[Resolvido!] Computador lento

DigRam · Maio 27, 2008

Bom Dia! dcesar

Nada feito. Segui as instruções do tutorial e acho que mudei alguma coisa, mas não consigo deletar o programa.
Consegui mudar a permissão, consegui apagar as entradas usando o Autoruns, consegui "matar" o processo usando o Process Explorer.

Mas não consigo deletar. E mesmo quando deleto as entradas pelo Autoruns é só fechar e abrir (ou mesmo dar um F5 pra atualizar) que elas voltam a aparecer.

>@< As entradas retornaram!Repita o procedimento do Tutorial,pois algum detalhe pode ter-lhe escapado.

----------------------------------

>@< Voçê desinstalou o Avira e instalou o Kaspersky...esquecendo,que o mesmo,exige mais recursos do sistema.

Abraços!

dcesar · Maio 28, 2008

DigRam,

Repeti o tutorial, mas não consegui até o fim.

Depois de mudar as permissões, abri o ProcessExplorer. Primeiro que na lista de programas rodando não tinha nenhum relacionado ao GBuster. Usei então o recurso localizar. Ele encontra dois arquivos .dll, mas o recurso 'Kill' fica apagado e a tecla 'delete' não causa efeito algum tampouco.

Abri também o Autoruns, apago as entradas sem problemas, mas quando fecho o programa e abro de novo, nem mesmo reiniciar o PC, elas já estão de volta.

Enfim, nessas idas e vindas, tenho reparado que o rendimento do PC melhorou. Um teste que eu fazia era abrir o Gerenciador de Tarefas, clicar na aba desempenho, clicar/segurar na barra superior da janela e ficar arrastando ela pros lados -- antes, isso fazia subir rapidamente o uso da CPU para 100% de uso, mas agora ele chega até no máximo 70%, e não demora nem um segundo para baixar, quando eu paro de movimentar.

Não sei se é possível, mas parece que mesmo sem desinstalar o programa, ele parece que foi desativado. Não consigo excluir os arquivos, mas ele não aparece mais rodando -- nem no Gerenciador de Tarefas, nem no ProcessExplorer.

Ainda assim, se você tiver alguma nova idéia para tentar removê-lo, agradeço.

Abraço,

César

DigRam · Maio 30, 2008

Bom Dia! dcesar

>@< Faça o download da EliStarA.

>@< Na página,clique no botão: Descargar EliStarA v xx.xx,que fica situado ao pé da página.

>@< Salve a ferramenta no Desktop!

>@< Desabilite as proteções residentes de AntiVírus e AntiSpyware.

>@< Reinicie o computador em Modo de Segurança. << Importante!

>@< Vá ao ícone de EliStarA e execute-a!

>@< Aguarde,com paciência,o término do scan.

>@< Terminando,será gerado um relatório ( infoSat.txt ),no Disco Local-C.

>@< A ferramenta deletará,a sua página inicial,posteriormente voçê à configurará novamente.

>@< Reinicie,normalmente,o computador!

>@< Faça e poste,na sua resposta: infoSat.txt + Log do HJT,atualizado.

Abraços!

dcesar · Junho 2, 2008

DigRam,

Logs logo abaixo.

Abraço,

C.

-

Sun Jun 01 20:54:53 2008

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Arquivos de programas\Trend Micro\HijackThis\backups\BACKUP-20080521-202630-599.DLL --> Eliminado, Vundo9

C:\Arquivos de programas\Trend Micro\HijackThis\backups\BACKUP-20080525-214355-740.DLL --> Eliminado, Vundo9

C:\Arquivos de programas\GbPlugin\GBIEH.DLL --> Acceso Denegado, Vundo9 (Reiniciar para Completar la Limpieza)

C:\System Volume Information\_restore{CFBADEB9-E792-47BF-968A-180E10D2E0E2}\RP275\A0154463.DLL --> Eliminado, Vundo9

C:\System Volume Information\_restore{CFBADEB9-E792-47BF-968A-180E10D2E0E2}\RP275\A0154464.DLL --> Eliminado, Vundo9

C:\!KillBox\GBIEH.DLL --> Eliminado, Vundo9

Nº Total de Directorios: 6403

Nº Total de Ficheros: 105307

Nº de Ficheros Analizados: 18282

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 5

Sun Jun 01 21:42:16 2008

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\ GBPLUGINBB] -> C:\ARQUIV~1\GBPLUGIN\GBIEH.DLL

C:\ARQUIV~1\GBPLUGIN\GBIEH.DLL --> Vundo9 Acceso Denegado.

Eliminada Class, "{C41A1C0E-EA6C-11D4-B1B8-444553540000}" -> C:\ARQUIV~1\GbPlugin\gbieh.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

-

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:47, on 01/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de Programas\Kaspersky Internet Security 7.0\avp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Arquivos de Programas\Kaspersky Internet Security 7.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de Programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de Programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Program Files\Scpad\scpsssh2.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIV~1\GbPlugin\gbieh.dll

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [AVP] "C:\Arquivos de Programas\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Diego\Desktop\ELISTARA.AØØFBØØH.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

O8 - Extra context menu item: Adicionar ao Anti-Banner - C:\Arquivos de Programas\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Estatísticas do Antivírus da Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de Programas\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de Programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O14 - IERESET.INF: START_PAGE_URL=http://www.compartilhando.org/

O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone

O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {36C417C6-13C6-448B-9784-DD73A93B0582} (McAfee.com Download+Installer Class) - http://download.mcafee.com/molbin/shared/m...83/mcinsctl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1189893767875

O16 - DPF: {9EC30204-384D-11D3-9CA3-00A024F0AF03} (ValidaUsuario Class) - https://cpne.bradesco.com.br/certifexp.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,20/mcgdmgr.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{917E8ABF-6E7C-4393-B931-094E0505A2F6}: NameServer = 200.165.132.154 200.165.132.148

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: GbPluginBb - C:\ARQUIV~1\GbPlugin\gbieh.dll

O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Program Files\Scpad\scpLIB.dll

O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Program Files\Scpad\scpLIB.dll

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Arquivos de Programas\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: ServiceLayer - Nokia. - C:\Arquivos de programas\Arquivos comuns\PCSuite\Services\ServiceLayer.exe

--

End of file - 7398 bytes

DigRam · Junho 7, 2008

Bom Dia! dcesar

<@> Apesar do componente bancário,não ter sido removido,o log do HijackThis está limpo.

------------------------------

<@> Vá a este Link,e baixe/execute:

< malwarebytes >

------------------------------

<@> Poste o relatório + HJT,atualizado.

Abraços!

dcesar · Junho 8, 2008

DigRam,

Logs HJT e MBAM abaixo.

Valeu, abraço

Cesar

-

Malwarebytes' Anti-Malware 1.15

Versão do banco de dados: 830

08:16:22 08/06/2008

mbam-log-6-8-2008 (08-16-22).txt

Tipo de Verificação: Rápida

Objetos verificados: 36688

Tempo decorrido: 10 minute(s), 59 second(s)

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 0

Ítens do Registro infectados: 0

Pastas infectadas: 0

Arquivos infectados: 0

Processos da Memória infectados: