[Resolvido!] System Error code 1400

edilsonmoc · Março 19, 2009

Quando eu clico para minimizar alguma janela aparece uma janelinha escrito o que se segue " System Error Code 1400 O identificador da janela e inválido". Windows 2000

Sam Spade · Março 19, 2009

Olá edilsonmoc! Baixe > HijackThis

Abra uma pasta em C:\ e salve nela.

Quando abrir a ferramenta, clique em "Do a system scan and save a logfile". Selecione, copie todo o seu conteúdo e cole na sua próxima resposta.

edilsonmoc · Março 19, 2009

Segue o que se pede na menságem anterior

Logfile of HijackThis v1.99.1

Scan saved at 09:41:06, on 19/3/2009

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

C:\WINNT\System32\svchost.exe

C:\Arquivos de programas\Firebird\Firebird_2_0\bin\fbguard.exe

C:\Arquivos de programas\GbPlugin\GbpSv.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Arquivos de programas\Firebird\Firebird_2_0\bin\fbserver.exe

C:\WINNT\Explorer.EXE

C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe

C:\Arquivos de programas\Hewlett-Packard\OrderReminder\OrderReminder.exe

C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe

C:\WINNT\Sun\Java\applet\jvm\services.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Hijach this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.montesclaros.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gratis.com.br

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DirecX - {B6DC87C6-3ED0-42E3-A095-B59F4DC72739} - C:\WINNT\Sun\Java\jp2ssv.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Arquivos de programas\GbPlugin\gbieh.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [smapp] C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [OrderReminder] C:\Arquivos de programas\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [updateMgr] C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O14 - IERESET.INF: START_PAGE_URL=http://www.gratis.com.br

O16 - DPF: {18506D80-9B80-11D4-82C2-0080C8D7ED4A} (GameDesire Roulette) - http://67.15.101.33/g_bin/eng/roulette_2_0_0_27.cab

O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.33/g_bin/eng/billard8_2_0_0_35.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F83CF173-6AA7-469B-9311-FE8E89FA9C93}: NameServer = 200.179.114.2,200.179.114.5

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - FirebirdSQL Project - C:\Arquivos de programas\Firebird\Firebird_2_0\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - FirebirdSQL Project - C:\Arquivos de programas\Firebird\Firebird_2_0\bin\fbserver.exe

O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

Sam Spade · Março 19, 2009

Ok, acesse http://virusscan.jotti.org/

No site, na caixa Procurar, cole esta linha abaixo:

C:\WINNT\Sun\Java\applet\jvm\services.exe

Clique em Submit, aguarde o resultado da análise aparecer e salve.

Faça o mesmo com esse:

C:\WINNT\Sun\Java\jp2ssv.dll

Poste os resultados das análises.

edilsonmoc · Março 19, 2009

Sam Spade

Como foi solicitado para o link a seguir segue abaixo resultados.

C:\WINNT\Sun\Java\applet\jvm\services.exe

Scanner results

Scan taken on 19 Mar 2009 13:19:22 (GMT)

A-Squared Found Trojan-Banker.Win32.Bancos!IK

AntiVir Found TR/Downloader.Gen

ArcaVir Found nothing

Avast Found Win32:Trojan-gen {Other}

AVG Antivirus Found nothing

BitDefender Found Virtool.27107

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found W32/NewMalware-LSU-based!Maximus (probable variant)

F-Secure Anti-Virus Found nothing

Ikarus Found Trojan-Banker.Win32.Bancos

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found W32/DLoader.NSGI

Panda Antivirus Found nothing

Quick Heal Found Trojan.Agent.IRC

Sophos Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found Trojan-Proxy.Agent.33 (probable variant)

Ao Segundo link analizado segue abixo

C:\WINNT\Sun\Java\jp2ssv.dll

Scanner results

Scan taken on 19 Mar 2009 13:32:27 (GMT)

A-Squared Found Trojan-Spy.Win32.Bancos!IK

AntiVir Found TR/Spy.Banker.825344

ArcaVir Found nothing

Avast Found Win32:Spyware-gen

AVG Antivirus Found nothing

BitDefender Found Generic.Banker.Delf.F2508384

ClamAV Found Trojan.Banker-174

CPsecure Found Troj.Spy.W32.Banbra.kp

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found Trojan-Spy.Win32.Delf.fob

Ikarus Found Trojan-Spy.Win32.Bancos

Kaspersky Anti-Virus Found Trojan-Spy.Win32.Delf.fob

NOD32 Found nothing

Norman Virus Control Found W32/Bancos.dam

Panda Antivirus Found nothing

Quick Heal Found Trojan.Agent.ATV

Sophos Antivirus Found Mal/Banspy-F

VirusBuster Found nothing

VBA32 Found nothing

edilsonmoc · Março 20, 2009

Sam Spade

Como foi solicitado para o link a seguir segue abaixo resultados.

C:\WINNT\Sun\Java\applet\jvm\services.exe

Scanner results

Scan taken on 19 Mar 2009 13:19:22 (GMT)

A-Squared Found Trojan-Banker.Win32.Bancos!IK

AntiVir Found TR/Downloader.Gen

ArcaVir Found nothing

Avast Found Win32:Trojan-gen {Other}

AVG Antivirus Found nothing

BitDefender Found Virtool.27107

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found W32/NewMalware-LSU-based!Maximus (probable variant)

F-Secure Anti-Virus Found nothing

Ikarus Found Trojan-Banker.Win32.Bancos

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found W32/DLoader.NSGI

Panda Antivirus Found nothing

Quick Heal Found Trojan.Agent.IRC

Sophos Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found Trojan-Proxy.Agent.33 (probable variant)

Ao Segundo link analizado segue abixo

C:\WINNT\Sun\Java\jp2ssv.dll

Scanner results

Scan taken on 19 Mar 2009 13:32:27 (GMT)

A-Squared Found Trojan-Spy.Win32.Bancos!IK

AntiVir Found TR/Spy.Banker.825344

ArcaVir Found nothing

Avast Found Win32:Spyware-gen

AVG Antivirus Found nothing

BitDefender Found Generic.Banker.Delf.F2508384

ClamAV Found Trojan.Banker-174

CPsecure Found Troj.Spy.W32.Banbra.kp

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found Trojan-Spy.Win32.Delf.fob

Ikarus Found Trojan-Spy.Win32.Bancos

Kaspersky Anti-Virus Found Trojan-Spy.Win32.Delf.fob

NOD32 Found nothing

Norman Virus Control Found W32/Bancos.dam

Panda Antivirus Found nothing

Quick Heal Found Trojan.Agent.ATV

Sophos Antivirus Found Mal/Banspy-F

VirusBuster Found nothing

VBA32 Found nothing

Continuo aguardando retorno para solução do problema

Sam Spade · Março 20, 2009

Baixe > KillBox

Salve ou imprima estas instruções:

1 - Rode o KillBox, marque Delete on Reboot e coloque em Full Path of File to Delete:

C:\WINNT\Sun\Java\applet\jvm\services.exe

Clique no botão . Responda Não à pergunta.

Coloque agora:

C:\WINNT\Sun\Java\jp2ssv.dll

Clique no botão . Desta vez, responda Sim à pergunta.

Ao reiniciar o PC, aperte F8 intermitentemente. No menu escolha: modo seguro.

2 - Abra o HijackThis e clique em Do a system scan only. Aguarde o exame acabar.

Cada entrada tem uma caixa do lado esquerdo. Marque apenas as caixas das entradas abaixo:

O2 - BHO: DirecX - {B6DC87C6-3ED0-42E3-A095-B59F4DC72739} - C:\WINNT\Sun\Java\jp2ssv.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

Ficará com um sinal V dentro de cada caixa.

Clique então em . Dê o Ok para a pergunta e depois feche o HijackThis.

3 - Reinicie o PC normalmente. Faça um scan on line na Kaspersky

Acesse o site, clique em .

Obs: O site só funciona com o Internet Explorer.

Aceite o download do Java, depois clique em Accept para permitir a instalação do controle activeX, e quando terminar, clique em Run para permitir a execução do ActiveX.

O site atualizará a base de dados.

Clique em Settings para configurar o scan. Marque todas as opções e clique em Save para salvar as configurações.

Clique no botão Scan e selecione My Computer

É demorado, portanto, seja paciente.

Quando terminar, clique em Save Report As... para salvar o log.

Salve o resultado como .txt, segundo a imagem abaixo:

4 - Gere um novo log com o HijackThis e poste, juntamente com o resultado da Kaspersky.

edilsonmoc · Março 20, 2009

Ao executar a sequênçia que você pediu anterior.Ao inserir a primeira linha e clicar em full path of file to delete nada aconteceu mais ao inserir a segunda linha q pediu e ao termino do scaneamento a seguinte menságem apareceu " PendingFileRenameOperations Registry Data Has benn Removed By External Process". então preciso saber se o Pc vai reiniciar sozinho ou devo fazê-lo manualmente para continuar a sequênçia que pediu. Veja bem , eu reiniciei o pc manualmente e executei a sequençia que foi passada anteriormente porém, quando fui ao site kaspersky para fazer o scaneamento você pede para aceitar o download do java então quando abre a janela sobre aceitar ou não eu clico em ok porém o botão Accept não fica selecionado....

edilsonmoc · Março 21, 2009

Ao executar a sequênçia que você pediu anterior.Ao inserir a primeira linha e clicar em full path of file to delete nada aconteceu mais ao inserir a segunda linha q pediu e ao termino do scaneamento a seguinte menságem apareceu " PendingFileRenameOperations Registry Data Has benn Removed By External Process". então preciso saber se o Pc vai reiniciar sozinho ou devo fazê-lo manualmente para continuar a sequênçia que pediu. Veja bem , eu reiniciei o pc manualmente e executei a sequençia que foi passada anteriormente porém, quando fui ao site kaspersky para fazer o scaneamento você pede para aceitar o download do java então quando abre a janela sobre aceitar ou não eu clico em ok porém o botão Accept não fica selecionado......

Sam Spade · Março 21, 2009

Cara, não adianta ficar dando ups. Se eu não respondi antes é porque tenho outras coisas a fazer e não posso ficar no fórum o tempo todo.

Baixe: ComboFix > salve na área de trabalho

Desative seu antivirus, antispywares e firewall, para não causar conflitos. Mantenha-os desativados até terminar as instruções.
Dê um duplo-clique no combofix.exe, marque 1 e dê o enter para prosseguir o Fix. Aguarde pois é um pouco demorado.
O ComboFix reiniciará o PC automaticamente para completar o processo de remoção. Caso isso não aconteça, reinicie manualmente.
Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.
IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando. Para parar ou sair do ComboFix, tecle "N".
Selecione, copie e cole o conteúdo do ComboFix.txt na sua próxima resposta.

OBS: Não rode o ComboFix mais do que uma vez. Isso irá sobreescrever o log e dificultará a remoção do(s) malware(s)

O ComboFix é uma ferramenta que pode danificar o sistema se for usada incorretamente. Use-o apenas sob supervisão de um analista de malwares.

edilsonmoc · Março 21, 2009

Sam,,,Desculpa cara ter editado a pergunta e a vontade de solucionar esse problema logo meu brother que deixa agente impaciente..Olha segue abaixo a respondeque pediu depois de rodar o combo.fix.

ComboFix 09-03-19.02 - LANZA VIEIRA 21/03/2009 9:40:06.1 - NTFSx86

Microsoft Windows 2000 Professional 5.0.2195.3.1252.1.1046.18.256.72 [GMT -3:00]

Executando de: c:\documents and settings\LANZA VIEIRA\Desktop\ComboFix.exe

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\winnt\Web\default.htt

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_GBPSV

-------\Service_GbpSv

(((((((((((((((( Arquivos/Ficheiros criados de 2009-02-21 to 2009-03-21 ))))))))))))))))))))))))))))

.

2009-03-20 16:47 . 09-03-20 16:47 740,884 ---h----- c:\winnt\ShellIconCache

2009-03-20 13:39 . 09-03-20 13:47 <DIR> d-------- C:\!KillBox

2009-03-19 09:38 . 09-03-20 14:49 <DIR> d-------- C:\Hijach this

2009-03-09 16:41 . 09-03-09 16:41 <DIR> d-------- c:\winnt\Sun

2009-03-09 16:41 . 09-03-09 16:41 1 ---hs---- C:\MSDOS.INF

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-21 11:00 --------- d-----w c:\documents and settings\LANZA VIEIRA\Dados de aplicativos\AVG7

2009-03-04 17:00 --------- d-----w c:\documents and settings\LANZA VIEIRA\Dados de aplicativos\GanymedeNet

2009-01-28 18:03 --------- d-----w c:\arquivos de programas\Ganymede

2007-09-28 08:55 271 ---h--w c:\arquivos de programas\desktop.ini

2007-09-28 08:55 22,040 ---h--w c:\arquivos de programas\folder.htt

2002-08-08 00:00 32,528 ----a-w c:\winnt\inf\wbfirdma.sys

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="c:\arquivos de programas\MSN Messenger\MsnMsgr.Exe" [07-09-04 23:40 6856704]

"updateMgr"="c:\arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [04-11-22 08:18 307200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Smapp"="c:\arquivos de programas\Analog Devices\SoundMAX\SMTray.exe" [03-05-05 08:57 143360]

"AVG7_CC"="c:\arquiv~1\Grisoft\AVG7\avgcc.exe" [09-02-25 14:45 590848]

"OrderReminder"="c:\arquivos de programas\Hewlett-Packard\OrderReminder\OrderReminder.exe" [06-07-21 07:00 98304]

"NeroFilterCheck"="c:\winnt\system32\NeroCheck.exe" [01-07-09 11:50 155648]

"Synchronization Manager"="mobsync.exe" [02-08-07 21:00 111888 c:\winnt\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"AVG7_Run"="c:\arquiv~1\Grisoft\AVG7\avgw.exe" [07-10-25 08:03 219136]

"internat.exe"="internat.exe" [02-08-07 21:00 20752 c:\winnt\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"^SetupICWDesktop"="c:\arquivos de programas\Internet Explorer\Connection Wizard\icwconn1.exe" [02-08-07 21:00 190736]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Adobe Reader Speed Launch.lnk - c:\arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"= mmdrv.dll

R1 Avg7RsNT;AVG7 Resident Driver NT;c:\winnt\system32\drivers\avg7rsnt.sys [2007-09-28 26944]

R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\arquivos de programas\Firebird\Firebird_2_0\bin\fbguard.exe -s --> c:\arquivos de programas\Firebird\Firebird_2_0\bin\fbguard.exe -s [?]

R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\arquivos de programas\Firebird\Firebird_2_0\bin\fbserver.exe -s --> c:\arquivos de programas\Firebird\Firebird_2_0\bin\fbserver.exe -s [?]

R3 usbhub20;USB 2.0 Root Hub Support;c:\winnt\system32\drivers\usbhub20.sys [2007-09-28 49392]

RUnknown GbpSv;GbpSv; [x]

--- ---

*NewlyCreated* - GBPSV

*NewlyCreated* - IPNAT

*NewlyCreated* - RASAUTO

*NewlyCreated* - SHAREDACCESS

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.montesclaros.com/

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

LSP: %SystemRoot%\system32\msafd.dll

TCP: {F83CF173-6AA7-469B-9311-FE8E89FA9C93} = 200.179.114.2,200.179.114.5

DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab

DPF: {18506D80-9B80-11D4-82C2-0080C8D7ED4A} - hxxp://67.15.101.33/g_bin/eng/roulette_2_0_0_27.cab

DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - hxxps://www14.bancobrasil.com.br/plugin/GbpDist.cab

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-21 09:50:19

Windows 5.0.2195 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(176)

c:\arquivos de programas\GbPlugin\gbieh.dll

.

Tempo para conclusão: 2009-03-21 9:53:32 - Máquina reiniciou

ComboFix-quarantined-files.txt 2009-03-21 12:53:08

PrÚ-execuþÒo: 16 pasta(s) 27.601.657.856 bytes dispon¡veis

P¾s execuþÒo: 16 pasta(s) 29,563,695,104 bytes dispon¡veis

95

Sam Spade · Março 22, 2009

Desative seu antivirus, antispywares e firewall, para não causar conflitos. Mantenha-os desativados até terminar as instruções.

Selecione e copie o texto dentro do QUOTE. Abra o Bloco de notas e cole o que copiou. Salve então, na área de trabalho, com o nome de CFScript.txt.

File::
C:\MSDOS.INF

Folder::

c:\winnt\Sun

Arraste agora o CFScript.txt para o ComboFix conforme a demonstração abaixo.

O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção.

* Caso isso não aconteça, então reinicie manualmente.

IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando.

Esse script foi elaborado somente para este computador, de acordo com os arquivos e chaves presentes.

Aos visitantes: Se estiverem com um problema semelhante, não utilizem esse script, pois o uso sem supervisão pode causar danos ao sistema.

Abra um tópico próprio, solicitando ajuda.

Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.

OBS: Não rode o ComboFix mais do que uma vez. Isso irá sobreescrever o log e dificultará a remoção do(s) malware(s)

Selecione, copie e cole o conteúdo do ComboFix.txt na sua próxima resposta.

edilsonmoc · Março 23, 2009

Feito o procedimento segue o relatório do Combofix.txt

ComboFix 09-03-19.02 - LANZA VIEIRA 23/03/2009 8:22:00.2 - NTFSx86

Microsoft Windows 2000 Professional 5.0.2195.3.1252.1.1046.18.256.124 [GMT -3:00]

Executando de: c:\documents and settings\LANZA VIEIRA\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\LANZA VIEIRA\Desktop\CFScript.txt

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

FILE ::

C:\MSDOS.INF

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\Default User\Configura‡äes locais\Temporary Internet Files\

c:\documents and settings\LANZA VIEIRA\Configura‡äes locais\Temporary Internet Files\

C:\MSDOS.INF

c:\winnt\Sun

c:\winnt\Sun\Java\_tmp\OEMWINSTAT.txt

c:\winnt\Sun\Java\applet\jvm\desktop.inf

c:\winnt\Sun\Java\applet\jvm\jdebug

c:\winnt\Sun\Java\applet\jvm\jdebug.js

c:\winnt\Sun\Java\applet\jvm\LICENSE

c:\winnt\Sun\Java\applet\jvm\regutils.nf

c:\winnt\Sun\Java\applet\jvm\services.exe

c:\winnt\Sun\Java\desktop.inf

c:\winnt\Sun\Java\desktop.inf.dat

c:\winnt\Sun\Java\desktop.infi_

c:\winnt\Sun\Java\dtsgmup.js

c:\winnt\Sun\Java\idesktop.inf

c:\winnt\Sun\Java\jbroker.exe

c:\winnt\Sun\Java\jdbc.dll

c:\winnt\Sun\Java\jvm.dll

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_GBPSV

-------\Service_GbpSv

(((((((((((((((( Arquivos/Ficheiros criados de 2009-02-23 to 2009-03-23 ))))))))))))))))))))))))))))

.

2009-03-20 16:47 . 09-03-21 12:00 741,066 ---h----- c:\winnt\ShellIconCache

2009-03-20 13:39 . 09-03-20 13:47 <DIR> d-------- C:\!KillBox

2009-03-19 09:38 . 09-03-20 14:49 <DIR> d-------- C:\Hijach this

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-23 11:12 --------- d-----w c:\documents and settings\LANZA VIEIRA\Dados de aplicativos\AVG7