[Arquivado] Problemas Diversos XP

vipper · Setembro 12, 2009

Estou com alguns problemas numa máquina. Primeiro, não consigo ativar a atualização automática, se utilizo o aviso na área de notificação, diz que não conseguiu ativar, se tento pelos serviços, quando coloco para iniciar automático, dá acesso negado. Tentei instalar o SP3, ele faz todo o procedimento e quase no final da a mensagem de acesso negado. Será que podem ajudar? Grato.

Segue o Log do Hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 13:58:00, on 12/9/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\ESET\ESET Smart Security\ekrn.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Arquivos de programas\ESET\ESET Smart Security\egui.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\Arquivos de programas\iXi Tools\Driver Updater Pro\DriverUpdaterPro.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Skype\Phone\Skype.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Skype\Plugin Manager\skypePM.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\teca\Desktop\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.portocabofrio.com.br/

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll (file missing)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Java Plug-In 2 SSV Helper - {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [DriverUpdaterPro] C:\Arquivos de programas\iXi Tools\Driver Updater Pro\DriverUpdaterPro.exe -t

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\teca\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: ikowin32.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Atualizador de licenças ESET.lnk = C:\Arquivos de programas\ESET\MiNODLogin\MiNODLogin.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O11 - Options group: [java_sun] Java (Sun)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {6414512b-b978-451d-a0d8-fcfdf33e833c} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1252769825687

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{d2a2e6e0-cea4-46a2-80d8-25dd385e8e3f}: NameServer = 200.165.132.148,200.149.55.142

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\

O23 - Service: ESET HTTP Server (ehttpsrv) - ESET - C:\Arquivos de programas\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: ESET Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET Smart Security\ekrn.exe

O23 - Service: Java Quick Starter (javaquickstarterservice) - Unknown owner - C:\Arquivos de programas\Java\jre6\bin\jqs.exe" -service -config "C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Power Max · Setembro 12, 2009

:thumbsup: Olá Vipper!

:seta: Primeiramente é muito importante você observar se este seu antivirus Nod32 é original ou é pirateado. Se ele for original continue com ele, pois é um ótimo antivírus. Mas se ele for pirateado ou crackeado é muito importante desinstalá-lo, pois um antivírus falsificado é mais perigoso do que os próprios vírus!

A empresa produtora do antivirus sempre descobre que ele foi pirateado e bloqueia as atualizações para ele.

E no caso de antivirus crackeados, as pessoas que criam esses cracks sempre fazem alguma modificação que abrem brechas de segurança no seu PC para que depois ela possa invadir o seu PC ou instalar malwares sem que o antivirus se dê conta disso (pois ele foi modificado ou crackeado justamente para este fim). Você acha que as pessoas que crackeiam os antivirus estão fazendo isso porque são caridosas e bondosas? É claro que não! O que elas querem é um modo de invadir o PC das pessoas que usam esses antivirus.

Neste caso dele ser pirateado, sugiro que depois de desinstalá-lo você instale um ótimo antivírus gratuito para você, como o Avira Antivir Personal 9 Free.

Para instalar, configurar e usar corretamente o Avira antivir é só seguir as dicas destes tutoriais:

Tutorial do Avira Antivir 9 free (instalação e configuração)

Tutorial do Avira Antivir 9 free (como usá-lo corretamente)

____________________________

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

Faça o download do ComboFix

1) Desabilite o seu anti-vírus temporariamente;

2) Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

3) A janela de “NEGAÇÃO DE GARANTIA DO SOFTWARE” abrir-se-á. Clique em “SIM” para continuar.

4) Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console antes de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

Clique sobre “SIM” e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

Quando a janela “INSTALANDO O CONSOLE DE RECUPERAÇÃO” aparecer clique em “OK”, depois clique sobre “SIM” para aceitar a licença EULA.

Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que “O CONSOLE DE RECUPERAÇÃO FOI INSTALADO COM SUCESSO”.

Clique sobre “SIM” para continuar a varredura.

5) O ComboFix iniciará o AUTOSCAN (aguarde).

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

Ao término do processo a máquina será reiniciada para a emissão do relatório.

6) Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log dele estará em C:\ComboFix.txt.

7) Reabilite o seu anti-vírus;

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO ou caso os virus ou malwares bloqueiem a execução do Combofix, baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Neste caso, nomeie-o como Kombofix durante o salvamento e não após salvá-lo!

Em último caso, se não for possível executar o Combofix no Modo Normal do Windows, tente utilizar o ComboFix em MODO SEGURO (reiniciando o computador e pressionando a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização e escolha a opção Modo Seguro na tela que se apresenta) e repita o procedimento;

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

* Se por algum motivo você precisar parar ou sair do ComboFix, tecle "N".

* Se perder a conexão com a internet, reinicie o computador. Caso o problema persista, abra Conexões de Rede no Painel de Controle, clique com o botão direito do mouse sobre a sua conexão com a internet e em "Reparar";

Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC depois disto.

Ficamos no aguardo.

vipper · Setembro 12, 2009

Caro Antônio, Obrigado pelo pronto atendimento.

Segui os passos explicados, porém, continuo sem conseguir habilitar as atualizações automáticas.

Antes de postar os logs, algumas considerações:

1 - Quanto ao NOD, hoje já tenho uma licensa válida, certo é que meu nod nunca foi crackeado exatamente, você deve ter visto o aplicativo MiNodlogin, eu o utilizei um período para "caçar" licensas na net, essa é sua única função, nessa máquina eu utilizo XP, mas já utilizei o mesmo programa com o vitsa 64 em outra máquina com a proteção de usuário ativada, e nunca utilizei o dito programa em modo administrador ou seja, ele nunca fez modificações significativas em meu sistema e fazia o que se propunha, me mostrar novas licensas, sendo essa a única função dele, não modificando em nada o meu antivirus original. Tanto o é que aqui já tem uma nova licensa e ele avisa que ela é válida e não faz qualquer operação. Pelo sim pelo não, removi o mesmo antes de postar esta mensagem.

2 - Você deve verificar que rodei o combofix como Kombofix, certo que nem tentei rodá-lo como Combofix para evitar perdas de tempo caso não rodasse, salvei logo de inicio como Kombofix. Não devendo nesse caso ser interpretado que a máquina não rodou com Combofix.

Seguem os logs:

Combofix:

ComboFix 09-09-11.05 - teca 12/09/2009 15:22.1.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.959.447 [GMT -3:00]

Executando de: c:\documents and settings\teca\Desktop\Hijackthis\KomboFix.exe

AV: ESET Smart Security 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

FW: Firewall pessoal do ESET *disabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\teca\Dados de aplicativos\wiaserva.log

c:\windows\system32\_004286_.tmp.dll

c:\windows\system32\_004287_.tmp.dll

c:\windows\system32\_004288_.tmp.dll

c:\windows\system32\_004289_.tmp.dll

c:\windows\system32\_004296_.tmp.dll

c:\windows\system32\_004297_.tmp.dll

c:\windows\system32\_004298_.tmp.dll

c:\windows\system32\_004299_.tmp.dll

c:\windows\system32\_004301_.tmp.dll

c:\windows\system32\_004302_.tmp.dll

c:\windows\system32\_004305_.tmp.dll

c:\windows\system32\_004306_.tmp.dll

c:\windows\system32\_004308_.tmp.dll

c:\windows\system32\_004309_.tmp.dll

c:\windows\system32\_004310_.tmp.dll

c:\windows\system32\_004312_.tmp.dll

c:\windows\system32\_004314_.tmp.dll

c:\windows\system32\_004315_.tmp.dll

c:\windows\system32\_004316_.tmp.dll

c:\windows\system32\_004320_.tmp.dll

c:\windows\system32\_004321_.tmp.dll

c:\windows\system32\_004323_.tmp.dll

c:\windows\system32\_004326_.tmp.dll

c:\windows\system32\_004328_.tmp.dll

c:\windows\system32\_004329_.tmp.dll

c:\windows\system32\_004330_.tmp.dll

c:\windows\system32\_004331_.tmp.dll

c:\windows\system32\_004332_.tmp.dll

c:\windows\system32\_004335_.tmp.dll

c:\windows\system32\_004336_.tmp.dll

c:\windows\system32\_004337_.tmp.dll

c:\windows\system32\_004338_.tmp.dll

c:\windows\system32\_004339_.tmp.dll

c:\windows\system32\_004344_.tmp.dll

c:\windows\system32\drivers\13b1b8df.sys

c:\windows\system32\drivers\81cc6af6.sys

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_13b1b8df

-------\Service_81cc6af6

(((((((((((((((( Arquivos/Ficheiros criados de 2009-08-12 to 2009-09-12 ))))))))))))))))))))))))))))

.

2009-09-12 16:35 . 2004-08-04 03:45 221184 ----a-w- c:\windows\system32\wmpns.dll

2009-09-12 16:20 . 2004-08-04 03:44 96768 ----a-w- c:\windows\system32\dllcache\dpcdll.dll

2009-09-12 16:19 . 2009-09-12 16:22 -------- d-----w- c:\windows\l2schemas

2009-09-12 16:19 . 2009-09-12 16:22 -------- d-----w- c:\windows\system32\bits

2009-09-12 16:07 . 2004-08-04 03:45 1352704 ----a-w- c:\windows\system32\dllcache\cimwin32.dll

2009-09-12 16:06 . 2004-08-04 03:45 9216 ----a-w- c:\windows\system32\dllcache\scrnsave.scr

2009-09-12 15:59 . 2009-09-12 16:20 -------- d-----w- c:\windows\system32\CatRoot_bak

2009-09-12 15:31 . 2009-09-12 15:31 -------- d-s---w- c:\documents and settings\teca\UserData

2009-09-12 15:24 . 2009-09-12 15:24 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-09-12 15:24 . 2009-09-12 15:24 -------- d-----w- c:\arquivos de programas\Java

2009-09-12 15:23 . 2009-09-12 15:23 152576 ----a-w- c:\documents and settings\teca\Dados de aplicativos\Sun\Java\jre1.6.0_16\lzma.dll

2009-09-12 15:14 . 2009-09-12 15:14 -------- d-----w- c:\documents and settings\teca\Dados de aplicativos\ESET

2009-09-12 15:13 . 2009-09-12 15:15 -------- d-----w- c:\arquivos de programas\ESET

2009-09-12 15:13 . 2009-09-12 15:13 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\ESET

2009-09-04 15:46 . 2009-09-12 14:43 -------- d-----w- c:\documents and settings\teca\Dados de aplicativos\skypePM

2009-09-04 15:46 . 2009-09-04 15:46 48 ---ha-w- c:\windows\system32\ezsidmv.dat

2009-09-04 15:43 . 2009-09-12 18:34 -------- d-----w- c:\documents and settings\teca\Dados de aplicativos\Skype

2009-09-04 15:43 . 2009-09-12 15:12 -------- d-----w- c:\arquivos de programas\Google

2009-09-04 15:41 . 2009-09-04 15:41 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Skype

2009-09-04 15:41 . 2009-09-04 15:43 -------- d-----r- c:\arquivos de programas\Skype

2009-09-04 15:41 . 2009-09-04 15:41 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Skype

2009-09-02 22:25 . 2009-09-02 22:25 -------- d-----w- c:\arquivos de programas\AVG

2009-09-02 22:22 . 2009-09-12 15:02 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Avg8

2009-08-24 18:06 . 2009-08-24 18:08 -------- d-----w- c:\windows\NV27242728.TMP

2009-08-24 16:36 . 2009-08-24 18:08 -------- d-----w- c:\windows\nview

2009-08-24 16:35 . 2008-02-25 15:29 8491008 ----a-w- c:\windows\system32\nvcpl.dll

2009-08-22 20:09 . 2008-03-06 19:23 442368 ----a-w- c:\windows\system32\NVUNINST.EXE

2009-08-22 12:29 . 2009-08-22 12:29 -------- d-----w- c:\arquivos de programas\Twinhan

2009-08-22 12:00 . 2009-08-22 12:00 -------- dc-h--w- c:\documents and settings\All Users\Dados de aplicativos\{CC51AE54-B346-4954-ADDB-30BD4F138CF2}

2009-08-22 12:00 . 2009-08-22 12:00 -------- d-----w- c:\arquivos de programas\iXi Tools

2009-08-22 11:50 . 2009-08-22 11:50 20747 ----a-w- c:\windows\system32\drivers\AegisP.sys

2009-08-22 11:50 . 2009-08-22 11:53 -------- d-----w- c:\arquivos de programas\MSI

2009-08-22 11:15 . 2009-08-22 11:15 -------- d-----w- c:\arquivos de programas\DIFX

2009-08-22 11:15 . 2009-08-22 11:15 104960 ----a-w- c:\windows\system32\drivers\ZTEusbnmea.sys

2009-08-22 11:15 . 2009-08-22 11:15 104960 ----a-w- c:\windows\system32\drivers\ZTEusbser6k.sys

2009-08-22 11:15 . 2009-08-22 11:15 104960 ----a-w- c:\windows\system32\drivers\ZTEusbmdm6k.sys

2009-08-22 11:15 . 2009-08-22 11:15 -------- d-----w- c:\documents and settings\teca\Dados de aplicativos\Lightcomm

2009-08-22 11:15 . 2009-08-22 11:15 -------- d-----w- c:\documents and settings\teca\Dados de aplicativos\Oi

2009-08-22 11:15 . 2009-08-22 11:15 -------- d-----w- c:\arquivos de programas\Oi

2009-08-22 00:10 . 2009-08-22 00:10 -------- d-----w- c:\windows\system32\Lang

2009-08-22 00:01 . 2009-08-22 00:01 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Hewlett-Packard

2009-08-22 00:01 . 2009-08-22 00:01 -------- d-----w- c:\arquivos de programas\Hewlett-Packard

2009-08-22 00:01 . 2009-08-22 00:01 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Hewlett-Packard

2009-08-21 23:59 . 2009-08-22 00:03 154142 ----a-w- c:\windows\hpwins16.dat

2009-08-21 23:59 . 2007-02-23 00:37 1275480 ----a-w- c:\windows\hpzshl01.exe

2009-08-21 23:59 . 2007-02-23 00:36 1132120 ----a-w- c:\windows\hpzmsi01.exe

2009-08-21 23:59 . 2007-07-12 02:59 11321 ----a-w- c:\windows\hpwscr16.dat

2009-08-21 23:59 . 2007-07-12 02:56 1162 ----a-w- c:\windows\hpwmdl16.dat

2009-08-21 23:20 . 2009-09-12 16:22 -------- d-----w- c:\windows\system32\pt-br

2009-08-21 23:19 . 2007-08-10 11:12 26488 ----a-w- c:\windows\system32\spupdsvc.exe

2009-08-21 23:19 . 2009-08-21 23:19 -------- d--h--w- c:\windows\$hf_mig$

2009-08-21 23:14 . 2009-08-21 23:15 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe

2009-08-21 22:53 . 2006-10-26 22:56 32592 ----a-w- c:\windows\system32\msonpmon.dll

2009-08-21 22:52 . 2009-08-21 22:52 -------- d-----w- c:\arquivos de programas\Microsoft Works

2009-08-21 22:52 . 2009-08-21 22:52 -------- d-----w- c:\arquivos de programas\MSBuild

2009-08-21 22:49 . 2009-08-21 22:51 -------- d-----w- c:\windows\SHELLNEW

2009-08-21 22:48 . 2009-08-21 22:53 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help

2009-08-21 22:48 . 2009-08-21 22:48 -------- d-----r- C:\MSOCache

2009-08-21 22:09 . 2009-08-22 11:50 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2009-08-21 22:09 . 2009-08-21 22:09 -------- d-----w- c:\windows\OPTIONS

2009-08-21 22:09 . 2009-08-22 11:52 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield

2009-08-21 22:09 . 1998-01-23 15:21 305664 ----a-w- c:\windows\IsUn0416.exe

2009-08-21 22:09 . 2009-08-21 22:09 -------- d-----w- c:\documents and settings\teca\WINDOWS

2009-08-21 22:09 . 2002-09-12 09:29 6016 ----a-r- c:\windows\system32\ntsim.sys

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-12 17:46 . 2009-09-12 17:46 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\ESET

2009-08-24 18:45 . 2001-10-28 18:07 49586 ----a-w- c:\windows\system32\perfc016.dat

2009-08-24 18:45 . 2001-10-28 18:07 347294 ----a-w- c:\windows\system32\perfh016.dat

2009-08-22 00:05 . 2009-08-22 00:05 -------- d-----w- c:\arquivos de programas\Realtek

2009-08-22 00:00 . 2009-08-22 00:00 -------- d-----w- c:\arquivos de programas\HP

2009-08-21 21:48 . 2009-08-21 21:48 -------- d-----w- c:\arquivos de programas\microsoft frontpage

2009-08-21 21:46 . 2009-08-21 21:46 -------- d-----w- c:\arquivos de programas\Serviços on-line

2009-08-21 21:45 . 2009-08-21 21:45 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Serviços

2009-08-21 21:44 . 2009-08-21 21:44 21844 ----a-w- c:\windows\system32\emptyregdb.dat

2009-07-06 20:10 . 2009-08-22 00:05 5788672 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys

2009-07-02 22:11 . 2009-08-22 00:05 18665472 ----a-w- c:\windows\RTHDCPL.EXE

2009-06-26 17:37 . 2009-08-22 00:05 40960 ----a-w- c:\windows\system32\RtkCoInstXP.dll

2009-06-24 13:43 . 2009-08-22 00:05 831488 ----a-r- c:\windows\RtlExUpd.dll

2009-06-22 20:39 . 2009-08-22 00:05 1482752 ----a-w- c:\windows\RtlUpd.exe

.

------- Sigcheck -------

[-] 2004-09-24 . 09EB23A4567BDD56D9580A059E616E23 . 359040 . . [5.1.2600.2505] . . c:\windows\system32\drivers\tcpip.sys

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DriverUpdaterPro"="c:\arquivos de programas\iXi Tools\Driver Updater Pro\DriverUpdaterPro.exe" [2009-06-12 2682880]

"MSMSGS"="c:\arquivos de programas\Messenger\msmsgs.exe" [2004-08-04 1667584]

"Skype"="c:\arquivos de programas\Skype\Phone\Skype.exe" [2009-09-02 25623336]

"Google Update"="c:\documents and settings\teca\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" [2009-09-10 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-02-25 8491008]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-25 81920]

"egui"="c:\arquivos de programas\ESET\ESET Smart Security\egui.exe" [2009-05-14 2029640]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2009-09-12 149280]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-02-25 1626112]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2009-07-02 18665472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Adobe Reader Speed Launch.lnk - c:\arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]

Adobe Reader Synchronizer.lnk - c:\arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]

Atualizador de licen‡as ESET.lnk - c:\arquivos de programas\ESET\MiNODLogin\MiNODLogin.exe [2009-8-22 125952]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"9837:TCP"= 9837:TCP:hdfojqtg

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [14/5/2009 15:47 107256]

R2 ekrn;ESET Service;c:\arquivos de programas\ESET\ESET Smart Security\ekrn.exe [14/5/2009 15:47 731840]

S2 txvvdbgn;Boot Universal;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 00:45 14336]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [21/8/2009 21:05 1684736]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

txvvdbgn

.

Conteúdo da pasta 'Tarefas Agendadas'

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.portocabofrio.com.br/

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: {d2a2e6e0-cea4-46a2-80d8-25dd385e8e3f} = 200.165.132.148,200.149.55.142

.

- - - - ORFÃOS REMOVIDOS - - - -

Notify-dimsntfy - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-12 15:40

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\txvvdbgn]

"ServiceDll"="c:\windows\system32\tddeh.dll"

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\wdfmgr.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\rundll32.exe

c:\arquivos de programas\Skype\Plugin Manager\skypePM.exe

.

**************************************************************************

.

Tempo para conclusão: 2009-09-12 15:43 - Máquina reiniciou

ComboFix-quarantined-files.txt 2009-09-12 18:43

Pré-execução: 4 pasta(s) 66.417.307.648 bytes disponíveis

Pós execução: 7 pasta(s) 66.599.976.960 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

248

HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 15:45:45, on 12/9/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\ESET\ESET Smart Security\ekrn.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Arquivos de programas\ESET\ESET Smart Security\egui.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\Arquivos de programas\iXi Tools\Driver Updater Pro\DriverUpdaterPro.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Skype\Phone\Skype.exe

C:\Documents and Settings\teca\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe

C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Arquivos de programas\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\teca\Desktop\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.portocabofrio.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896