[Resolvido!]Toda hora quando eu to na net, aparece janelas do wina

[loco 0]

bom eu queria saber como se elimina isso, nao sei se eh virus, toda hora q eu to na net aparece janelas advertindo que meu pc ta com virus, aparece pra instala o antivirus winantivirus pro....nao aguento mais isso...como faço pra tirar isso???me ajudem! obrigado!

[marcio.theis 3]

Programação > Delphi :seta: Conteúdo Técnico > Segurança & Malwares

[loco 0]

como faço pra tirar isso??eu nao intendo muito de internet, eu estou precisando muito da ajuda de voces!!obrigado

[loco 0]

Logfile of HijackThis v1.99.1

Scan saved at 15:49:51, on 7/5/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\WLTRAY.exe

C:\WINDOWS\RTHDCPL.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\DOCUME~1\Rose\CONFIG~1\Temp\RtkBtMnt.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\DOCUME~1\Rose\CONFIG~1\Temp\Diretório temporário 1 para hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orkut.com/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll

O2 - BHO: (no name) - {b3deffe5-b703-48bb-a5fd-b3a19bf837b7} - C:\WINDOWS\system32\ie4cui.dll

O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\tmp1A.tmp.dll

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun

O4 - HKLM\..\Run: [bargains] C:\Arquivos de programas\Bargain Buddy\bin\bargains.exe

O4 - HKLM\..\Run: [WhenUSave] C:\Arquivos de programas\Save\Save.exe

O4 - HKLM\..\Run: [NI.UWA6PZ_0001_N91M2507] "C:\Documents and Settings\Rose\Meus documentos\Downloads\WinAntiVirusPro2006FreeInstall_br.exe" -nag

O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\qomlki.dll",realset

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WeatherCast] C:\Arquivos de programas\WeatherCast\Weather.exe /q

O4 - HKCU\..\Run: [A00F14644F6.exe] C:\DOCUME~1\Rose\CONFIG~1\Temp\_A00F14644F6.exe

O4 - HKCU\..\Run: [A00F1464506.exe] C:\DOCUME~1\Rose\CONFIG~1\Temp\_A00F1464506.exe

O4 - HKCU\..\Run: [A00F14644E7.exe] C:\DOCUME~1\Rose\CONFIG~1\Temp\_A00F14644E7.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\acstart16.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by113w.bay113.mail.live.com/mail/re...es/MsnPUpld.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs:

O20 - Winlogon Notify: ie4cui - C:\WINDOWS\SYSTEM32\ie4cui.dll

O20 - Winlogon Notify: __c009BD6F - C:\WINDOWS\system32\__c009BD6F.dat

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

[Sam Spade 2]

Olá loco! O PC está bastante infectado. Vanos fazer uma limpeza inicial no que for possível e depois de ver o resultado dela, prosseguiremos com a remoção do resto das infecções. Baixe:

 

EliStarA > No final da página clique no botão Descargar EliStarA.

 

EliTriip > No final da página clique no botão Descargar EliTriip.

 

Salve ou imprima estas instruções:

 

1 - Reinicie o PC e aperte F8 intermitentemente. No menu escolha: modo seguro.

 

2 - Rode o EliStarA e aguarde, pois o scan é um pouco demorado.

 

3 - Rode o EliTriip e aguarde o scan terminar.

 

4 - Reinicie em modo normal, faça um scan com o HijackThis e salve/poste o log, juntamente com os logs do EliStarA e do EliTriip > que encontrará em C:\infoSat.txt

[loco 0]

bom ja fiz o q você pediu:

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 18:12:55, on 7/5/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\WLTRAY.exe

C:\WINDOWS\RTHDCPL.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\DOCUME~1\Rose\CONFIG~1\Temp\RtkBtMnt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\Rose\CONFIG~1\Temp\Diretório temporário 1 para hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {b3deffe5-b703-48bb-a5fd-b3a19bf837b7} - C:\WINDOWS\system32\ie4cui.dll

O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\tmp1A.tmp.dll

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NI.UWA6PZ_0001_N91M2507] "C:\Documents and Settings\Rose\Meus documentos\Downloads\WinAntiVirusPro2006FreeInstall_br.exe" -nag

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WeatherCast] C:\Arquivos de programas\WeatherCast\Weather.exe /q

O4 - HKCU\..\Run: [A00F14644F6.exe] C:\DOCUME~1\Rose\CONFIG~1\Temp\_A00F14644F6.exe

O4 - HKCU\..\Run: [A00F1464506.exe] C:\DOCUME~1\Rose\CONFIG~1\Temp\_A00F1464506.exe

O4 - HKCU\..\Run: [A00F14644E7.exe] C:\DOCUME~1\Rose\CONFIG~1\Temp\_A00F14644E7.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\acstart16.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by113w.bay113.mail.live.com/mail/re...es/MsnPUpld.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: ie4cui - C:\WINDOWS\SYSTEM32\ie4cui.dll

O20 - Winlogon Notify: __c009BD6F - C:\WINDOWS\system32\__c009BD6F.dat

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

 

 

 

 

 

 

--------------------------------

 

 

 

 

 

 

Mon May 07 17:40:29 2007

EliStartPage v13.90 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\IE4CUI]

Por favor, envienos una muestra del fichero

C:\WinLogon\IE4CUI.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\__C009BD6F]

Por favor, envienos una muestra del fichero

C:\WinLogon\__C009BD6F.DAT

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\QOMLKI.DLL.Muestra EliStartPage v13.90

a "virus@satinfo.es". Gracias.

C:\WINDOWS\QOMLKI.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\TMPC.TMP.DLL --> Eliminado JuanSearch(BHO)

C:\WINDOWS\BS3.DLL --> Eliminado BookedSpace (BHO)

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Entrada Eliminada [HKLM\...\Run] "Bargains"="C:\Arquivos de programas\Bargain Buddy\bin\bargains.exe"

Entrada Eliminada [HKLM\...\Run] "Bsx3"="RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun"

Entrada Eliminada [HKLM\...\Run] "WhenUSave"="C:\Arquivos de programas\Save\Save.exe"

Entrada Eliminada [HKLM\...\Run] "WindowsService"="rundll32.exe "C:\WINDOWS\qomlki.dll",realset"

Eliminada Class, "{1557B435-8242-4686-9AA3-9265BF7525A4}" -> C:\WINDOWS\system32\tmpC.tmp.dll

Eliminada Class, "{A85C4A1B-BD36-44E5-A70F-8EC347D9B24F}" -> C:\WINDOWS\bs3.dll

Eliminada Carpeta "%Archivos de Programa%\Bargain Buddy"

Eliminada Carpeta "%Archivos de Programa%\Save"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

 

Mon May 07 17:47:05 2007

EliStartPage v13.90 ©2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\TMP3.TMP.DLL --> Eliminado, JuanSearch(BHO)

 

Mon May 07 18:01:56 2007

EliTriIP v3.51 ©2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

 

Mon May 07 18:02:11 2007

EliTriIP v3.51 ©2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[loco 0]

o que eu faço agora? me ajuda por favor!obrigado desde ja.

[Sam Spade 2]

Ok, vamos precisar de várias ferramentas para ter sucesso. Baixe:

 

VundoFix

ATF-Cleaner.

RogueRemover > extraia os arquivos para C:\

Avenger > extraia os arquivos para o desktop

 

Salve ou imprima estas instruções:

 

IMPORTANTE: O HijackThis está em pasta temporária. Para o correto funcionamento do programa, abra uma pasta própria e extraia os arquivos do HijackThis para esta pasta.

 

Selecione e copie o texto dentro do QUOTE.

 

Files to delete:

C:\WINDOWS\system32\ie4cui.dll

C:\WINDOWS\system32\tmp1A.tmp.dll

C:\Documents and Settings\Rose\Meus documentos\Downloads\WinAntiVirusPro2006FreeInstall_br.exe

C:\Arquivos de programas\WeatherCast\Weather.exe

C:\Documents and Settings\Rose\Configurações locais\Temp\_A00F14644F6.exe

C:\Documents and Settings\Rose\Configurações locais\Temp\_A00F1464506.exe

C:\Documents and Settings\Rose\Configurações locais\Temp\_A00F14644E7.exe

C:\WINDOWS\system32\__c009BD6F.dat

 

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b3deffe5-b703-48bb-a5fd-b3a19bf837b7}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D651AFF4-9590-424d-BD1E-8E33E090DFB3}

HKLM\SOFTWARE\Classes\CLSID\{b3deffe5-b703-48bb-a5fd-b3a19bf837b7}

HKLM\SOFTWARE\Classes\CLSID\{D651AFF4-9590-424d-BD1E-8E33E090DFB3}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ie4cui

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c009BD6F

Rode o Avenger. Selecione Input script manually.

 

Clique no ícone . Irá abrir a janela View/edit script e então cole o que copiou dentro do QUOTE.

 

Clique em Done. Agora clique no ícone para começar a execução do script. Dê o Sim (Yes).

 

Ao acabar de rodar o script o PC será reiniciado. Fique apertando F8 intermitentemente. No menu escolha: modo seguro.

 

Rode o ATF-Cleaner.

 

Marque Select All. Depois clique em Empty Selected. Na janela Done Cleaning dê o OK e Exit.

 

Faça um scan com o HijackThis, marque as entradas abaixo, que ainda encontrar e clique em

 

O2 - BHO: (no name) - {b3deffe5-b703-48bb-a5fd-b3a19bf837b7} - C:\WINDOWS\system32\ie4cui.dll

 

O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\tmp1A.tmp.dll

 

O4 - HKLM\..\Run: [NI.UWA6PZ_0001_N91M2507] "C:\Documents and Settings\Rose\Meus documentos\Downloads\WinAntiVirusPro2006FreeInstall_br.exe" -nag

 

O4 - HKCU\..\Run: [WeatherCast] C:\Arquivos de programas\WeatherCast\Weather.exe /q

 

O4 - HKCU\..\Run: [A00F14644F6.exe] C:\DOCUME~1\Rose\CONFIG~1\Temp\_A00F14644F6.exe

 

O4 - HKCU\..\Run: [A00F1464506.exe] C:\DOCUME~1\Rose\CONFIG~1\Temp\_A00F1464506.exe

 

O4 - HKCU\..\Run: [A00F14644E7.exe] C:\DOCUME~1\Rose\CONFIG~1\Temp\_A00F14644E7.exe

 

O20 - Winlogon Notify: ie4cui - C:\WINDOWS\SYSTEM32\ie4cui.dll

 

O20 - Winlogon Notify: __c009BD6F - C:\WINDOWS\system32\__c009BD6F.dat

 

Reinicie o PC normalmente. Dê um duplo-clique no VundoFix e depois clique no botão Scan for Vundo

 

Ao final do scan, clique no botão Remove Vundo. Quando aparecer o aviso perguntando se quer remover os arquivos, clique em Sim (Yes). O desktop poderá sumir, mas é normal.

 

Quando acabar a remoção, aparecerá um aviso para desligar o computador. Clique em OK.

 

Ligue-o novamente.

 

Dê um duplo-clique no RogueRemover.exe, clique em Scan e vá seguindo as instruções do programa.

 

Depois gere um novo log com o HijackThis.

 

Poste (sem esquecer nenhum):

 

avenger.txt que encontrará em C:\

vundofix.txt também está emC:\

log do HijackThis

[loco 0]

bom fiz isso tb ae segue o q você pediu:

 

 

HijackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 23:32:10, on 7/5/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\WLTRAY.exe

C:\WINDOWS\RTHDCPL.EXE

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\DOCUME~1\Rose\CONFIG~1\Temp\RtkBtMnt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\acstart16.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by113w.bay113.mail.live.com/mail/re...es/MsnPUpld.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

 

 

 

 

 

 

 

-----------------

 

 

 

 

 

 

 

 

 

 

 

Avenger:

 

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\icvgbmkt

 

*******************

 

Script file located at: \??\C:\Documents and Settings\ycpjvlop.txt

Script file opened successfully.

 

Script file read successfully

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

 

 

File C:\WINDOWS\system32\ie4cui.dll not found!

Deletion of file C:\WINDOWS\system32\ie4cui.dll failed!

 

Could not process line:

C:\WINDOWS\system32\ie4cui.dll

Status: 0xc0000034

 

 

 

File C:\WINDOWS\system32\tmp1A.tmp.dll not found!

Deletion of file C:\WINDOWS\system32\tmp1A.tmp.dll failed!

 

Could not process line:

C:\WINDOWS\system32\tmp1A.tmp.dll

Status: 0xc0000034

 

 

 

File C:\Documents and Settings\Rose\Meus documentos\Downloads\WinAntiVirusPro2006FreeInstall_br.exe not found!

Deletion of file C:\Documents and Settings\Rose\Meus documentos\Downloads\WinAntiVirusPro2006FreeInstall_br.exe failed!

 

Could not process line:

C:\Documents and Settings\Rose\Meus documentos\Downloads\WinAntiVirusPro2006FreeInstall_br.exe

Status: 0xc0000034

 

 

 

Could not open file C:\Arquivos de programas\WeatherCast\Weather.exe for deletion

Deletion of file C:\Arquivos de programas\WeatherCast\Weather.exe failed!

 

Could not process line:

C:\Arquivos de programas\WeatherCast\Weather.exe

Status: 0xc000003a

 

 

 

File C:\Documents and Settings\Rose\Configurações locais\Temp\_A00F14644F6.exe not found!

Deletion of file C:\Documents and Settings\Rose\Configurações locais\Temp\_A00F14644F6.exe failed!

 

Could not process line:

C:\Documents and Settings\Rose\Configurações locais\Temp\_A00F14644F6.exe

Status: 0xc0000034

 

 

 

File C:\Documents and Settings\Rose\Configurações locais\Temp\_A00F1464506.exe not found!

Deletion of file C:\Documents and Settings\Rose\Configurações locais\Temp\_A00F1464506.exe failed!

 

Could not process line:

C:\Documents and Settings\Rose\Configurações locais\Temp\_A00F1464506.exe

Status: 0xc0000034

 

 

 

File C:\Documents and Settings\Rose\Configurações locais\Temp\_A00F14644E7.exe not found!

Deletion of file C:\Documents and Settings\Rose\Configurações locais\Temp\_A00F14644E7.exe failed!

 

Could not process line:

C:\Documents and Settings\Rose\Configurações locais\Temp\_A00F14644E7.exe

Status: 0xc0000034

 

 

 

File C:\WINDOWS\system32\__c009BD6F.dat not found!

Deletion of file C:\WINDOWS\system32\__c009BD6F.dat failed!

 

Could not process line:

C:\WINDOWS\system32\__c009BD6F.dat

Status: 0xc0000034

 

 

 

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b3deffe5-b703-48bb-a5fd-b3a19bf837b7} not found!

Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b3deffe5-b703-48bb-a5fd-b3a19bf837b7} failed!

Status: 0xc0000034

 

 

 

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D651AFF4-9590-424d-BD1E-8E33E090DFB3} not found!

Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D651AFF4-9590-424d-BD1E-8E33E090DFB3} failed!

Status: 0xc0000034

 

 

 

Registry key HKLM\SOFTWARE\Classes\CLSID\{b3deffe5-b703-48bb-a5fd-b3a19bf837b7} not found!

Deletion of registry key HKLM\SOFTWARE\Classes\CLSID\{b3deffe5-b703-48bb-a5fd-b3a19bf837b7} failed!

Status: 0xc0000034

 

 

 

Registry key HKLM\SOFTWARE\Classes\CLSID\{D651AFF4-9590-424d-BD1E-8E33E090DFB3} not found!

Deletion of registry key HKLM\SOFTWARE\Classes\CLSID\{D651AFF4-9590-424d-BD1E-8E33E090DFB3} failed!

Status: 0xc0000034

 

 

 

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ie4cui not found!

Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ie4cui failed!

Status: 0xc0000034

 

 

 

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c009BD6F not found!

Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c009BD6F failed!

Status: 0xc0000034

 

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

 

 

 

 

 

 

 

------------------------------------

 

 

 

 

 

 

 

 

 

 

VundoFix:

 

 

 

 

VundoFix V6.3.21

 

Checking Java version...

 

Sun Java not detected

Scan started at 22:40:38 7/5/2007

 

Listing files found while scanning....

 

No infected files were found.

 

 

Beginning removal...

[loco 0]

Bom, Sam Spade, ja fiz isso... agora estou mais perto de retirar esse problema??o que eu faço agora?obrigado desde ja!

[loco 0]

Sam Spade, o q eu faço agora?obrigado!

[Sam Spade 2]

Olá, peço que não dê tantos ups, pois isso não adianta em nada, só torna o tópico maior do que o necessário. Respondemos de acordo com o tempo que temos disponível e às vezes não o temos suficiente, pra responder rápido como gostaríamos.O Avenger foi rodado duas vezes, pois o resultado anterior, quando faz isso, é sobrescrito pelo novo. Ao rodar pela segunda vez o script, vai aparecer que não encontrou nenhum dos ítens que foram colocados para serem deletados, pois logicamente, já o foram quando rodou a primeira vez.O log do HijackThis está limpo. Está tudo Ok com o PC, para que possa dar as instruções finais?

[loco 0]

Sam Spade, desculpa ali pelos ups, achava q tu tinha esquecido, por isso que eu ficava postando. Bom depois que eu fiz isso que você me mandou nao tive mais problemas com aquelas janelas, eu acho que foi resolvido o problema ne?Obrigado, valeu por me ajudar!! estou ate mais feliz depois de ter resolvido o problema :D Obrigado mesmo!

[Sam Spade 2]

Ok, leia estes artigos sobre segurança:

 

Proteja seu PC

Cuidados ao navegar na net.

 

Para finalizar, vá no Painel de Controle > Sistema > Restauração do Sistema > marque Desativar a restauração do sistema > Aplicar > OK.

Depois desmarque novamente.

 

Abraço.

[loco 0]

Bom, Sam Spade, fiz aquilo que você me mandou, ja li os artigos. Desde aquele dia ate agora, nao tive mais problema com aquelas janelas.Muito obrigado mesmo por me ajudar, estava pensando em ate formatar o pc achando q nao tinha soluçao esse problema.Muito obrigado mais uma vez, abraçao!

[Sam Spade 2]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto é necessário enviar uma Mensagem Privada para um Moderador com um link para o tópico.