em Modo de Segurança localize e delete:

 

C:\ARQUIVOS DE PROGRAMAS\CRAWLER <- a pasta

 

3ª Etapa

 

Reinicie em Modo Normal.

 

Poste um novo log do HijackThis.

 

Aguardo retorno.

 

Um abraço.

[Ana Lucia 0]

Oi,J.Garcia!

Realmente muitos arquivos não encontrei quando rodei o h.this em modo seguro.Só tinha 3.A pasta eu não consegui localizar em arquivos de programas, nem mesmo usando o localizar.Segue o Log.Se não for abusar, favor verificar se o Shareazza está com problema:muitas vezes um programa ou documento trava, e quando eu dou crtl alt del, vem uma janela dizendo que ele não está respondendo, e eu não o estou usando.Outra coisa: se eu não consegui baixar o Panda, como ele aparece aqui no log?

Abraços,

Aguardo ansiosa sua resposta!

Ana Lucia :upset:

Logfile of HijackThis v1.99.1

Scan saved at 02:23:25, on 22/04/07

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE

C:\ARQUIVOS DE PROGRAMAS\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARQUIVOS DE PROGRAMAS\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE

C:\ARQUIVOS DE PROGRAMAS\SPYWARE TERMINATOR\SPYWARETERMINATORSHIELD.EXE

C:\ARQUIVOS DE PROGRAMAS\VELOX\DISCADOR\DISCADOR.EXE

C:\ARQUIVOS DE PROGRAMAS\SHAREAZA\SHAREAZA.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GBIEH.DLL

O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GBIEHCEF.DLL

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\WINDOWS\SYSTEM\SCPSSSH2.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHELPER.DLL

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\ARQUIVOS DE PROGRAMAS\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup

O4 - HKLM\..\Run: [avgctrl] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgctrl.exe" /min

O4 - HKLM\..\Run: [spywareTerminator] "C:\ARQUIVOS DE PROGRAMAS\SPYWARE TERMINATOR\SpywareTerminatorShield.exe"

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE

O4 - HKLM\..\RunServices: [GbpSv] C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\GBPSV.EXE

O4 - HKLM\..\RunServices: [schedm] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\schedm.exe"

O4 - HKCU\..\Run: [LightDialer] C:\ARQUIVOS DE PROGRAMAS\VELOX\DISCADOR\DISCADOR.EXE

O4 - HKCU\..\Run: [shareaza] "C:\ARQUIVOS DE PROGRAMAS\SHAREAZA\SHAREAZA.EXE" -tray

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {6BD64452-2FDD-400E-AB25-EEF93895A2A1} (Gazzag Chat) - http://www.gazzag.com/gim/gazzagchatctl.cab

O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://cpib.bradesco.com.br/scpsssh2.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/cha...v45/yacscom.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399003} (GbPluginObj Class) - https://imagem.caixa.gov.br/cab/GbPluginCef.cab

O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab

O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Advanced) - http://www.elancers.com.br/erv2/vagas/activex/smsx.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...ebscan_ansi.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

[jgarcia 1]

Opa Ana Lucia,

 

O log está limpo. Reinstale o Shareaza, afim de corrigir possíveis falhas na instalação anterior.

 

Abraços.

[Ana Lucia 0]

Obrigada pela ajuda!Este problema foi resolvido, mas eu estou com umas dúvidas, não sei se você pode me ajudar ou se tenho que postar em outro fórum:-Ainda não estou conseguindo acionar a desfragmentação de disco.[-Queria deletar alguns arquivosjá limpei meus documentos) para liberar memória, mas estou com medo de mexer no C e arrumar outro problema.Sempre que eu faço algo me complico.-Posso continuar com os dois spywares ou desinstalo um?Qual: o terminator ou o S&D?Obrigada por tudo!Ana Lucia :thumbsup:

[jgarcia 1]

Opa Ana Lucia,

 

Baixe o CCleaner em:

CCleaner

 

1. Para efetivar a limpeza basta marcar a opção Limpador – no alto e à esquerda – e clicar em Executar Cleaner – abaixo e à direita. Neste caso você poderá optar pela limpeza do Windows, de Programas ou de ambos;

 

2. Para a correção de erros basta escolher a opção Erros – no alto e à esquerda – clicar em Localizar erros – abaixo e à esquerda – e depois em Corrigir Erros Selecionados – abaixo e à direita (por padrão todos serão selecionados);

 

3. Em Ferramentas – no alto e à esquerda – você poderá efetivar a desinstalação de programas (os mesmos contidos em Adicionar / Remover programas) ou ainda remover processos de programas contidos na inicialização (somente para usuários experientes);

 

4. Em Opções encontram-se os dispositivos de configuração do CCleaner, os quais sugiro que permaneçam inalterados.

 

A execução deste soft leve e funcional deve resolver os problemas remanescentes.

 

Abraços.

[Ana Lucia 0]

Obrigada!Obrigada!Tudo resolvido. :thumbsup: :clap:

[jgarcia 1]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto é necessário enviar uma Mensagem Privada para um Moderador com um link para o tópico.