Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

pizanis1987

[Arquivado] PC muito lento + explorer.exe reiniciando

Recommended Posts

Fala moçada!

Peguei um PC aqui que ta dificil, diz que detectou um problema em Explorer.EXE e que necessita ser fechado, e isso ocorre repetidamente, quando se reinicia o Explorer.EXE volta o mesmo problema. Além disso, o PC extremamente lerdo, para abrir qualquer programa, carregar os programas iniciais com o windows, tudo.

 

Se puderem ajudar, obrigado!

 

Segue o log do HijackThis!

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:20:13 a.m., on 28/11/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\dwwin.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\SoftwareDistribution\Download\3b97b39880e5c7f418f69bd63fd2401b\update\update.exe

C:\Documents and Settings\Servidor\Escritorio\Ferramentas\HijackThis.exe

C:\WINDOWS\AhnRpta.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEESLA/SAOS01

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: IEHlprObj Class - {238C32AB-955D-4707-AAB9-C9B3AB8D4225} - C:\WINDOWS\system32\ahnxsds0.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: IEHlprObj Class - {AF4DA69B-E1D6-469A-855B-6445294857D4} - C:\WINDOWS\system32\ahnxsds0.dll

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\msgr.es.es-la\msntb.dll

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [L08EXLRD_2359342] "C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE" -m

O4 - HKCU\..\Run: [ahnsoft] C:\WINDOWS\system32\ahnsbsb.exe

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Servidor\CONFIG~1\Temp\herss.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

 

--

End of file - 4824 bytes

Compartilhar este post


Link para o post
Compartilhar em outros sites

:thumbsup: Olá pizanis1987! Seja bem-vindo ao Fórum Imasters.

 

:seta: Siga, por gentileza, as dicas deste tutorial primeiramente:

 

Tutorial do Usbfix

 

O log do Usbfix estará em C:\UsbFix.txt

________________________________________

 

Depois disto faça o seguinte:

 

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

 

Faça o download do ComboFix

 

1) Desabilite o seu anti-vírus temporariamente;

 

2) Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

 

3) A janela de “NEGAÇÃO DE GARANTIA DO SOFTWARE” abrir-se-á. Clique em “SIM” para continuar.

 

4) Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console antes de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

 

Clique sobre “SIM” e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

 

Quando a janela “INSTALANDO O CONSOLE DE RECUPERAÇÃO” aparecer clique em “OK”, depois clique sobre “SIM” para aceitar a licença EULA.

 

Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que “O CONSOLE DE RECUPERAÇÃO FOI INSTALADO COM SUCESSO”.

 

Clique sobre “SIM” para continuar a varredura.

 

5) O ComboFix iniciará o AUTOSCAN (aguarde).

 

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

 

Ao término do processo a máquina será reiniciada para a emissão do relatório.

 

6) Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log dele estará em C:\ComboFix.txt.

 

7) Reabilite o seu anti-vírus;

 

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO ou caso os virus ou malwares bloqueiem a execução do Combofix, baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Neste caso, nomeie-o como Kombofix durante o salvamento e não após salvá-lo!

 

Em último caso, se não for possível executar o Combofix no Modo Normal do Windows, tente utilizar o ComboFix em MODO SEGURO (reiniciando o computador e pressionando a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização e escolha a opção Modo Seguro na tela que se apresenta) e repita o procedimento;

 

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

* Se por algum motivo você precisar parar ou sair do ComboFix, tecle "N".

* Se perder a conexão com a internet, reinicie o computador. Caso o problema persista, abra Conexões de Rede no Painel de Controle, clique com o botão direito do mouse sobre a sua conexão com a internet e em "Reparar";

 

Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com o log que estará em C:\UsbFix.txt e um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC depois disto.

 

Ficamos no aguardo.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Depois que passei o USBFIX e o Combofix já nao reinicia mais o explorer!!!

Valeu!!

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:42:07 a.m., on 29/11/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Servidor\Escritorio\HiJackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.2607.0\msgr.es.es-la\msntb.dll

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [L08EXLRD_424019] "C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE" -m

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

 

--

End of file - 3780 bytes

 

Depois que passei o USBFIX, eu resetei o computador sem querer e nao salvei o log, ae passei de novo mais o log ja nao tem alguns programas que o USBFIX tirou.

 

 

############################## | UsbFix V6.058 |

 

User : Servidor (Administradores) # HOGAR-5A12222D6

Update on 26/11/2009 by Chiquitine29, C_XX & Chimay8

Start at: 07:52:21 p.m. | 28/11/2009

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

Intel® Pentium® 4 CPU 1.60GHz

Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 2

Internet Explorer 7.0.5730.13

Windows Firewall Status : Enabled

AV : ESET NOD32 Antivirus 3.0 3.0 [ Enabled | Updated ]

 

A:\ -> Unidad de disco de 3 1/2 pulgadas

C:\ -> Disco fijo local # 14.65 Go (4.2 Go free) # NTFS

D:\ -> Disco fijo local # 22.61 Go (17.43 Go free) # FAT32

E:\ -> Disco CD-ROM

 

############################## | Processos activos |

 

C:\WINDOWS\System32\smss.exe 528

C:\WINDOWS\system32\csrss.exe 592

C:\WINDOWS\system32\winlogon.exe 620

C:\WINDOWS\system32\services.exe 668

C:\WINDOWS\system32\lsass.exe 680

C:\WINDOWS\system32\svchost.exe 836

C:\WINDOWS\system32\svchost.exe 900

C:\WINDOWS\System32\svchost.exe 1004

C:\WINDOWS\system32\svchost.exe 1068

C:\WINDOWS\system32\svchost.exe 1148

C:\WINDOWS\system32\svchost.exe 1276

C:\WINDOWS\system32\spoolsv.exe 1448

C:\WINDOWS\Explorer.EXE 1700

C:\WINDOWS\system32\svchost.exe 1756

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe 1820

C:\WINDOWS\system32\wuauclt.exe 320

C:\WINDOWS\system32\wbem\wmiprvse.exe 344

 

################## | Ficheiros # pastas infeciosos |

 

 

################## | Registro # Chaves infectieuses |

 

 

################## | Registro # Mountpoints2 |

 

 

################## | Listing |

 

[26/06/2009 10:35 a.m.|-r-hs----|169178] C:\ahpl3tov.cmd

[26/10/2008 08:08 p.m.|--a------|0] C:\AUTOEXEC.BAT

[28/11/2009 07:00 p.m.|---hs----|211] C:\boot.ini

[06/02/2003 01:20 p.m.|-rahs----|4952] C:\Bootfont.bin

[26/10/2008 08:08 p.m.|--a------|0] C:\CONFIG.SYS

[26/11/2009 05:59 p.m.|-r-hs----|114928] C:\cs6phv6d.exe

[?|?|?] C:\hiberfil.sys

[26/10/2008 08:08 p.m.|-rahs----|0] C:\IO.SYS

[26/10/2008 08:08 p.m.|-rahs----|0] C:\MSDOS.SYS

[03/08/2004 10:38 p.m.|-rahs----|47564] C:\NTDETECT.COM

[03/08/2004 10:59 p.m.|-rahs----|250640] C:\ntldr

[?|?|?] C:\pagefile.sys

[28/11/2009 07:55 p.m.|--a------|2231] C:\UsbFix.txt

[26/06/2009 10:35 a.m.|-r-hs----|169178] D:\ahpl3tov.cmd

[19/10/2009 04:25 p.m.|--a------|24064] D:\julio.xls

[15/11/2009 09:33 p.m.|--a------|25600] D:\QU ES LA ANOREXIA.doc

[26/11/2009 05:59 p.m.|-r-hs----|114928] D:\cs6phv6d.exe

[?|?|?] D:\pagefile.sys

 

################## | Vaccinação |

 

# C:\autorun.inf -> Folder criado por UsbFix.

# D:\autorun.inf -> Folder criado por UsbFix.

 

################## | Suspeito | http://www.virustotal.com |

 

C:\ahpl3tov.cmd

C:\cs6phv6d.exe

D:\ahpl3tov.cmd

D:\cs6phv6d.exe

 

################## | Cracks / Keygens / Serials |

 

 

################## | Upload |

 

Favor enviar o arquivo : C:\DOCUME~1\Servidor\ESCRIT~1\UsbFix_Upload_Me_HOGAR-5A12222D6.zip : http://chiquitine.changelog.fr/Sample/Upload.php

Obrigado pela sua contribuição .

 

################## | ! Fim do relatório # UsbFix V6.058 ! |

 

ComboFix 09-11-28.03 - Servidor 28/11/2009 20:57.1.1 - x86

Running from: c:\documents and settings\Servidor\Mis documentos\ComboFix.exe

AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\ahpl3tov.cmd

C:\cs6phv6d.exe

C:\restore

c:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

c:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe

c:\windows\system32\_000006_.tmp.dll

c:\windows\system32\_000007_.tmp.dll

c:\windows\system32\_000008_.tmp.dll

c:\windows\system32\_000009_.tmp.dll

c:\windows\system32\_000010_.tmp.dll

c:\windows\system32\_000013_.tmp.dll

c:\windows\system32\_000016_.tmp.dll

c:\windows\system32\_000017_.tmp.dll

c:\windows\system32\_000018_.tmp.dll

D:\cs6phv6d.exe

 

.

((((((((((((((((((((((((( Files Created from 2009-10-28 to 2009-11-29 )))))))))))))))))))))))))))))))

.

 

2009-11-29 01:13 . 2009-11-29 01:13 -------- d--h--w- c:\windows\PIF

2009-11-28 17:50 . 2009-11-29 00:59 -------- d-----w- C:\UsbFix

2009-11-28 05:07 . 2009-11-28 05:07 -------- d-----w- c:\windows\system32\wbem\Repository

2009-11-28 02:46 . 2009-11-28 02:46 0 ----a-w- c:\windows\nsreg.dat

2009-11-28 02:43 . 2009-11-28 05:04 -------- d-----w- c:\archivos de programa\Mozilla Firefox(2)

2009-11-28 02:41 . 2008-06-14 08:24 5837792 ----a-w- c:\archivos de programa\Firefox Setup 2.0.0.14.exe

2009-11-27 17:29 . 2009-11-28 15:55 -------- d-----w- c:\windows\system32\CatRoot_bak

2009-11-27 17:22 . 2009-11-27 17:22 -------- d-----w- c:\archivos de programa\MSXML 6.0

2009-11-27 17:02 . 2009-11-27 17:02 -------- d-----w- c:\windows\ServicePackFiles

2009-11-27 00:12 . 2008-06-14 17:59 272512 -c----w- c:\windows\system32\dllcache\bthport.sys

2009-11-27 00:12 . 2008-06-14 17:59 272512 ------w- c:\windows\system32\drivers\bthport.sys

2009-11-26 13:51 . 2008-10-24 11:10 453632 -c----w- c:\windows\system32\dllcache\mrxsmb.sys

2009-11-26 13:49 . 2009-08-04 17:05 2138624 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-11-26 13:49 . 2009-08-04 17:05 2060160 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe

2009-11-26 13:49 . 2009-08-04 17:05 2182784 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe

2009-11-26 13:49 . 2009-08-04 17:05 2018304 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe

2009-11-24 03:48 . 2009-11-24 03:48 -------- d-----w- C:\spoolerlogs

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-11-28 05:05 . 2009-11-28 05:05 -------- d-----w- c:\archivos de programa\MSN Toolbar

2009-11-27 22:21 . 2003-02-06 18:20 77738 ----a-w- c:\windows\system32\perfc00A.dat

2009-11-27 22:21 . 2003-02-06 18:20 456948 ----a-w- c:\windows\system32\perfh00A.dat

2009-09-11 14:35 . 2009-11-27 23:20 133632 ------w- c:\windows\system32\SET14.tmp

2009-09-11 14:35 . 2009-09-11 14:35 133632 ------w- c:\windows\system32\SET39.tmp

2009-09-04 20:46 . 2009-09-04 20:46 58880 ----a-w- c:\windows\system32\SET143.tmp

2009-09-04 20:46 . 2009-09-04 20:46 58880 ------w- c:\windows\system32\SET6A.tmp

2008-04-07 09:25 . 2009-11-28 17:13 67696 ----a-w- c:\archivos de programa\mozilla firefox\components\jar50.dll

2008-04-07 09:25 . 2009-11-28 17:13 54376 ----a-w- c:\archivos de programa\mozilla firefox\components\jsd3250.dll

2008-04-07 09:25 . 2009-11-28 17:13 34952 ----a-w- c:\archivos de programa\mozilla firefox\components\myspell.dll

2008-04-07 09:25 . 2009-11-28 17:13 46720 ----a-w- c:\archivos de programa\mozilla firefox\components\spellchk.dll

2008-04-07 09:25 . 2009-11-28 17:13 172144 ----a-w- c:\archivos de programa\mozilla firefox\components\xpinstal.dll

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"L08EXLRD_424019"="c:\archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE" [2007-05-24 351000]

"msnmsgr"="c:\archivos de programa\MSN Messenger\msnmsgr.exe" [2006-01-25 7094272]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"egui"="c:\archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" [2008-03-13 1443072]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"HonorAutoRunSetting"= 0 (0x0)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{BD344AF4-67AB-4E19-A630-7435587D320B}"= "c:\windows\system32\ahndoor1.dll" [2004-08-19 62003]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=

"c:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Archivos de programa\\Messenger\\msmsgs.exe"=

 

S1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2008-03-13 33800]

S2 ekrn;Eset Service;c:\archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe [2008-03-13 472320]

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C642131}]

c:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EEBF9CA6-567B-41cd-B5F6-EF2C7FEF37B5}]

rundll32.exe advpack.dll,LaunchINFSectionEx c:\windows\INF\wmactedp.inf,PerUserStub,,4

.

Contents of the 'Scheduled Tasks' folder

 

2009-11-29 c:\windows\Tasks\Mantenimiento con 1 clic.job

- c:\archivos de programa\TuneUp Utilities 2008\OneClickStarter.exe [2008-04-21 16:45]

.

.

------- Supplementary Scan -------

.

uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

uInternet Connection Wizard,ShellNext = iexplore

IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Servidor\Datos de programa\Mozilla\Firefox\Profiles\1fqxw8ss.default\

FF - prefs.js: browser.startup.homepage - about:blank

FF - component: c:\archivos de programa\Mozilla Firefox\components\xpinstal.dll

.

- - - - ORPHANS REMOVED - - - -

 

BHO-{238C32AB-955D-4707-AAB9-C9B3AB8D4225} - c:\windows\system32\ahnxsds0.dll

BHO-{AF4DA69B-E1D6-469A-855B-6445294857D4} - c:\windows\system32\ahnxsds0.dll

AddRemove-HijackThis - c:\documents and settings\Servidor\Escritorio\Ferramentas\HijackThis.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-11-28 21:25

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2009-11-28 21:39

ComboFix-quarantined-files.txt 2009-11-29 02:39

 

Pre-Run: 4,454,744,064 bytes libres

Post-Run: 4,456,529,920 bytes libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

- - End Of File - - 183DFB9E7B871CD237BF75771952E66D

Compartilhar este post


Link para o post
Compartilhar em outros sites

:seta: Baixe o programa Avenger no link abaixo e extraia o conteúdo para o desktop (área de trabalho):

http://swandog46.geekstogo.com/avenger2/download.php

 

*Selecione e copie (Ctrl+C) todo o texto dentro do Quote (caixa branca) abaixo:

 

Files to delete:

D:\ahpl3tov.cmd

 

*Execute o programa Avenger

*Clique em [Load Script] > [Paste from Clipboard]

*Clique em [Execute] > [OK]

*O PC será reiniciado

*O relatório será criado em C:\avenger.txt

____________________________________

 

:seta: Faça o download do FixPolicies:

http://www.virus-protect.org/exxe/FixPolicies.exe

 

* Dê um duplo click no arquivo FixPolicies e em Executar

 

* Será criada uma pasta com o nome FixPolicies

 

* Abra a pasta e dê um duplo click no arquivo Fix Policies.cmd

 

*Aparecerá uma tela preta e rapidamente desaparecerá.Ignore qualquer aviso de erro;

 

*Reinicie o computador.

____________________________________

 

:seta: Vá no menu: Iniciar > Painel de Controle > Opções de pasta >

# Selecione a aba Modo de exibição

# Selecione o botão Mostrar pastas e arquivos ocultos

# Desmarque a caixa Ocultar arquivos protegidos do sistema operacional (recomendado)

# Clique em OK

 

Depois disto acesse o site http://virscan.org/ e envie este arquivo destacado em vermelho para ser analisado:

c:\windows\system32\ahndoor1.dll

Caso este site acima esteja com algum problema, envie o arquivo para ser analisado em um destes sites abaixo:

http://www.virustotal.com/

http://virusscan.jotti.org/

 

Assim que o arquivo for analisado poste o link com o resultado deste escaneamento em sua próxima resposta, ou então copie o resultado e poste-o aqui.

______________________________________

 

:seta: Selecione o texto abaixo dentro do Quote (caixa branca abaixo) e copie para o Bloco de notas. Salve-o como CFScript.txt

 

File::

c:\windows\system32\SET14.tmp

c:\windows\system32\SET39.tmp

c:\windows\system32\SET143.tmp

c:\windows\system32\SET6A.tmp

c:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe

Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 1 (0x0)

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C642131}]

 

Arraste o CFScript.txt para o ComboFix conforme a imagem abaixo:

 

CFScript.gif

 

Se solicitado pressione "Enter" para iniciar o processo de remoção;

 

Não use o mouse nem o teclado quando o ComboFix estiver rodando.

 

Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.

 

Obs: Se o Combofix não reiniciar seu computador automaticamente, faça-o manualmente.

__________________________________

 

:seta: Depois disto poste o log que estará em C:\ComboFix.txt, o log do Avenger que estará em C:\avenger.txt, o resultado do escaneaneamento do arquivo no site VIRScan e um novo log do Hijackthis e nos diga como está seu PC depois disto.

 

Ficamos na espera.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.