[Resolvido!] PC lento, diversos erros e programas que não abrem o

JGRD · Outubro 9, 2009

Bom...

Meu pc ultimamente anda muito mas muito lento que o normal e ontem quando abri meu pen-drive o computador foi infectado com o "msb.exe" e de vez eu não consigo fazer quase nada. Uso o AVG e ele não indica nenhum problema mas pesquisando pela internet vi que esse "msb.exe" tem um comportamento que faz com que o pc fique lento e não tem como retirá-lo de maneira comum.

Então vi o fórum aqui e estou pedindo essa ajuda para vocês para não precisar formatar o computador. :D

Power Max · Outubro 9, 2009

:thumbsup: Olá JGRD! Seja bem-vindo ao Fórum Imasters.

Para que possamos analizar o seu PC poste, por gentileza, aqui no seu tópico um log do programa Hijackthis seguindo as dicas que estão no endereço abaixo:

http://forum.imasters.com.br/index.php?showtopic=165906

Ficamos no aguardo de seu log.

JGRD · Outubro 9, 2009

Muito obrigado! :D

Aqui está o log do Hijackthis:

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\c.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\ZSSnp211.exe

C:\WINDOWS\Domino.exe

C:\ARQUIV~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\msb.exe

C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

C:\Arquivos de programas\Skype\Phone\Skype.exe

C:\Documents and Settings\Administrador\xoausuf.exe

C:\Arquivos de programas\Bonjour\mDNSResponder.exe

C:\Arquivos de programas\Gravity\Ragnarok Online\nProtect\npkcmsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\ARQUIV~1\AVG\AVG8\avgrsx.exe

C:\ARQUIV~1\AVG\AVG8\avgnsx.exe

C:\Arquivos de programas\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\system32\wuauclt.exe

c:\Arquivos de programas\Arquivos comuns\Adobe AIR\Versions\1.0\Resources\Adobe AIR Updater.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Skype\Toolbars\Shared\SkypeNames.exe

C:\Documents and Settings\Administrador\Desktop\Nova pasta\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orkut.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ZSSnp211] C:\WINDOWS\ZSSnp211.exe

O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARQUIV~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [iSUSPM Startup] c:\arquiv~1\arquiv~1\instal~1\update~1\isuspm.exe -startup

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Arquivos de programas\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [xoausuf] C:\Documents and Settings\Administrador\xoausuf.exe

O4 - HKCU\..\Run: [PopRock] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\c.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Translate with &Babylon - res://C:\Arquivos de programas\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG8\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Bonjour Service - Apple Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - C:\Arquivos de programas\Gravity\Ragnarok Online\nProtect\npkcmsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--

End of file - 7200 bytes

Fico no aguardo!

Power Max · Outubro 10, 2009

:seta: Baixe o programa Avenger no link abaixo e extraia o conteúdo para o desktop (área de trabalho):

http://swandog46.geekstogo.com/avenger2/download.php

*Selecione e copie (Ctrl+C) todo o texto dentro do Quote (caixa branca) abaixo:

Files to delete:
C:\WINDOWS\msb.exe

C:\Documents and Settings\Administrador\xoausuf.exe

C:\WINDOWS\system32\msxml71.dll

*Execute o programa Avenger

*Clique em [Load Script] > [Paste from Clipboard]

*Clique em [Execute] > [OK]

*O PC será reiniciado

*O relatório será criado em C:\avenger.txt

__________________________________

:seta: Abra o HijackThis, clique em Do a system scan only, marque as entradas abaixo e clique em Fix checked:

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O4 - HKCU\..\Run: [xoausuf] C:\Documents and Settings\Administrador\xoausuf.exe

O4 - HKCU\..\Run: [PopRock] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\c.exe

__________________________________

:seta: Baixe e execute o programa abaixo para desativar o Bonjour (que é um ítem sem importância e que deixa o PC mais lento):

http://download.gizmo5.com/jasmine/TurnOffBonjour.exe

__________________________________

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

- Faça o download do Malwarebytes Anti-Malware.

* Faça a instalação dando um duplo clique em "mbam-setup.exe";

*Selecione a linguagem Português (Brasil)

*Selecione apenas a caixa: "Atualizar MalwareBytes'Anti-Malware"

*Se alguma atualização existir, o download será automático

*Não faça ainda scan!!!

*Reinicie o PC em Modo de Segurança (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a opção Modo Seguro ou Modo de Segurança).

* Se não possível executar o computador em Modo Seguro, faça o escaneamento no modo normal

*Execute o programa MalwareBytes'Anti-Malware e clique na aba: "Verificação", selecione a opção "Verificação completa"

*Clique no botão: "Verificar"

* Marque todas as partes do computador que você deseja escanear e clique no botão: “Iniciar verificação”

*Ao término do scan, clique em "OK" > "Mostrar Resultados"

*Selecione todas as entradas e clique em "Remover Selecionados"

*Após a remoção poderá ser interrogado se deseja remover objetos da memória. Clique "SIM"

*Um log será apresentado com o resultado das ações

*Alguns malwares são rebeldes e necessitam de uma reinicialização para a remoção. Caso isto seja solicitado, clique para reiniciar o PC.

*Ao término do processo, reinicie o PC em Modo Normal.

* Depois de alguns dias, se o seu computador estiver funcionando normalmente sem estes arquivos que foram excluidos pelo Malwarebytes Anti-malware, abra (execute) o Malwarebytes Anti-malware, clique na aba: Quarentena e clique no botão: Remover tudo.

*Execute novamente o programa Malwarebytes Anti-malware e clique na aba “Logs”, dê um duplo clique com o mouse sobre o log mais recente, selecione o log completo e copie-o.

Poste este log gerado pelo Malwarebytes Anti-Malware juntamente com o log do Avenger que estará em C:\avenger.txt e um novo log do Hijackthis na sua próxima resposta e nos diga como está o seu computador depois de seguir estes procedimentos acima.

Ficamos no aguardo de sua resposta.

JGRD · Outubro 11, 2009

Olá!

Bom... eu fiz os primeiros passos porém eu não estou conseguindo instalar o "malwarebytes Anti-malware". Eu dou duplo clique no ícone de instalação mas nada acontece.

Bom... eu fiz os primeiros passos e tudo bem. Mas não estou conseguindo instalar o "Malwarebytes Anti-malware". Eu clico no ícone de instalaçao e nada ocorre.

Segue o log do avenger:

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "avvu996o" found!

Start Type: 3 (Manual)

Rootkit scan completed.

Error: file "C:\WINDOWS\msb.exe" not found!

Deletion of file "C:\WINDOWS\msb.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: file "C:\Documents and Settings\Administrador\xoausuf.exe" not found!

Deletion of file "C:\Documents and Settings\Administrador\xoausuf.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: file "C:\WINDOWS\system32\msxml71.dll" not found!

Deletion of file "C:\WINDOWS\system32\msxml71.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Talvez haja alguma coisa diferente nesse log pois eu utilizei ele duas vezes pois na primeira meu pc travou e tive que repetir.

Abraços!

Power Max · Outubro 11, 2009

Olá!

Bom... eu fiz os primeiros passos porém eu não estou conseguindo instalar o "malwarebytes Anti-malware". Eu dou duplo clique no ícone de instalação mas nada acontece.

:seta: Faça então, por gentileza, o download do Malwarebytes no endereço abaixo (no qual mudei o nome dele para tirou.exe para que os malwares não o bloqueem):

http://www.4shared.com/file/125202789/8008d120/tirou.html

Obs: Quando acessar o site acima, clique no botão Download now > aguarde a contagem regressiva > Clique na opção: Click here to download this file.

Depois disto atualize-o > Faça um escaneamento completo > remova todos os problemas que ele encontrar > poste o log do Malwarebytes juntamente com um novo log do Hijackthis e nos diga como está o seu PC depois disto.

JGRD · Outubro 11, 2009

Baixei ele novamente. Instalou mas não consigo abrí-lo. Novamente ele está bloqueado por um malware?

Aliás, eu utilizava um programa chamado "Spybot: Search and Destroy" e já faz um bom tempo que ele não executa mais.

Power Max · Outubro 11, 2009

Então deixemos o Malwarebytes de lado, por enquanto e siga, por gentileza, as dicas deste tutorial para fazer uma limpeza de seu PC com o Findykill:

Tutorial do Findykill

Na sua próxima resposta poste o log do Findykill que estará em C:\FindyKill.txt e nos diga como está o seu Pc depois disto.

Ficamos no aguardo.

JGRD · Outubro 11, 2009

Segue o relatório do FindyKill:

############################## | FindyKill V5.013 |

# User : Administrador (Administradores) # USER-5AD0275CD8

# Update on 08/10/2009 by Chiquitine29

# Start at: 11:50:23 | 11/10/2009

# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel® Core2 Duo CPU E4500 @ 2.20GHz

# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 2

# Internet Explorer 6.0.2900.2180

# Windows Firewall Status : Enabled

# AV : AVG Anti-Virus Free 8.5 [ Enabled | Updated ]

# A:\ # Disco removível

# C:\ # Disco fixo local # 149,04 Go (58,82 Go free) # NTFS

# D:\ # Disco CD-ROM

# E:\ # Disco CD-ROM

############################## | Processos ativos |

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\c.exe

C:\WINDOWS\system32\KB905474\wgasetup.exe

C:\WINDOWS\system32\svchost.exe

C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Arquivos de programas\Gravity\Ragnarok Online\nProtect\npkcmsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\ARQUIV~1\AVG\AVG8\avgrsx.exe

C:\ARQUIV~1\AVG\AVG8\avgnsx.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\System32\alg.exe

################## | C: |

################## | C:\WINDOWS |

Supprimido ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf

################## | C:\WINDOWS\system32 |

################## | C:\WINDOWS\system32\drivers |

################## | C:\Documents and Settings\Administrador\Dados de aplicativos |

################## | Supressão Outros ... |

################## | Temporary Internet Files |

################## | Registro / Chaves infeciosas |

Supprimido ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"

Supprimido ! [HKLM\software\microsoft\security center] "AntiVirusOverride"

Supprimido ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"

Supprimido ! [HKLM\software\microsoft\security center] "FirewallOverride"

Supprimido ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

################## | Estado / Serviços / Informações |

# Safe mode : OK

# Affichagem dos arquivos ocultos : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )

# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )

# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

################## | PEH ... |

################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Administrador\Meus documentos\LimeWire\Saved\Grand Theft Auto Vice City - PC\Crack\"gta-você.exe""

14/08/2009 16:00 |Size 3088896 |Crc32 081ea3e7 |Md5 e4e90d419ecb981e9e5ed9121f217ba8

################## | ! Fim do relatório # FindyKill V5.013 ! |

Power Max · Outubro 11, 2009

:thumbsup: Alguns problemas foram removidos pelo Findykill.

____________________________________

################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Administrador\Meus documentos\LimeWire\Saved\Grand Theft Auto Vice City - PC\Crack\"gta-você.exe""

O Findykill encontrou estes cracks em seu PC e é muito importante desinstalá-los, pois estes programas crackeados na maioria das vezes contém virus e/ou malwares embutidos neles.

____________________________________

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

Faça o download do ComboFix

1) Desabilite o seu anti-vírus temporariamente;

2) Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

3) A janela de “NEGAÇÃO DE GARANTIA DO SOFTWARE” abrir-se-á. Clique em “SIM” para continuar.

4) Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console antes de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

Clique sobre “SIM” e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

Quando a janela “INSTALANDO O CONSOLE DE RECUPERAÇÃO” aparecer clique em “OK”, depois clique sobre “SIM” para aceitar a licença EULA.

Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que “O CONSOLE DE RECUPERAÇÃO FOI INSTALADO COM SUCESSO”.

Clique sobre “SIM” para continuar a varredura.

5) O ComboFix iniciará o AUTOSCAN (aguarde).

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

Ao término do processo a máquina será reiniciada para a emissão do relatório.

6) Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log dele estará em C:\ComboFix.txt.

7) Reabilite o seu anti-vírus;

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO ou caso os virus ou malwares bloqueiem a execução do Combofix, baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Neste caso, nomeie-o como Kombofix durante o salvamento e não após salvá-lo!

Em último caso, se não for possível executar o Combofix no Modo Normal do Windows, tente utilizar o ComboFix em MODO SEGURO (reiniciando o computador e pressionando a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização e escolha a opção Modo Seguro na tela que se apresenta) e repita o procedimento;

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

* Se por algum motivo você precisar parar ou sair do ComboFix, tecle "N".

* Se perder a conexão com a internet, reinicie o computador. Caso o problema persista, abra Conexões de Rede no Painel de Controle, clique com o botão direito do mouse sobre a sua conexão com a internet e em "Reparar";

Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC depois disto.

Ficamos no aguardo.

JGRD · Outubro 11, 2009

Log do ComboFix:

ComboFix 09-10-10.02 - Administrador 11/10/2009 12:31.1.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1023.668 [GMT -3:00]

Executando de: c:\documents and settings\Administrador\Desktop\Nova pasta\KomboFix.exe

AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

* Criado um novo ponto de restauração

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\install.exe

c:\windows\Installer\12bcf3.msi

c:\windows\Installer\288644.msi

c:\windows\Installer\288645.msp

c:\windows\Installer\288646.msp

c:\windows\Installer\288647.msp

c:\windows\Installer\288648.msp

c:\windows\Installer\288649.msp

c:\windows\Installer\28864a.msp

c:\windows\Installer\28864b.msp

c:\windows\Installer\28864c.msp

c:\windows\Installer\28864d.msp

c:\windows\Installer\378069.msi

c:\windows\system32\drivers\UACxyxubldkri.sys

c:\windows\system32\UACewxreexevd.log

c:\windows\system32\uacinit.dll

c:\windows\system32\UACjbnyvmrmfv.dll

c:\windows\system32\UACkdpkossrfq.dll

c:\windows\system32\UAClybrfpxeth.dat

c:\windows\system32\UACqoqxmehesd.dll

c:\windows\Sysvxd.exe

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_UACd.sys

-------\Legacy_UACd.sys

(((((((((((((((( Arquivos/Ficheiros criados de 2009-09-11 to 2009-10-11 ))))))))))))))))))))))))))))

.

2009-10-11 14:18 . 2009-10-11 14:59 -------- d-----w- C:\FindyKill

2009-10-11 01:04 . 2009-08-03 16:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-10-11 01:04 . 2009-10-11 01:07 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2009-10-11 01:04 . 2009-10-11 01:04 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2009-10-11 01:04 . 2009-08-03 16:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-11 15:13 . 2009-07-28 00:57 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Skype

2009-10-11 15:09 . 2009-03-25 21:09 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\avg8

2009-10-11 15:09 . 2008-02-08 14:12 -------- d-----w- c:\arquivos de programas\Spybot - Search & Destroy

2009-10-11 15:08 . 2008-02-08 14:12 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2009-10-11 14:45 . 2001-10-28 15:07 79240 ----a-w- c:\windows\system32\perfc016.dat

2009-10-11 14:45 . 2001-10-28 15:07 468462 ----a-w- c:\windows\system32\perfh016.dat

2009-10-11 14:16 . 2009-07-28 00:59 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\skypePM

2009-10-11 00:48 . 2009-06-09 00:28 -------- d-----w- c:\arquivos de programas\Magic Workstation

2009-10-10 23:41 . 2008-06-24 23:54 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Google Updater

2009-10-04 17:03 . 2008-05-15 23:19 -------- d-----w- c:\arquivos de programas\Warcraft III

2009-10-01 23:45 . 2008-02-22 21:24 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\LimeWire

2009-09-26 00:36 . 2009-02-25 01:47 -------- d-----w- c:\arquivos de programas\Counter-Strike 1.6

2009-09-20 22:26 . 2008-05-15 23:24 26033 ----a-w- c:\windows\War3Unin.dat

2009-09-20 22:12 . 2008-05-15 23:24 139264 ----a-w- c:\windows\War3Unin.exe

2009-09-10 14:47 . 2008-12-07 23:34 -------- d-----w- c:\arquivos de programas\Microsoft Silverlight

2009-08-22 13:42 . 2009-03-25 21:09 11952 ----a-w- c:\windows\system32\avgrsstx.dll

2009-08-22 13:42 . 2009-03-25 21:09 335240 ----a-w- c:\windows\system32\drivers\avgldx86.sys

2009-08-22 13:42 . 2008-02-08 13:54 27784 ----a-w- c:\windows\system32\drivers\avgmfx86.sys

2009-08-17 22:18 . 2008-02-11 21:09 -------- d-----w- c:\arquivos de programas\Messenger Plus! Live

2009-08-15 19:47 . 2009-08-06 15:09 -------- d-----w- c:\arquivos de programas\Rockstar Games

2009-08-06 22:24 . 2008-02-08 13:28 327896 ----a-w- c:\windows\system32\wucltui.dll

2009-08-06 22:24 . 2008-02-08 13:28 209632 ----a-w- c:\windows\system32\wuweb.dll

2009-08-06 22:24 . 2008-02-08 13:28 35552 ----a-w- c:\windows\system32\wups.dll

2009-08-06 22:24 . 2007-07-30 22:19 44768 ----a-w- c:\windows\system32\wups2.dll

2009-08-06 22:24 . 2008-02-08 13:28 53472 ----a-w- c:\windows\system32\wuauclt.exe

2009-08-06 22:24 . 2004-08-04 03:45 96480 ----a-w- c:\windows\system32\cdm.dll

2009-08-06 22:23 . 2008-02-08 13:28 575704 ----a-w- c:\windows\system32\wuapi.dll

2009-08-06 22:23 . 2008-02-12 16:16 274288 ----a-w- c:\windows\system32\mucltui.dll

2009-08-06 22:23 . 2008-02-12 16:16 215920 ----a-w- c:\windows\system32\muweb.dll

2009-08-06 22:23 . 2008-02-08 13:28 1929952 ----a-w- c:\windows\system32\wuaueng.dll

2009-08-05 09:06 . 2004-08-04 03:45 205312 ----a-w- c:\windows\system32\mswebdvd.dll

2009-08-01 23:33 . 2009-08-01 23:01 138184 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys

2009-08-01 23:33 . 2009-08-01 23:01 183112 ----a-w- c:\windows\system32\PnkBstrB.exe

2009-08-01 23:01 . 2009-08-01 23:01 66872 ----a-w- c:\windows\system32\PnkBstrA.exe

2009-07-28 00:59 . 2009-07-28 00:59 56 ---ha-w- c:\windows\system32\ezsidmv.dat

2009-07-20 01:50 . 2009-07-20 01:50 20 ----a-w- C:\TOMBPATH.BAT

2009-07-17 18:57 . 2004-08-04 03:45 58880 ----a-w- c:\windows\system32\atl.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

"Skype"="c:\arquivos de programas\Skype\Phone\Skype.exe" [2009-07-16 25604904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]

"ZSSnp211"="c:\windows\ZSSnp211.exe" [2007-04-12 57344]

"Domino"="c:\windows\Domino.exe" [2007-04-12 49152]

"AVG8_TRAY"="c:\arquiv~1\AVG\AVG8\avgtray.exe" [2009-10-06 2023704]

"ISUSScheduler"="c:\arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" [2004-04-13 69632]

"ISUSPM Startup"="c:\arquiv~1\arquiv~1\instal~1\update~1\isuspm.exe" [2004-04-17 196608]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2008-02-11 180269]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-08-22 13:42 11952 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]

2008-05-28 15:32 87352 ----a-w- c:\windows\system32\LMIinit.dll

[HKLM\~\startupfolder\C:^Documents and Settings^Administrador^Menu Iniciar^Programas^Inicializar^Aniversario.exe]

path=c:\documents and settings\Administrador\Menu Iniciar\Programas\Inicializar\Aniversario.exe

backup=c:\windows\pss\Aniversario.exeStartup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Reader Synchronizer.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Adobe Reader Synchronizer.lnk

backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\LimeWire\\LimeWire.exe"=

"c:\\Arquivos de programas\\Warcraft III\\War3.exe"=

"c:\\Arquivos de programas\\Warcraft III\\Warcraft III.exe"=

"c:\\Arquivos de programas\\Doom 3\\Doom 3\\DOOM3DED.exe"=

"c:\\Arquivos de programas\\Doom 3\\Doom3Ded.exe"=

"c:\\Arquivos de programas\\Counter-Strike 1.6\\hl.exe"=

"c:\\Arquivos de programas\\Electronic Arts\\Dead Space\\Dead Space.exe"=

"c:\\Arquivos de programas\\Mozilla Firefox\\firefox.exe"=

"c:\\Arquivos de programas\\AVG\\AVG8\\avgupd.exe"=

"c:\\Arquivos de programas\\AVG\\AVG8\\avgnsx.exe"=

"c:\\Arquivos de programas\\Electronic Arts\\Need for Speed Carbon\\NFSC.exe"=

"c:\\Games\\DotA Allstars\\DotA Allstars.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Arquivos de programas\\Doom 3\\Doom 3\\DOOM3.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [25/03/2009 18:09 335240]

R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [25/03/2009 18:09 108552]

R2 avg8wd;AVG Free8 WatchDog;c:\arquiv~1\AVG\AVG8\avgwdsvc.exe [22/08/2009 10:42 297752]

R2 LMIInfo;LogMeIn Kernel Information Provider;c:\arquivos de programas\LogMeIn\x86\rainfo.sys [28/02/2008 15:31 12856]

R2 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [25/08/2008 20:45 45848]

S3 jatmlano;jatmlano;\??\c:\docume~1\ADMINI~1\CONFIG~1\Temp\jatmlano.sys --> c:\docume~1\ADMINI~1\CONFIG~1\Temp\jatmlano.sys [?]

S4 LMIRfsClientNP;LMIRfsClientNP; [x]

.

Conteúdo da pasta 'Tarefas Agendadas'

2009-10-11 c:\windows\Tasks\Google Software Updater.job

- c:\arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-06-24 01:18]

2009-10-11 c:\windows\Tasks\WGASetup.job

- c:\windows\system32\KB905474\wgasetup.exe [2009-04-01 01:18]

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.orkut.com/

uDefault_Search_URL = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Translate with &Babylon - c:\arquivos de programas\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\6ptkwbzw.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1460988&SearchSource=3&q=

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/firefox?client=firefox-a&rls=org.mozilla:pt-BR:officialhttp://pt-BR.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:pt-BR:official

FF - component: c:\arquivos de programas\AVG\AVG8\Firefox\components\avgssff.dll

FF - component: c:\arquivos de programas\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

FF - plugin: c:\arquivos de programas\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll

FF - plugin: c:\arquivos de programas\Google\Picasa3\npPicasa2.dll

FF - plugin: c:\arquivos de programas\Google\Picasa3\npPicasa3.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

- - - - ORFÃOS REMOVIDOS - - - -

AddRemove-POD2_0 - c:\windows\UbiSoft\UbiSetup.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-11 12:38

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_USERS\S-1-5-21-1390067357-630328440-839522115-500\Software\SecuROM\License information*]

"datasecu"=hex:0c,46,b7,b3,b1,11,01,6a,cd,44,9c,73,d1,38,16,b9,5a,c9,2b,47,2e,

3e,1d,1f,02,ae,58,de,59,b7,3a,1b,96,f0,51,20,4b,3e,0b,ea,5c,76,3e,dd,ba,07,\

"rkeysecu"=hex:f9,66,72,45,19,24,19,e8,a2,73,b4,c3,50,ea,0b,cb

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

"6140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(728)

c:\windows\system32\LMIinit.dll

c:\windows\system32\LMIRfsClientNP.dll

.

Tempo para conclusão: 2009-10-11 12:40

ComboFix-quarantined-files.txt 2009-10-11 15:40

Pré-execução: 21 pasta(s) 63.125.680.128 bytes disponíveis

Pós execução: 25 pasta(s) 63.399.665.664 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

208 --- E O F --- 2009-09-10 12:03

Log do HijackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:15:00, on 11/10/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\ARQUIV~1\AVG\AVG8\avgrsx.exe

C:\ARQUIV~1\AVG\AVG8\avgnsx.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrador\Desktop\Nova pasta\HiJackThis.exe

C:\Arquivos de programas\Skype\Toolbars\Shared\SkypeNames.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orkut.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896