[Resolvido!] Nao consigo instalar antivirus! eh tbm alguns pr

danmex · Dezembro 7, 2009

Boa tarde!

nao consigo instalar antivirus..

eh tbm nao abre alguns executaveis

aqui vai o log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:46:45, on 7/12/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

Running processes:

H:\WINDOWS\System32\smss.exe

H:\WINDOWS\system32\winlogon.exe

H:\WINDOWS\system32\services.exe

H:\WINDOWS\system32\lsass.exe

H:\WINDOWS\system32\svchost.exe

H:\Arquivos de programas\Windows Defender\MsMpEng.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\system32\spoolsv.exe

d:\programas\v095_d5902.1_g2.0xp_d6052.2_g2.0v_rc_w_sdc\disk1\wdm\winxp\STacSV.exe

H:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe

H:\WINDOWS\system32\CTsvcCDA.exe

H:\WINDOWS\system32\nvsvc32.exe

H:\Arquivos de programas\Ralink\Common\RalinkRegistryWriter.exe

H:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\TEMP\winkulhn.exe

H:\WINDOWS\Explorer.EXE

H:\WINDOWS\windowsmp.exe

H:\WINDOWS\system32\XP-A2311F64.EXE

H:\WINDOWS\system32\RUNDLL32.EXE

H:\Arquivos de programas\Creative\SBAudigy\Surround Mixer\CTSysVol.exe

H:\WINDOWS\system32\Rundll32.exe

H:\Arquivos de programas\IDT\WDM\sttray.exe

H:\Arquivos de programas\QuickTime\qttask.exe

H:\Arquivos de programas\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe

H:\Arquivos de programas\PowerColor\Real Angel 330\Remote.exe

H:\Arquivos de programas\PowerColor\Real Angel 330\Schedule.exe

H:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

H:\Arquivos de programas\Windows Defender\MSASCui.exe

H:\Arquivos de programas\CyberLink\PCM4Everio\EverioService.exe

H:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

H:\WINDOWS\system32\ctfmon.exe

H:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

H:\Arquivos de programas\Ralink\Common\RaUI.exe

H:\WINDOWS\system32\wuauclt.exe

H:\WINDOWS\system32\U5-54711.EXE

H:\Arquivos de programas\Real\RealPlayer\RealPlay.exe

H:\Arquivos de programas\Pinnacle\Studio 11\Programs\PinnacleWebPublisher.exe

H:\Arquivos de programas\Internet Explorer\iexplore.exe

H:\WINDOWS\system32\wuauclt.exe

H:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww.google.com.br/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx

R3 - URLSearchHook: D'Accord Music Software BR Toolbar - {c6684bb3-d1ce-4c5e-be04-62e5ec0d85ad} - H:\Arquivos de programas\D'Accord_Music_Software_BR\tbD'Ac.dll

F2 - REG:system.ini: UserInit=H:\WINDOWS\system32\userinit.exe,,H:\WINDOWS\system32\init.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - H:\Arquivos de programas\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: D'Accord Music Software BR Toolbar - {c6684bb3-d1ce-4c5e-be04-62e5ec0d85ad} - H:\Arquivos de programas\D'Accord_Music_Software_BR\tbD'Ac.dll

O3 - Toolbar: D'Accord Music Software BR Toolbar - {c6684bb3-d1ce-4c5e-be04-62e5ec0d85ad} - H:\Arquivos de programas\D'Accord_Music_Software_BR\tbD'Ac.dll

O4 - HKLM\..\Run: [windowsmp] H:\WINDOWS\windowsmp.exe

O4 - HKLM\..\Run: [XP-A2311F64] H:\WINDOWS\system32\XP-A2311F64.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CTSysVol] H:\Arquivos de programas\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM\..\Run: [updReg] H:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [sysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe

O4 - HKLM\..\Run: [QuickTime Task] "H:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [uSB2Check] RUNDLL32.EXE "H:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController

O4 - HKLM\..\Run: [uSBToolTip] "H:\Arquivos de programas\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe"

O4 - HKLM\..\Run: [Remote] "H:\Arquivos de programas\PowerColor\Real Angel 330\Remote.exe"

O4 - HKLM\..\Run: [schedule] "H:\Arquivos de programas\PowerColor\Real Angel 330\Schedule.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] H:\ARQUIV~1\ARQUIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "H:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Windows Defender] "H:\Arquivos de programas\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [EverioService] "H:\Arquivos de programas\CyberLink\PCM4Everio\EverioService.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] H:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [TkBellExe] "H:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [avgnt] "H:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [LaunchList] H:\Arquivos de programas\Pinnacle\Studio 11\LaunchList2.exe

O4 - HKCU\..\Run: [MsnMsgr] "H:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Startup: ¡¡¡¡¡¡.lnk = H:\WINDOWS\system32\XP-A2311F64.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Ralink Wireless Utility.lnk = H:\Arquivos de programas\Ralink\Common\RaUI.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://H:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1260020642828

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - H:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - H:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - H:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - H:\Arquivos de programas\Ralink\Common\RalinkRegistryWriter.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - H:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Audio Service (STacSV) - IDT, Inc. - d:\programas\v095_d5902.1_g2.0xp_d6052.2_g2.0v_rc_w_sdc\disk1\wdm\winxp\STacSV.exe

--

End of file - 8839 bytes

abraços

wings · Dezembro 7, 2009

Boa tarde danmex

1.

*Baixe o SalityKiller e salve-o no desktop

*Extraia o seu conteúdo para C:\

*Desative a Restauração do Sistema

Clique com o botão direito do mouse em Meu Computador > Propriedades > Restauração do Sistema > Desativar Restauração do Sistema > OK > Sim

*Este programa irá rodar em 2 janelas distintas ao mesmo tempo!!

*A primeira janela:

*Clique em [iniciar] > [Executar] > digite: C:\salitykiller.exe -m

*Clique [OK]

*Mantenha esta janela rodando. Não feche-a!! Se desejar, minimize-a.

*A segunda janela:

*Clique em [iniciar] > [Executar] > digite: C:\salitykiller.exe -y -x -j -l sality.txt -v

*Clique [OK]

*Ao término, a janela 2 será fechada automaticamente. Feche, então, a janela 1.

*Cole o relatório criado em C:\sality.txt

danmex · Dezembro 9, 2009

Boa noite Wings

bom tive um certo problema aqui

você percebeu q o meu disco C e o H ne

todos os scan vao demorar tudo isso? voce tem alguma solução pra isso?

aqui vai o relátorio

http://www.badongo.com/file/18946039

nao conseguir copiar e colar aqui, hospedei em 1 serv, espero que der certo

abraços

wings · Dezembro 9, 2009

Boa noite danmex.

Boa noite Wings

bom tive um certo problema aqui

você percebeu q o meu disco C e o H ne

Sim isso mesmo.

É costume escrevermos assim, e eu acabei não reparando. Mas, o seu pensamento está correto. C deve ser trocado por H.

todos os scan vao demorar tudo isso? voce tem alguma solução pra isso?

Você está contaminado pelo Sality...um vírus polimórfico capaz de contaminar e corromper arquivos .exe.

É possível que alguns programas e/ou arquivos possam ter sido muito comprometidos e a ferramenta tenha removido-os....caso isso tenha acontecido, faça o download. É possível que você tenha gravado no Pendrive ou no CD algum programa contaminado pelo mesmo. Isso é muito comum com o uso de cracks e keygens. Fique atento!!

*Baixe o Norman Malware Cleaner e salve-o no desktop

*Renomei o arquivo para Norman_Malware_Cleaner.cmd

*Duplo clique em Norman_Malware_Cleaner.cmd

*Instale o programa

*Para adicionar unidades (partições) fixas do seu computador clique em [Add]

*Clique em [start Scan] e aguarde o término

*Cole o relatório criado no desktop

danmex · Dezembro 10, 2009

Boa noite wings

aqui vai o relatorio!

hospedei novamente no badongo

porq nao deu aqui

http://www.badongo.com/file/18969789

abraços

wings · Dezembro 10, 2009

Boa noite danmex

você desativou a Restauração do Sistema conforme eu solicitei no início do seu tópico?

Ative a Restauração do Sistema. Em seguida, desative-a e faça um novo scan e cole o resultado.

danmex · Dezembro 19, 2009

Boa noite wings

o que se passa e o seguinte, estou tentando ajudar meu amigo a eliminar os virus do pc dele, so q ele demora as vezes pra responder, por isso a demora, e o pc dele isso..

ele formatou a maquina

vou te mandar um novo log do hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:40:43, on 18/12/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16945)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Arquivos comuns\ArcSoft\Connection Service\Bin\ACService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ralink\Common\RalinkRegistryWriter.exe

C:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Arquivos de programas\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\system32\STacSV.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\IDT\WDM\sttray.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Arquivos de programas\PowerColor\Real Angel 330\Remote.exe

C:\Arquivos de programas\PowerColor\Real Angel 330\Schedule.exe

C:\WINDOWS\windowsmp.exe

C:\WINDOWS\system32\XP-A2311F64.EXE

C:\Arquivos de programas\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Arquivos comuns\ArcSoft\Connection Service\Bin\ACDaemon.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Arquivos de programas\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\Arquivos de programas\Ralink\Common\RaUI.exe

C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Arquivos de programas\Arquivos comuns\ArcSoft\Connection Service\Bin\ArcCon.ac

C:\WINDOWS\system32\ZC-CF62D.EXE

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\windupx.exe

C:\Arquivos de programas\Pinnacle\Studio 9\programs\studio.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Windows Live\Toolbar\wltuser.exe

C:\Arquivos de programas\HP\Smart Web Printing\hpswp_clipbook.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Administrador\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://sa-123.cn/a/a2.htm

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\system32\init.exe,

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Arquivos de programas\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [sysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Remote] "C:\Arquivos de programas\PowerColor\Real Angel 330\Remote.exe"

O4 - HKLM\..\Run: [schedule] "C:\Arquivos de programas\PowerColor\Real Angel 330\Schedule.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [windowsmp] C:\WINDOWS\windowsmp.exe

O4 - HKLM\..\Run: [XP-A2311F64] C:\WINDOWS\system32\XP-A2311F64.EXE

O4 - HKLM\..\Run: [uSB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController

O4 - HKLM\..\Run: [uSBToolTip] "C:\Arquivos de programas\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Arquivos de programas\Arquivos comuns\ArcSoft\Connection Service\Bin\ACDaemon.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [swg] "C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Arquivos de programas\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Startup: ¡¡¡¡¡¡.lnk = C:\WINDOWS\system32\XP-A2311F64.EXE

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Arquivos de programas\Ralink\Common\RaUI.exe

O8 - Extra context menu item: Google Sidewiki... - res://C:\Arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Livro de recortes HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Seleção HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - C:\Arquivos de programas\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Arquivos de programas\Arquivos comuns\ArcSoft\Connection Service\Bin\ACService.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Ralink Registry Writer (RalinkRegistryWriter) - Ralink Technology, Corp. - C:\Arquivos de programas\Ralink\Common\RalinkRegistryWriter.exe

O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\WINDOWS\system32\STacSV.exe

--

End of file - 10426 bytes

abraços

wings · Dezembro 19, 2009

Boa noite danmex

O PC ainda está contaminado...

Possivelmente a origem seja de algum arquivo no Pendrive visto ter arquivos provenientes de contaminação por este meio.

Oriente-o para o seguinte:

Fazer um backup dos arquivos pessoais (.jpeg, .doc, etc...), exceto arquivos .exe (aplicativos, programas, ...) e arquivos .scr.

Peça-o para formatar o Pendrive, assim como todas as partições do PC.

Mande-o instalar o Windows e em seguida um antivírus. Sugiro o Avira.

Depois instale o Office e antes de instalar algum programa peça para fazer um scan com o antivírus.

Algum programa dele está contaminado pelo Sality...

Após fazer a formatação, cole um novo log do hijack.

danmex · Dezembro 21, 2009

Boa Tarde Wings

ah situação e o seguinte

toda vez que ele formata o pc, ele nao formata uma partição, que tem os trabalhos dele e documentos.

ou seja ele trabalha com filmagem, ai cada filmagem dele tem mais ou menos uns 18 gb, eh sao varios arquivos que ele tem nesse HD com filmagem.Ele nao possui nenhum HD externo que possa guardar isso, os trabalhos são muito grandes :(

teria uma outra solução sem ter que formatar essa partição?

agente poderia continuar a fazer os scan, pra ver se pelo menos o pc aceita instalar antivirus e outros executaveis que sõa necessarios pra ele no momento!

abraços..

wings · Dezembro 21, 2009

Ele pode seguir a orientação que passei do Norman e fazer um scan em todas as partições.

Porém, se tiver arquivos que não possam ser reparados, os mesmos serão deletados!

É preciso estar ciente disto.

danmex · Dezembro 26, 2009

Boa noite wings!

baixei o programa como você falou, fiz todo o procedimento, desativei a restauração do sistema.. botei o norman no desktop, renomiei como você pediu, so q na hora de executar nao funciona.. nao abre nada!

:(

tens outra solução?

wings · Dezembro 27, 2009

Boa tarde...

*Acesse a página abaixo:

http://securityresponse.symantec.com/avcenter/UnHookExec.inf

*Clique com o botão direito do mouse nela e selecione "Salvar como..."

*Salve no desktop

Clique com o botão direito do mouse no arquivo UnHookExec.inf e selecione instalar.

Agora execute o Norman e cole o relatório.

danmex · Janeiro 6, 2010

Boa noite DigRAM..

bom os metodos nao deram certo.. nem com o Unhoock, consegui fazer o scan do NORMAN :(

pc ta horrivel.. nao teria outros meios, tais como executar outros programas como "combofix" ou qualquer outro, pra ve se tira mais os virus do PC?

na duvida deixo aqui um log do hijackthis atualizado

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 02:33:23, on 6/1/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\Ralink\Common\RalinkRegistryWriter.exe

C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

C:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Arquivos de programas\IDT\132010083357\STacSV.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\IDT\WDM\sttray.exe

C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\windowsmp.exe

C:\Arquivos de programas\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe

C:\Documents and Settings\All Users\Dados de aplicativos\STORE LESS JUGS SURF\Ooze warn.exe

C:\Arquivos de programas\Winamp3\winampa.exe

C:\Arquivos de programas\CyberLink\PCM4Everio\EverioService.exe

C:\Arquivos de programas\PowerColor\Real Angel 330\Remote.exe

C:\Arquivos de programas\PowerColor\Real Angel 330\Schedule.exe

C:\WINDOWS\system32\XP-A2311F64.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe

C:\DOCUME~1\ANDRER~1\DADOSD~1\BLEHCO~1\vcplay.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Ralink\Common\RaUI.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\DOCUME~1\ANDRER~1\CONFIG~1\Temp\wingjwj.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\DOCUME~1\ANDRER~1\CONFIG~1\Temp\dgubv.exe

c:\docume~1\andrer~1\dadosd~1\blehco~1\BaseBallObj.exe

C:\Arquivos de programas\Winamp3\studio.exe

C:\DOCUME~1\ANDRER~1\CONFIG~1\Temp\sges.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Andre Reis\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\system32\init.exe,

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [sysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe

O4 - HKLM\..\Run: [iSUSPM Startup] C:\ARQUIV~1\ARQUIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [windowsmp] C:\WINDOWS\windowsmp.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [uSB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController

O4 - HKLM\..\Run: [uSBToolTip] "C:\Arquivos de programas\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"

O4 - HKLM\..\Run: [Jugs Surf Inter Media] C:\Documents and Settings\All Users\Dados de aplicativos\STORE LESS JUGS SURF\Ooze warn.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Arquivos de programas\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [EverioService] "C:\Arquivos de programas\CyberLink\PCM4Everio\EverioService.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Remote] "C:\Arquivos de programas\PowerColor\Real Angel 330\Remote.exe"

O4 - HKLM\..\Run: [schedule] "C:\Arquivos de programas\PowerColor\Real Angel 330\Schedule.exe"

O4 - HKLM\..\Run: [XP-A2311F64] C:\WINDOWS\system32\XP-A2311F64.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [wmareadme] C:\DOCUME~1\ANDRER~1\DADOSD~1\BLEHCO~1\vcplay.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background