[Arquivado] PC lento e erros aleatórios do explorer

José Enésio · Dezembro 24, 2009

Olá, aqui o pc está lento, ainda não aconteceu comigo mas foi relatado que ele travou no internet explorer.

Aqui também acontecem erros no explorer, principalmente quando eu ponho o pendrive para trocar arquivos, geralmente ocorre quando eu fecho alguma janela do explorer nesse caso mas não é sempre. Também ocorrem erros de read ou write quando eu desligo o computador, mas é só uma caixa de erro, não aquela caixa detalhada que o windows mostra quando ocorre erro de acesso da memória. Também recebo caixas de erro do explorer.exe de "Invalid pointer operation" (essa ocorre com o pendrive normalmente quando eu fecho a janela aberta com a unidade do pen).

Não tenho certeza, mas acho que os erros do explorer começaram a acontecer depois que eu passei o PenClean no meu mp4.

Quanto à lentidão, é recente, esses dias andei tirando uns worms daqui, e tirei um GenericAskToolbar aqui a pouco através do uso do Hijackthis. Postarei aqui o log atual do hijack this, feito logo após remover o GenericAskToolbar, e em seguida postarei o log do Malware Bytes, quando eu retirei os worms.

Logfile of HijackThis v1.99.1Scan saved at 15:48:28, on 24/12/2009Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\nvsvc32.exeC:\ARQUIV~1\GbPlugin\GbpSv.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\Arquivos de programas\AVG\AVG9\avgchsvx.exeC:\Arquivos de programas\AVG\AVG9\avgrsx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Arquivos de programas\AVG\AVG9\avgcsrvx.exeC:\WINDOWS\Explorer.EXEC:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exeC:\Arquivos de programas\AVG\AVG9\avgwdsvc.exeC:\Arquivos de programas\Bonjour\mDNSResponder.exeC:\WINDOWS\RTHDCPL.EXEC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exeC:\Arquivos de programas\Java\jre6\bin\jqs.exeC:\Arquivos de programas\Kodak\printer\center\KodakSvc.exeC:\Arquivos de programas\Java\jre6\bin\jusched.exeC:\Arquivos de programas\AVG\AVG9\avgnsx.exeC:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exeC:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exeC:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exeC:\WINDOWS\system32\RUNDLL32.EXEC:\ARQUIV~1\AVG\AVG9\avgtray.exeC:\WINDOWS\system32\ctfmon.exeC:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exeC:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exeC:\Arquivos de programas\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\PnkBstrA.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\alg.exeC:\WINDOWS\system32\wbem\wmiapsrv.exeC:\WINDOWS\System32\svchost.exeC:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exeC:\Arquivos de programas\HP\Digital Imaging\bin\hpqbam08.exeC:\Arquivos de programas\HP\Digital Imaging\bin\hpqgpc01.exeC:\Arquivos de programas\Java\jre6\bin\jucheck.exeC:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exeC:\Arquivos de programas\Windows Live\Contacts\wlcomm.exeC:\WINDOWS\system32\NOTEPAD.EXEC:\Arquivos de programas\Mozilla Firefox\firefox.exeC:\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.com.br/R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.terra.com.br/R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.localR3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dllR3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dllO2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG9\avgssie.dllO2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dllO2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dllO2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dllO2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dllO2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dllO2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dllO2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dllO3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dllO3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dllO4 - HKLM\..\Run: [SkyTel] SkyTel.EXEO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Arquivos de programas\Corel\Corel Graphics 12\Languages\BR\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=010610 serial=dr12crm-9723855-xhp lang=BPO4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\ARQUIV~1\ARQUIV~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXEO4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"O4 - HKLM\..\Run: [EKIJ5000StatusMonitor] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe"  -osbootO4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exeO4 - HKLM\..\Run: [nwiz] C:\Arquivos de programas\NVIDIA Corporation\nView\nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [AVG9_TRAY] C:\ARQUIV~1\AVG\AVG9\avgtray.exeO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [swg] "C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5" -"http://a.kongregate.com/games/rpgd/mafia5/frame/1260738796248/?username=lozl&user_id=2526063&game_auth_token=5b7b4d1b3562b2cb6a4986ddf9522c5abbba0baed1a81029a15c47b6169ac46d"O4 - Startup: Recorte de tela e Iniciador do OneNote 2007.lnk = C:\Arquivos de programas\Microsoft Office\Office12\ONENOTEM.EXEO4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exeO8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000O8 - Extra context menu item: Google Sidewiki... - res://C:\Arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.htmlO9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dllO9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dllO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLLO9 - Extra button: Seleção HP Smart - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dllO10 - Unknown file in Winsock LSP: c:\arquivos de programas\bonjour\mdnsnsp.dllO14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.aspO18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLLO18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG9\avgpp.dllO18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLLO18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dllO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLLO18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLLO20 - Winlogon Notify:  GbPluginBb - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dllO20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dllO21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dllO23 - Service: Adobe Version Cue CS3 - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe" -win32service (file missing)O23 - Service: Autodesk Licensing Service - Autodesk - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exeO23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Arquivos de programas\AVG\AVG9\avgwdsvc.exeO23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exeO23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exeO23 - Service: Gbp Service (GbpSv) -   - C:\ARQUIV~1\GbPlugin\GbpSv.exeO23 - Service: Google Software Updater (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exeO23 - Service: InstallShield Licensing Service - Macrovision                                                     - C:\Arquivos de programas\Arquivos comuns\InstallShield Shared\Service\InstallShield Licensing Service.exeO23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Arquivos de programas\Java\jre6\bin\jqs.exe" -service -config "C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)O23 - Service: Kodak AiO Device Service (KodakSvc) - Eastman Kodak Company - C:\Arquivos de programas\Kodak\printer\center\KodakSvc.exeO23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Arquivos de programas\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exeO23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

MBAM:

Malwarebytes' Anti-Malware 1.30Versão do banco de dados: 1368Windows 5.1.2600 Service Pack 25/11/2008 18:48:20mbam-log-2008-11-05 (18-48-20).txtTipo de Verificação: RápidaObjetos verificados: 50172Tempo decorrido: 2 minute(s), 17 second(s)Processos da Memória infectados: 1Módulos de Memória Infectados: 0Chaves do Registro infectadas: 0Valores do Registro infectados: 2Ítens do Registro infectados: 0Pastas infectadas: 0Arquivos infectados: 5Processos da Memória infectados:C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert) -> Failed to unload process.Módulos de Memória Infectados:(Nenhum ítem malicioso foi detectado)Chaves do Registro infectadas:(Nenhum ítem malicioso foi detectado)Valores do Registro infectados:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.Ítens do Registro infectados:(Nenhum ítem malicioso foi detectado)Pastas infectadas:(Nenhum ítem malicioso foi detectado)Arquivos infectados:C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert.H) -> Delete on reboot.C:\Documents and Settings\User\Configurações locais\Temp\AIG.scr (Trojan.Downloader) -> Quarantined and deleted successfully.C:\WINDOWS\system32\wini10252.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.C:\Documents and Settings\User\Configurações locais\Temp\wrdwn3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.C:\Documents and Settings\User\Configurações locais\Temp\wrdwn4 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Foi instalado aqui o AVG 9.0.

Achei curioso que tentei abrir o Malware Bytes algumas vezes, e em todas ele fica alguns segundos aberto e depois é fechado. Não sei se é conflito entre os anti-vírus, ou se realmente tem algum malware forçando o programa a fechar após aberto.

Obrigado pela atenção, abçs

Power Max · Dezembro 24, 2009

:) Olá José Enésio!

:!: No seu log do Malwarebytes está constando que você fez apenas uma verificação rápida com ele e é muito importante fazer uma Verificação Completa. Faça esta verificação completa de acordo com o tutorial abaixo e remova todos os problemas que ele encontrar:

'>http://dicasetutoriaisparapc.blogspot.com/2009/10/tutorial-do-malwarebytes-anti-malware.html"]Tutorial do Malwarebytes Anti-Malware

____________________________________

:seta: Depois disto faça também o seguinte:

Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

Faça o download do ComboFix

1) Desabilite o seu anti-vírus temporariamente;

2) Dê um duplo-clique no combofix.exe e aguarde (o processo total demora cerca de 10 minutos);

3) A janela de “NEGAÇÃO DE GARANTIA DO SOFTWARE” abrir-se-á. Clique em “SIM” para continuar.

4) Outra janela irá abrir, caso a sua máquina não possua o CONSOLE DE RECUPERAÇÃO DO WINDOWS. É recomendável executar a instalação do console antes de dar continuidade ao processo, pois tal ação proporcionará a garantia de que o sistema poderá ser recuperado em caso de problemas durante a varredura.

Clique sobre “SIM” e aguarde, pois o processo de instalação do console dar-se-á automaticamente através do próprio ComboFix. Ele poderá demorar alguns minutos (dependerá da velocidade de sua conexão), portanto seja paciente.

Quando a janela “INSTALANDO O CONSOLE DE RECUPERAÇÃO” aparecer clique em “OK”, depois clique sobre “SIM” para aceitar a licença EULA.

Ao término da instalação do console de recuperação abrir-se-á uma janela avisando que “O CONSOLE DE RECUPERAÇÃO FOI INSTALADO COM SUCESSO”.

Clique sobre “SIM” para continuar a varredura.

5) O ComboFix iniciará o AUTOSCAN (aguarde).

ATENÇÃO: Não clique na janela do ComboFix, nem termine o processo abruptamente enquanto a ferramenta estiver sendo executada, pois isto implicará na desconfiguração de seu desktop (ele ficará todo branco).

Ao término do processo a máquina será reiniciada para a emissão do relatório.

6) Ao reiniciar a máquina o ComboFix irá executar o FIND3M para a criação do relatório final da varredura. O log dele estará em C:\ComboFix.txt.

7) Reabilite o seu anti-vírus;

OBS.1: Caso apareça uma mensagem avisando que ESTE NÃO É UM APLICATIVO WIN 32 VÁLIDO ou caso os virus ou malwares bloqueiem a execução do Combofix, baixe o ComboFix novamente, mas salve-o em seu Desktop como KomboFix. Neste caso, nomeie-o como Kombofix durante o salvamento e não após salvá-lo!

Em último caso, se não for possível executar o Combofix no Modo Normal do Windows, tente utilizar o ComboFix em MODO SEGURO (reiniciando o computador e pressionando a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização e escolha a opção Modo Seguro na tela que se apresenta) e repita o procedimento;

OBS.2: Caso haja um clique sobre a janela do ComboFix em execução, ela irá MAXIMIZAR, sobrepondo-se sobre as demais. Para minimizá-la novamente basta utilizar a combinação ALT + TAB.

* Se por algum motivo você precisar parar ou sair do ComboFix, tecle "N".

* Se perder a conexão com a internet, reinicie o computador. Caso o problema persista, abra Conexões de Rede no Painel de Controle, clique com o botão direito do mouse sobre a sua conexão com a internet e em "Reparar";

Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com o novo log do Malwarebytes e um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC depois disto.

Ficamos no aguardo.

José Enésio · Dezembro 24, 2009

Olá,

Como eu disse o Malware Bytes fica poucos segundos aberto e fecha logo em seguida, não importa o que eu faça.

O link do tutorial não abriu.

Não sei agora como faz para desativar o AVG9? Notei que quando tento atualizar ele aparece que o acesso foi proibido pelo servidor? O anti-vírus é free edition.

Notei outro problema aqui no computador, alguns programas simplesmente não abrem, não importa o quanto clique duas vezes nos ícones. Por enquanto notei que aconteceu com o emule e o rhinoceros, nenhum deles eu utilizo portanto não posso dizer exatamente o que foi feito. Os programas nem aparecem na lista de processos do Windows. Foi relatado aqui que reiniciando o computador, é possível abrir os programas.

Não são todos os programas que acontece isso.

Power Max · Dezembro 24, 2009

Não sei agora como faz para desativar o AVG9?

- Clique com o botão direito do mouse sobre o ícone do AVG ao lado do relógio do computador

- Clique na opção Sair (Obs: esta opção sair era no Avg 8, talvez no Avg seja uma outra opção com a mesma finalidade).

Se mesmo assim não puder ser pausado o Avg, reinicie o PC em Modo Seguro (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a opção Modo Seguro.

Ai quando o seu PC estiver no Modo Seguro você executa o Combofix e o Malwarebytes.

Obs: Caso não seja possível executar a limpeza com estes dois programas acima, execute a limpeza com aquele que for possível executar.

Depois você reinicia o PC normalmente e posta o log deles.

José Enésio · Dezembro 24, 2009

Log do ComboFix

ComboFix 09-12-24.02 - User 24/12/2009 19:55:31.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2047.1574 [GMT -2:00]

Executando de: C:\KomboFix.exe

.

ADS - system32: deleted 2 bytes in 1 streams.

ADS - drivers: deleted 204 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\docume~1\User\CONFIG~1\Temp\lvmkuh.tmp

c:\documents and settings\User\Configurações locais\Temp\lvmkuh.tmp

c:\documents and settings\User\Dados de aplicativos\Desktopicon

c:\documents and settings\User\Dados de aplicativos\Desktopicon\eBay.ico

c:\documents and settings\User\Dados de aplicativos\Desktopicon\uninst.exe

c:\windows\system32\Ijl11.dll

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-11-24 to 2009-12-24 ))))))))))))))))))))))))))))

.

2009-12-24 21:48 . 2009-12-24 21:48 -------- d-----w- c:\documents and settings\User\Dados de aplicativos\AVG9

2009-12-24 21:45 . 2009-12-24 21:46 3864524 ----a-r- C:\KomboFix.exe

2009-12-24 15:50 . 2009-12-24 14:12 4043032 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg9\update\backup\avgui.exe

2009-12-24 15:50 . 2009-12-24 14:12 3776280 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg9\update\backup\setup.exe

2009-12-24 15:50 . 2009-12-24 14:12 2352920 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg9\update\backup\avgresf.dll

2009-12-24 15:50 . 2009-12-24 14:12 3967256 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg9\update\backup\avgcorex.dll

2009-12-24 15:50 . 2009-12-24 14:12 916248 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg9\update\backup\avgcfgx.dll

2009-12-24 14:18 . 2009-11-25 15:01 1230080 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\AVG Security Toolbar\IEToolbar.dll

2009-12-24 14:12 . 2009-12-24 15:44 -------- d-----w- C:\$AVG

2009-12-24 14:12 . 2009-12-24 14:12 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\AVG Security Toolbar

2009-12-24 14:12 . 2009-12-24 14:12 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\avg9

2009-12-06 15:12 . 2009-12-03 18:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-12-06 15:12 . 2009-12-06 15:12 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2009-12-06 15:12 . 2009-12-03 18:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-12-05 17:01 . 2009-12-05 17:01 -------- d-----w- c:\arquivos de programas\Arquivos comuns\DVDVideoSoft

2009-12-05 17:01 . 2009-12-05 17:01 -------- d-----w- c:\arquivos de programas\DVDVideoSoft

2009-11-24 23:32 . 2009-12-24 17:48 -------- d-----w- c:\arquivos de programas\Ask.com

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-24 20:21 . 2009-09-21 18:11 -------- d-----w- c:\documents and settings\User\Dados de aplicativos\HPAppData

2009-12-24 14:12 . 2008-05-14 17:55 -------- d-----w- c:\arquivos de programas\AVG

2009-12-24 14:12 . 2008-05-14 17:55 360584 ----a-w- c:\windows\system32\drivers\avgtdix.sys

2009-12-24 14:12 . 2008-05-14 17:55 333192 ----a-w- c:\windows\system32\drivers\avgldx86.sys

2009-12-24 14:12 . 2007-08-03 16:51 28424 ----a-w- c:\windows\system32\drivers\avgmfx86.sys

2009-12-24 14:12 . 2008-05-14 17:55 12464 ----a-w- c:\windows\system32\avgrsstx.dll

2009-12-22 02:53 . 2008-06-25 19:14 -------- d-----w- c:\documents and settings\User\Dados de aplicativos\uTorrent

2009-12-09 13:27 . 2008-07-21 14:06 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

2009-12-09 13:27 . 2008-07-21 14:06 -------- d-----w- c:\arquivos de programas\GbPlugin

2009-12-07 17:30 . 2009-02-10 14:13 30752 ----a-w- c:\windows\system32\drivers\gbpkm.sys

2009-12-06 15:11 . 2008-11-05 20:44 4844296 ----a-w- C:\mbam-setup.exe

2009-11-14 17:26 . 2009-11-14 17:26 98304 ----a-w- c:\windows\W2BNEUnin.exe

2009-11-14 17:26 . 2009-11-14 17:26 2829 ----a-w- c:\windows\W2BNEUnin.pif

2009-11-14 17:26 . 2009-11-14 17:25 21355 ----a-w- c:\windows\W2BNEUnin.dat

2009-11-14 03:25 . 2009-11-14 03:25 -------- d-----w- c:\arquivos de programas\DAEMON Tools Lite

2009-11-14 03:21 . 2009-11-14 03:21 717296 ----a-w- c:\windows\system32\drivers\sptd.sys

2009-11-14 03:21 . 2009-11-14 03:21 -------- d-----w- c:\documents and settings\User\Dados de aplicativos\DAEMON Tools

2009-11-07 15:03 . 2009-09-25 11:15 -------- d-----w- c:\arquivos de programas\Megacubo

2009-11-05 01:48 . 2009-07-15 22:20 -------- d-----w- c:\arquivos de programas\Messenger Plus! Live

2009-10-31 02:17 . 2009-10-31 02:17 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-10-31 02:16 . 2008-07-02 18:18 -------- d-----w- c:\arquivos de programas\Java

2009-10-31 02:16 . 2009-10-31 02:16 152576 ----a-w- c:\documents and settings\User\Dados de aplicativos\Sun\Java\jre1.6.0_16\lzma.dll

2009-10-26 04:11 . 2009-10-26 04:11 -------- d-----w- c:\documents and settings\User\Dados de aplicativos\FreeVideoConverter

2009-10-18 11:28 . 2001-09-28 12:00 72098 ----a-w- c:\windows\system32\perfc016.dat

2009-10-18 11:28 . 2001-09-28 12:00 436668 ----a-w- c:\windows\system32\perfh016.dat

2009-10-11 01:33 . 2009-10-11 01:33 1034 ----a-w- c:\windows\system32\unins000.dat

2009-10-11 01:33 . 2009-10-11 01:33 695578 ----a-w- c:\windows\system32\unins000.exe

2008-06-23 18:42 . 2008-06-23 18:42 7726360 ----a-w- c:\arquivos de programas\Google_Earth_CZXV.exe

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]

2009-11-25 15:01 1230080 ----a-w- c:\arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-25 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]

"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 16116224]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"CorelDRAW Graphics Suite 11b"="c:\arquivos de programas\Corel\Corel Graphics 12\Languages\BR\Programs\Registration.exe" [2003-11-28 729088]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2009-10-31 149280]

"EKIJ5000StatusMonitor"="c:\windows\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe" [2008-02-15 1052672]

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2008-11-26 185872]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"QuickTime Task"="c:\arquivos de programas\QuickTime\qttask.exe" [2009-04-06 413696]

"HP Component Manager"="c:\arquivos de programas\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]

"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

"nwiz"="c:\arquivos de programas\NVIDIA Corporation\nView\nwiz.exe" [2009-08-13 1657376]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-08-17 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-17 13877248]

"AVG9_TRAY"="c:\arquiv~1\AVG\AVG9\avgtray.exe" [2009-12-24 2033432]

c:\documents and settings\User\Menu Iniciar\Programas\Inicializar\

Recorte de tela e Iniciador do OneNote 2007.lnk - c:\arquivos de programas\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

HP Digital Imaging Monitor.lnk - c:\arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]

2009-12-07 17:31 318240 ----a-w- c:\arquivos de programas\GbPlugin\gbieh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-12-24 14:12 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"midi9"=c:\docume~1\User\CONFIG~1\Temp\lvmkuh.tmp 2nHAPKGEHD

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

2008-07-24 15:02 490952 ----a-w- c:\arquivos de programas\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wuauserv"=2 (0x2)

"wscsvc"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\Bonjour\\mDNSResponder.exe"=

"c:\\Arquivos de programas\\Arquivos comuns\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=

"c:\\Arquivos de programas\\Infogrames\\Grand Prix 4\\GP4.exe"=

"c:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=

"c:\\WINDOWS\\system32\\dplaysvr.exe"=

"c:\\Arquivos de programas\\MiniRacingOnline\\MiniRacingOnLine.exe"=

"c:\\Arquivos de programas\\Autodesk\\3dsMax8\\3dsmax.exe"=

"c:\\Arquivos de programas\\Autodesk\\backburner\\monitor.exe"=

"c:\\Arquivos de programas\\Autodesk\\backburner\\manager.exe"=

"c:\\Arquivos de programas\\Autodesk\\backburner\\server.exe"=

"c:\\Arquivos de programas\\Windows Media Player\\wmplayer.exe"=

"e:\\Alan\\Skulltag\\Skulltag.exe"=

"e:\\Alan\\Skulltag\\Idese.exe"=

"e:\\Alan\\Skulltag\\Rcon_utility.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Arquivos de programas\\Megacubo\\megacubo.exe"=

"c:\\Arquivos de programas\\AVG\\AVG9\\avgupd.exe"=

"c:\\Arquivos de programas\\AVG\\AVG9\\avgnsx.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server

"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server

"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server

"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [10/2/2009 12:13 30752]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14/11/2009 01:21 717296]

R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [14/5/2008 15:55 333192]

R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [14/5/2008 15:55 360584]

R2 avg9wd;AVG Free WatchDog;c:\arquivos de programas\AVG\AVG9\avgwdsvc.exe [24/12/2009 12:12 285392]

R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [21/7/2008 12:07 54048]

R2 KodakSvc;Kodak AiO Device Service;c:\arquivos de programas\Kodak\Printer\Center\KodakSvc.exe [28/2/2008 17:57 18944]

S2 dycgadcv;Update Monitor;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 01:45 14336]

S2 gaipiosg;jvykofam;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 01:45 14336]

S2 izabvvco;Update Manager;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 01:45 14336]

S2 ovaine;Helper Task;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 01:45 14336]

S2 rkjks;Shell Server;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 01:45 14336]

S2 wgiid;Update Microsoft;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 01:45 14336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

HPService REG_MULTI_SZ HPSLPSVC

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

izabvvco

wgiid

gaipiosg

rkjks

dycgadcv

ovaine

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.terra.com.br/

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

mDefault_Search_URL = hxxp://www.google.com/ie

mStart Page = hxxp://www.google.com

uInternet Connection Wizard,ShellNext = hxxp://www.terra.com.br/

uInternet Settings,ProxyOverride = *.local

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

mSearchAssistant = hxxp://www.google.com/ie

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

FF - ProfilePath - c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\cq7srg4b.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/firefox?client=firefox-a&rls=org.mozilla:pt-BR:official

FF - prefs.js: keyword.URL - hxxp://br.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_br&p=

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\npzylomgamesplayer.dll

FF - plugin: c:\arquivos de programas\Unity\WebPlayer\loader\npUnity3D32.dll

FF - plugin: c:\documents and settings\All Users\Dados de aplicativos\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll

FF - plugin: c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\cq7srg4b.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

- - - - ORFÃOS REMOVIDOS - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

HKLM-Explorer_Run-Windows Taskmanager - msnmsg.exe

AddRemove-eBay Icon - c:\documents and settings\User\Dados de aplicativos\Desktopicon\uninst.exe

AddRemove-Flamingo 1.1 - c:\arquiv~1\RHINOC~1.0\Plug-ins\Flamingo\System\Unwise.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-24 20:05

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89E551F8]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xb80ecfc3

\Driver\ACPI -> ACPI.sys @ 0xb7e67cb8

\Driver\atapi -> 0x89e551f8

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058236c

ParseProcedure -> ntkrnlpa.exe @ 0x8058146a

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058236c

ParseProcedure -> ntkrnlpa.exe @ 0x8058146a

NDIS: Attansic L2 Fast Ethernet 10/100 Base-T Controller -> SendCompleteHandler -> NDIS.sys @ 0xb7d06ba0

PacketIndicateHandler -> NDIS.sys @ 0xb7d13b21

SendHandler -> NDIS.sys @ 0xb7cf187b

Warning: possible MBR rootkit infection !

user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dycgadcv]

"ServiceDll"="c:\windows\system32\phipyr.dll"

--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaipiosg]

"ServiceDll"="c:\windows\system32\phipyr.dll"

--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\izabvvco]

"ServiceDll"="c:\windows\system32\phipyr.dll"

--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ovaine]

"ServiceDll"="c:\windows\system32\phipyr.dll"

--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rkjks]

"ServiceDll"="c:\windows\system32\phipyr.dll"

--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wgiid]

"ServiceDll"="c:\windows\system32\phipyr.dll"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(772)

c:\arquivos de programas\GBPLUGIN\gbieh.dll

- - - - - - - > 'explorer.exe'(3616)

c:\arquivos de programas\GBPLUGIN\gbieh.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\windows\system32\nvsvc32.exe

c:\arquivos de programas\AVG\AVG9\avgchsvx.exe

c:\arquivos de programas\AVG\AVG9\avgrsx.exe

c:\arquivos de programas\AVG\AVG9\avgcsrvx.exe

c:\arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

c:\arquivos de programas\Bonjour\mDNSResponder.exe

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\arquivos de programas\AVG\AVG9\avgnsx.exe

c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\arquivos de programas\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\RTHDCPL.EXE

c:\windows\system32\wscntfy.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\RUNDLL32.EXE

c:\arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

c:\arquivos de programas\HP\Digital Imaging\bin\hpqbam08.exe

c:\arquivos de programas\HP\Digital Imaging\bin\hpqgpc01.exe

.

**************************************************************************

.

Tempo para conclusão: 2009-12-24 20:08:47 - Máquina reiniciou

ComboFix-quarantined-files.txt 2009-12-24 22:08

Pré-execução: 9 pasta(s) 80.596.271.104 bytes disponíveis

Pós execução: 12 pasta(s) 82.829.189.120 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 1CB253EC6AA1BA47E7AC60BDF04A191C

Agora o Malware Bytes rodou sem fechar, irei executá-lo com a opção de verificação completa (verificarei o seu link caso ele funcione desta vez) e logo postarei o log.

No tray ao inicializar apareceu algo estranho, um círculo com G no meio dizendo que o Google parou algum programa que estava tentando impedir a busca ou algo assim, não consigo lembrar a mensagem direito. Ele já sumiu.

NOTA: o AVG9 não tem opção para sair no tray, o que eu fiz foi desativar o Resident Shield que é o que eu imagino que possa causar algum conflito.

O seu link do tutorial do Malware Bytes continua não entrando.

Power Max · Dezembro 24, 2009

Devem ser os malwares que estão bloqueando os sites que falam sobre antivirus e antimalwares, porque aqui o tutorial está acessando normalmente.

Mas o importante é você atualizar (fazer um update) no Malwarebytes > fazer a Verificação Completa com ele > remover todos os problemas que ele encontrar e depois postar o log dele juntamente com um novo log do Hijackthis e nos dizer como está seu PC depois disto.

Ficamos na espera.

José Enésio · Dezembro 24, 2009

Log do Malwarebytes:

Malwarebytes' Anti-Malware 1.42
Versão do banco de dados: 3425

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

24/12/2009 21:04:13

mbam-log-2009-12-24 (21-04-13).txt

Tipo de Verificação: Completa (C:\|E:\|)

Objetos verificados: 311285

Tempo decorrido: 47 minute(s), 20 second(s)

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 0

Ítens do Registro infectados: 0

Pastas infectadas: 0

Arquivos infectados: 0

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

Valores do Registro infectados:

(Nenhum ítem malicioso foi detectado)

Ítens do Registro infectados:

(Nenhum ítem malicioso foi detectado)

Pastas infectadas:

(Nenhum ítem malicioso foi detectado)

Arquivos infectados:

(Nenhum ítem malicioso foi detectado)

Power Max · Dezembro 25, 2009

:seta: Siga estes procedimentos nesta sequência em que estão aqui, por gentileza:

:seta: Baixe: < XPSP2_NetSvcs > ( ...by sUBs ):

http://download.bleepingcomputer.com/sUBs/Beta/XPSP2_netsvcs.zip

* Descompacte-o para o desktop!

* Execute o ( .reg ),com um duplo-clique.

* Confirme a inserção ao registro --> Reinicie!

___________________________________

:seta: Siga também as dicas destes tutoriais:

Tutorial do Panda Anti-RootKit

Tutorial do Sophos Anti-RootKit

________________________________________

Selecione o texto dentro do Quote (caixa branca abaixo) e copie para o Bloco de notas. Salve-o como CFScript.txt

File::
c:\docume~1\User\CONFIG~1\Temp\lvmkuh.tmp

Folder::

c:\arquivos de programas\Ask.com

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"midi9"=-

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 1 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Arquivos de programas\\Bonjour\\mDNSResponder.exe"=-

Arraste o CFScript.txt para o ComboFix conforme a imagem abaixo:

Se solicitado pressione "Enter" para iniciar o processo de remoção;

Não use o mouse nem o teclado quando o ComboFix estiver rodando.

Quando terminar, será gerado um log, que estará em C:\ComboFix.txt

Obs: Se o Combofix não reiniciar seu computador automaticamente, faça-o manualmente.

___________________________________

:seta: Baixe: < mbr.exe v.0.3.7 > ( by Gmer ):

http://www2.gmer.net/mbr/mbr.exe

<@> Salve-o em C:\

*Clique em Iniciar > Executar > digite: c:\mbr.exe -f

*Observe que há um espaço entre mbr.exe e -f

*Clique OK. Caso seja perguntado, permita o programa ser executado.

*Duplo clique em mbr.exe

*Cole o relatório criado em C:\MBR.Log juntamente com o log que estará em C:\ComboFix.txt, um novo log do HijackThis e nos diga se algum problema foi detectado e removido pelo Panda e Sophos Anti-rootkit e como está seu PC depois disto.

José Enésio · Dezembro 25, 2009

Não foi detectado nada pelo Panda e Sophos.

Log MBR:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Log do Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 15:16:59, on 25/12/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\AVG\AVG9\avgchsvx.exe

C:\Arquivos de programas\AVG\AVG9\avgrsx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\AVG\AVG9\avgcsrvx.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

C:\Arquivos de programas\AVG\AVG9\avgwdsvc.exe

C:\Arquivos de programas\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Kodak\printer\center\KodakSvc.exe

C:\Arquivos de programas\AVG\AVG9\avgnsx.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Arquivos de programas\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\ARQUIV~1\AVG\AVG9\avgtray.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqbam08.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqgpc01.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.terra.com.br/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll

R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG9\avgssie.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dll

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Arquivos de programas\Corel\Corel Graphics 12\Languages\BR\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=010610 serial=dr12crm-9723855-xhp lang=BP

O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\ARQUIV~1\ARQUIV~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [EKIJ5000StatusMonitor] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [nwiz] C:\Arquivos de programas\NVIDIA Corporation\nView\nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVG9_TRAY] C:\ARQUIV~1\AVG\AVG9\avgtray.exe

O4 - HKCU\..\Run: [swg] "C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\RunOnce: [shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5" -"http://a.kongregate.com/games/rpgd/mafia5/frame/1260738796248/?username=lozl&user_id=2526063&game_auth_token=5b7b4d1b3562b2cb6a4986ddf9522c5abbba0baed1a81029a15c47b6169ac46d"

O4 - Startup: Recorte de tela e Iniciador do OneNote 2007.lnk = C:\Arquivos de programas\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Seleção HP Smart - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O10 - Unknown file in Winsock LSP: c:\arquivos de programas\bonjour\mdnsnsp.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG9\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: GbPluginBb - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe Version Cue CS3 - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe" -win32service (file missing)

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Arquivos de programas\AVG\AVG9\avgwdsvc.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallShield Licensing Service - Macrovision - C:\Arquivos de programas\Arquivos comuns\InstallShield Shared\Service\InstallShield Licensing Service.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Arquivos de programas\Java\jre6\bin\jqs.exe" -service -config "C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: Kodak AiO Device Service (KodakSvc) - Eastman Kodak Company - C:\Arquivos de programas\Kodak\printer\center\KodakSvc.exe

O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Arquivos de programas\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Quanto ao log do ComboFix, eu não consegui achá-lo aqui, ele reiniciou o computador e começou a vasculhar como sempre, mas quando chegou no Find3M, ele deixou o desktop em branco como de costume, mas dessa vez quando a janela fechou, o desktop não voltou ao normal e o bloco de notas não abriu. Eu resetei o computador e não há Combofix.txt em C:\.

Se servir de alguma ajuda, ao menos eu lembro que ele apagou a pasta Ask.com e os arquivos que tinha dentro, ou pelo menos assim ele relatou no fim do AutoScan.

Aliás, achei o danado dentro da pasta do ComboFix:

ComboFix 09-12-25.01 - User 25/12/2009 15:04:02.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2047.1424 [GMT -2:00]

Executando de: C:\KomboFix.exe

Comandos utilizados :: C:\CFScript.txt

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

FILE ::

"c:\docume~1\User\CONFIG~1\Temp\lvmkuh.tmp"

.

ADS - drivers: deleted 204 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\arquivos de programas\Ask.com

c:\arquivos de programas\Ask.com\config.xml

c:\arquivos de programas\Ask.com\mupcfg.xml

c:\arquivos de programas\Ask.com\SaUpdate.exe

c:\arquivos de programas\Ask.com\UpdateTask.exe

.

(((((((((((((((( Arquivos/Ficheiros criados de 2009-11-25 to 2009-12-25 ))))))))))))))))))))))))))))

.

2009-12-25 17:03:54 . 2009-12-25 17:03:54 12568 ----a-w- C:\WINDOWS\system32\drivers\PROCEXP113.SYS

2009-12-25 16:55:35 . 2009-12-25 17:03:10 -------- d-----w- C:\KomboFix

2009-12-25 16:48:51 . 2009-12-25 16:48:51 -------- d-----w- C:\Arquivos de programas\Sophos

2009-12-25 16:48:15 . 2009-12-25 16:48:22 -------- d-----w- C:\ferramentas remoção

2009-12-24 21:48:31 . 2009-12-24 21:48:31 -------- d-----w- C:\Documents and Settings\User\Dados de aplicativos\AVG9

2009-12-24 21:45:53 . 2009-12-25 17:02:42 3865024 ----a-r- C:\KomboFix.exe

2009-12-24 15:50:10 . 2009-12-24 14:12:12 4043032 ----a-w- C:\Documents and Settings\All Users\Dados de aplicativos\avg9\update\backup\avgui.exe

2009-12-24 15:50:10 . 2009-12-24 14:12:12 3776280 ----a-w- C:\Documents and Settings\All Users\Dados de aplicativos\avg9\update\backup\setup.exe

2009-12-24 15:50:08 . 2009-12-24 14:12:12 2352920 ----a-w- C:\Documents and Settings\All Users\Dados de aplicativos\avg9\update\backup\avgresf.dll

2009-12-24 15:50:08 . 2009-12-24 14:12:10 3967256 ----a-w- C:\Documents and Settings\All Users\Dados de aplicativos\avg9\update\backup\avgcorex.dll

2009-12-24 15:50:08 . 2009-12-24 14:12:09 916248 ----a-w- C:\Documents and Settings\All Users\Dados de aplicativos\avg9\update\backup\avgcfgx.dll

2009-12-24 14:18:13 . 2009-11-25 15:01:54 1230080 ----a-w- C:\Documents and Settings\All Users\Dados de aplicativos\AVG Security Toolbar\IEToolbar.dll

2009-12-24 14:12:41 . 2009-12-24 15:44:17 -------- d-----w- C:\$AVG

2009-12-24 14:12:25 . 2009-12-24 14:12:25 -------- d-----w- C:\Documents and Settings\All Users\Dados de aplicativos\AVG Security Toolbar

2009-12-24 14:12:08 . 2009-12-24 14:12:09 -------- d-----w- C:\Documents and Settings\All Users\Dados de aplicativos\avg9

2009-12-06 15:12:09 . 2009-12-03 18:14:06 38224 ----a-w- C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2009-12-06 15:12:08 . 2009-12-06 15:12:12 -------- d-----w- C:\Arquivos de programas\Malwarebytes' Anti-Malware

2009-12-06 15:12:08 . 2009-12-03 18:13:56 19160 ----a-w- C:\WINDOWS\system32\drivers\mbam.sys

2009-12-05 17:01:35 . 2009-12-05 17:01:43 -------- d-----w- C:\Arquivos de programas\Arquivos comuns\DVDVideoSoft

2009-12-05 17:01:35 . 2009-12-05 17:01:35 -------- d-----w- C:\Arquivos de programas\DVDVideoSoft

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-24 20:21:21 . 2009-09-21 18:11:29 -------- d-----w- C:\Documents and Settings\User\Dados de aplicativos\HPAppData

2009-12-24 14:12:38 . 2008-05-14 17:55:55 -------- d-----w- C:\Arquivos de programas\AVG

2009-12-24 14:12:34 . 2008-05-14 17:55:57 360584 ----a-w- C:\WINDOWS\system32\drivers\avgtdix.sys

2009-12-24 14:12:33 . 2008-05-14 17:55:57 333192 ----a-w- C:\WINDOWS\system32\drivers\avgldx86.sys

2009-12-24 14:12:33 . 2007-08-03 16:51:35 28424 ----a-w- C:\WINDOWS\system32\drivers\avgmfx86.sys

2009-12-24 14:12:28 . 2008-05-14 17:55:57 12464 ----a-w- C:\WINDOWS\system32\avgrsstx.dll

2009-12-22 02:53:00 . 2008-06-25 19:14:00 -------- d-----w- C:\Documents and Settings\User\Dados de aplicativos\uTorrent

2009-12-09 13:27:32 . 2008-07-21 14:06:50 -------- d-----w- C:\Documents and Settings\All Users\Dados de aplicativos\GbPlugin

2009-12-09 13:27:28 . 2008-07-21 14:06:50 -------- d-----w- C:\Arquivos de programas\GbPlugin

2009-12-07 17:30:22 . 2009-02-10 14:13:54 30752 ----a-w- C:\WINDOWS\system32\drivers\gbpkm.sys

2009-12-06 15:11:31 . 2008-11-05 20:44:49 4844296 ----a-w- C:\mbam-setup.exe

2009-11-14 17:26:12 . 2009-11-14 17:26:12 98304 ----a-w- C:\WINDOWS\W2BNEUnin.exe

2009-11-14 17:26:12 . 2009-11-14 17:26:12 2829 ----a-w- C:\WINDOWS\W2BNEUnin.pif

2009-11-14 17:26:12 . 2009-11-14 17:25:59 21355 ----a-w- C:\WINDOWS\W2BNEUnin.dat

2009-11-14 03:25:01 . 2009-11-14 03:25:01 -------- d-----w- C:\Arquivos de programas\DAEMON Tools Lite

2009-11-14 03:21:10 . 2009-11-14 03:21:09 717296 ----a-w- C:\WINDOWS\system32\drivers\sptd.sys

2009-11-14 03:21:05 . 2009-11-14 03:21:05 -------- d-----w- C:\Documents and Settings\User\Dados de aplicativos\DAEMON Tools

2009-11-07 15:03:19 . 2009-09-25 11:15:04 -------- d-----w- C:\Arquivos de programas\Megacubo

2009-11-05 01:48:46 . 2009-07-15 22:20:26 -------- d-----w- C:\Arquivos de programas\Messenger Plus! Live

2009-10-31 02:17:00 . 2009-10-31 02:17:12 411368 ----a-w- C:\WINDOWS\system32\deploytk.dll

2009-10-31 02:16:58 . 2008-07-02 18:18:27 -------- d-----w- C:\Arquivos de programas\Java

2009-10-31 02:16:48 . 2009-10-31 02:16:48 152576 ----a-w- C:\Documents and Settings\User\Dados de aplicativos\Sun\Java\jre1.6.0_16\lzma.dll

2009-10-18 11:28:56 . 2001-09-28 12:00:00 72098 ----a-w- C:\WINDOWS\system32\perfc016.dat

2009-10-18 11:28:56 . 2001-09-28 12:00:00 436668 ----a-w- C:\WINDOWS\system32\perfh016.dat

2009-10-11 01:33:58 . 2009-10-11 01:33:58 1034 ----a-w- C:\WINDOWS\system32\unins000.dat

2009-10-11 01:33:52 . 2009-10-11 01:33:58 695578 ----a-w- C:\WINDOWS\system32\unins000.exe

2008-06-23 18:42:38 . 2008-06-23 18:42:38 7726360 ----a-w- C:\Arquivos de programas\Google_Earth_CZXV.exe

.

((((((((((((((((((((((((((((( SnapShot@2009-12-24_22.05.09 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-12-25 16:57:22 . 2009-12-25 16:57:22 16384 C:\WINDOWS\Temp\Perflib_Perfdata_578.dat

+ 2007-04-17 01:45:20 . 2009-08-06 21:24:10 44768 C:\WINDOWS\system32\wups2.dll

+ 2007-08-03 16:35:19 . 2009-08-06 21:24:10 35552 C:\WINDOWS\system32\wups.dll

+ 2007-08-03 16:35:19 . 2009-08-06 21:24:06 53472 C:\WINDOWS\system32\wuauclt.exe

+ 2009-12-24 22:07:11 . 2009-08-06 21:24:10 44768 C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.4.7600.226\wups2.dll

+ 2009-12-24 22:07:11 . 2009-08-06 21:24:10 35552 C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.4.7600.226\wups.dll

+ 2007-08-03 16:35:19 . 2009-08-06 21:24:10 35552 C:\WINDOWS\system32\dllcache\wups.dll

+ 2007-08-03 16:35:19 . 2009-08-06 21:24:06 53472 C:\WINDOWS\system32\dllcache\wuauclt.exe

+ 2004-08-04 03:45:22 . 2009-08-06 21:24:04 96480 C:\WINDOWS\system32\dllcache\cdm.dll

+ 2004-08-04 03:45:22 . 2009-08-06 21:24:04 96480 C:\WINDOWS\system32\cdm.dll

+ 2007-08-03 16:35:20 . 2009-08-06 21:24:18 209632 C:\WINDOWS\system32\wuweb.dll

+ 2007-08-03 16:35:20 . 2009-08-06 21:24:18 327896 C:\WINDOWS\system32\wucltui.dll

+ 2007-08-03 16:35:19 . 2009-08-06 21:23:54 575704 C:\WINDOWS\system32\wuapi.dll

+ 2007-08-03 16:35:20 . 2009-08-06 21:24:18 209632 C:\WINDOWS\system32\dllcache\wuweb.dll

+ 2007-08-03 16:35:20 . 2009-08-06 21:24:18 327896 C:\WINDOWS\system32\dllcache\wucltui.dll

+ 2007-08-03 16:35:19 . 2009-08-06 21:23:54 575704 C:\WINDOWS\system32\dllcache\wuapi.dll

+ 2007-08-03 16:35:19 . 2009-08-06 21:23:46 1929952 C:\WINDOWS\system32\wuaueng.dll

+ 2007-08-03 16:35:19 . 2009-08-06 21:23:46 1929952 C:\WINDOWS\system32\dllcache\wuaueng.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "C:\Arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-11-25 15:01:54 1230080]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]

2009-11-25 15:01:54 1230080 ----a-w- C:\Arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "C:\Arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-11-25 15:01:54 1230080]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "C:\Arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-11-25 15:01:54 1230080]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-25 13:21:59 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SkyTel"="SkyTel.EXE" [2006-05-16 10:04:26 2879488]

"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 10:54:36 16116224]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 13:50:42 155648]

"GrooveMonitor"="C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 03:47:42 31016]

"CorelDRAW Graphics Suite 11b"="C:\Arquivos de programas\Corel\Corel Graphics 12\Languages\BR\Programs\Registration.exe" [2003-11-28 04:26:34 729088]

"SunJavaUpdateSched"="C:\Arquivos de programas\Java\jre6\bin\jusched.exe" [2009-10-31 02:17:01 149280]

"EKIJ5000StatusMonitor"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe" [2008-02-15 08:03:10 1052672]

"TkBellExe"="C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2008-11-26 18:34:34 185872]

"Adobe Reader Speed Launcher"="C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 03:04:34 39792]

"QuickTime Task"="C:\Arquivos de programas\QuickTime\qttask.exe" [2009-04-06 17:27:55 413696]

"HP Component Manager"="C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 11:38:42 241664]

"HP Software Update"="C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 19:24:20 54840]

"nwiz"="C:\Arquivos de programas\NVIDIA Corporation\nView\nwiz.exe" [2009-08-13 02:40:58 1657376]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2009-08-17 06:03:00 86016]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2009-08-17 06:03:00 13877248]

"AVG9_TRAY"="C:\ARQUIV~1\AVG\AVG9\avgtray.exe" [2009-12-24 14:12:11 2033432]

C:\Documents and Settings\User\Menu Iniciar\Programas\Inicializar\

Recorte de tela e Iniciador do OneNote 2007.lnk - C:\Arquivos de programas\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\

HP Digital Imaging Monitor.lnk - C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]

2009-12-07 17:31:28 318240 ----a-w- C:\Arquivos de programas\GbPlugin\gbieh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-12-24 14:12:28 12464 ----a-w- C:\WINDOWS\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

2008-07-24 15:02:06 490952 ----a-w- C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wuauserv"=2 (0x2)

"wscsvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"C:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"C:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"C:\\Arquivos de programas\\Arquivos comuns\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=

"C:\\Arquivos de programas\\Infogrames\\Grand Prix 4\\GP4.exe"=

"C:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=

"C:\\WINDOWS\\system32\\dplaysvr.exe"=

"C:\\Arquivos de programas\\MiniRacingOnline\\MiniRacingOnLine.exe"=

"C:\\Arquivos de programas\\Autodesk\\3dsMax8\\3dsmax.exe"=

"C:\\Arquivos de programas\\Autodesk\\backburner\\monitor.exe"=

"C:\\Arquivos de programas\\Autodesk\\backburner\\manager.exe"=

"C:\\Arquivos de programas\\Autodesk\\backburner\\server.exe"=

"C:\\Arquivos de programas\\Windows Media Player\\wmplayer.exe"=

"E:\\Alan\\Skulltag\\Skulltag.exe"=

"E:\\Alan\\Skulltag\\Idese.exe"=

"E:\\Alan\\Skulltag\\Rcon_utility.exe"=

"C:\\WINDOWS\\system32\\PnkBstrA.exe"=

"C:\\WINDOWS\\system32\\PnkBstrB.exe"=

"C:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"C:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"C:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"C:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"C:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"C:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"C:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"C:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"C:\\Arquivos de programas\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"C:\\Arquivos de programas\\Megacubo\\megacubo.exe"=

"C:\\Arquivos de programas\\AVG\\AVG9\\avgupd.exe"=

"C:\\Arquivos de programas\\AVG\\AVG9\\avgnsx.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server

"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server

"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server

"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R0 GbpKm;Gbp KernelMode;C:\WINDOWS\system32\drivers\gbpkm.sys [10/2/2009 12:13:54 30752]

R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\drivers\avgldx86.sys [14/5/2008 15:55:57 333192]

R1 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\drivers\avgtdix.sys [14/5/2008 15:55:57 360584]

R2 avg9wd;AVG Free WatchDog;C:\Arquivos de programas\AVG\AVG9\avgwdsvc.exe [24/12/2009 12:12:09 285392]

R2 GbpSv;Gbp Service;C:\ARQUIV~1\GbPlugin\GbpSv.exe [21/7/2008 12:07:01 54048]

R2 KodakSvc;Kodak AiO Device Service;C:\Arquivos de programas\Kodak\Printer\Center\KodakSvc.exe [28/2/2008 17:57:24 18944]

S0 sptd;sptd;C:\WINDOWS\system32\drivers\sptd.sys [14/11/2009 01:21:09 717296]

S2 dycgadcv;Update Monitor;C:\WINDOWS\system32\svchost.exe -k netsvcs [4/8/2004 01:45:44 14336]

S2 gaipiosg;jvykofam;C:\WINDOWS\system32\svchost.exe -k netsvcs [4/8/2004 01:45:44 14336]

S2 izabvvco;Update Manager;C:\WINDOWS\system32\svchost.exe -k netsvcs [4/8/2004 01:45:44 14336]

S2 ovaine;Helper Task;C:\WINDOWS\system32\svchost.exe -k netsvcs [4/8/2004 01:45:44 14336]

S2 rkjks;Shell Server;C:\WINDOWS\system32\svchost.exe -k netsvcs [4/8/2004 01:45:44 14336]

S2 wgiid;Update Microsoft;C:\WINDOWS\system32\svchost.exe -k netsvcs [4/8/2004 01:45:44 14336]

S3 MEMSWEEP2;MEMSWEEP2;\??\C:\WINDOWS\system32\F.tmp --> C:\WINDOWS\system32\F.tmp [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

HPService REG_MULTI_SZ HPSLPSVC

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.terra.com.br/

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

mStart Page = hxxp://www.google.com

uInternet Connection Wizard,ShellNext = hxxp://www.terra.com.br/

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xportar para o Microsoft Excel - C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - C:\Arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

FF - ProfilePath - C:\Documents and Settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\cq7srg4b.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/firefox?client=firefox-a&rls=org.mozilla:pt-BR:official

FF - prefs.js: keyword.URL - hxxp://br.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_br&p=

FF - plugin: C:\Arquivos de programas\Mozilla Firefox\plugins\npzylomgamesplayer.dll

FF - plugin: C:\Arquivos de programas\Unity\WebPlayer\loader\npUnity3D32.dll

FF - plugin: C:\Documents and Settings\All Users\Dados de aplicativos\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll

FF - plugin: C:\Documents and Settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\cq7srg4b.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll

FF - plugin: C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll

---- FIREFOX POLICIES ----

C:\Arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-25 15:07:49

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]

"ImagePath"="\??\C:\WINDOWS\system32\F.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dycgadcv]

"ServiceDll"="C:\WINDOWS\system32\phipyr.dll"

--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaipiosg]

"ServiceDll"="C:\WINDOWS\system32\phipyr.dll"

--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\izabvvco]

"ServiceDll"="C:\WINDOWS\system32\phipyr.dll"

--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ovaine]

"ServiceDll"="C:\WINDOWS\system32\phipyr.dll"

--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rkjks]

"ServiceDll"="C:\WINDOWS\system32\phipyr.dll"

--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wgiid]

"ServiceDll"="C:\WINDOWS\system32\phipyr.dll"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(736)

C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll

.

Tempo para conclusão: 2009-12-25 15:08:57

ComboFix-quarantined-files.txt 2009-12-25 17:08:56

ComboFix2.txt 2009-12-24 22:08:47

Pré-execução: 12 pasta(s) 82.774.323.200 bytes disponíveis

Pós execução: 14 pasta(s) 82.766.143.488 bytes disponíveis

- - End Of File - - CF3027FF3DB0606F4CAE5289C859427C

Acredito ser esse o mais atual.

Por enquanto o computador está melhor, não está acontecendo a lentidão e os erros de antes, e os programas estão abrindo. Aquele círculo com G com algum aviso sobre Google não apareceu mais.

Power Max · Dezembro 25, 2009

:seta: Abra o HijackThis, clique em Do a system scan only, marque a entrada abaixo e clique em Fix checked:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

_________________________________________

:seta: Selecione o texto dentro do Quote (caixa branca abaixo) e copie para o Bloco de notas. Salve-o como CFScript.txt

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000000

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 1 (0x0)

Driver::

dycgadcv

gaipiosg

izabvvco

ovaine

rkjks

wgiid

NetSvc::

dycgadcv

gaipiosg

izabvvco

ovaine

rkjks

wgiid

Arraste o CFScript.txt para o ComboFix conforme a imagem abaixo:

Se solicitado pressione "Enter" para iniciar o processo de remoção;

Não use o mouse nem o teclado quando o ComboFix estiver rodando.

Quando terminar, será gerado um log, que estará em C:\ComboFix.txt

Obs: Se o Combofix não reiniciar seu computador automaticamente, faça-o manualmente.

________________________________________

:seta: Baixe e execute este programa abaixo para desativar o Bonjour (que é um item desnecessário e que normalmente deixa o PC mais lento):

http://download.gizmo5.com/jasmine/TurnOffBonjour.exe

_________________________________________

:seta: Siga, por gentileza, as dicas deste tutorial para fazer um escaneamento de seu PC pelo Nod32 Online:

'>http://dicasetutoriaisparapc.blogspot.com/2008/09/tutorial-do-antivirus-nod32-online.html"]Tutorial do antivirus Nod32 Online

Após o término do escaneamento será gerado um relatório (log) que estará no seguinte local do seu computador:

C:\Arquivos de programas\Eset\Eset Online Scanner\log.txt

Na sua próxima resposta poste este log do Nod32 Online juntamente com o log que estará em C:\ComboFix.txt e um novo log do Hijackthis e nos diga, por gentileza, como está o seu PC após seguir estes procedimentos.

Ficamos no aguardo de sua resposta.

José Enésio · Dezembro 26, 2009

Olá, vou aqui postar o log do ComboFix pois já ele já foi feito, e aproveitar para dizer que descobri qual era a mensagem Google que aparecia:

Algo como "A Google bloqueou um outro programa que tentou alterar as suas configurações de pesquisa padrão"

Log do ComboFix:

ComboFix 09-12-26.01 - User 26/12/2009 20:54:20.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2047.1476 [GMT -2:00]

Executando de: C:\KomboFix.exe

Comandos utilizados :: C:\CFScript.txt

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

.

ADS - drivers: deleted 204 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Execuções precedente -------

.

c:\arquivos de programas\Ask.com

c:\arquivos de programas\Ask.com\config.xml

c:\arquivos de programas\Ask.com\mupcfg.xml

c:\arquivos de programas\Ask.com\SaUpdate.exe

c:\arquivos de programas\Ask.com\UpdateTask.exe

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_DYCGADCV

-------\Legacy_GAIPIOSG

-------\Legacy_IZABVVCO

-------\Legacy_OVAINE

-------\Legacy_RKJKS

-------\Legacy_WGIID

-------\Service_dycgadcv

-------\Service_gaipiosg

-------\Service_izabvvco

-------\Service_ovaine

-------\Service_rkjks

-------\Service_wgiid

(((((((((((((((( Arquivos/Ficheiros criados de 2009-11-26 to 2009-12-26 ))))))))))))))))))))))))))))

.

2009-12-26 22:50 . 2009-12-26 22:53 -------- d-----w- C:\KomboFix5804K

2009-12-26 12:09 . 2009-12-26 12:09 -------- d-----w- c:\documents and settings\User\Dados de aplicativos\CyberLink

2009-12-25 17:16 . 2009-12-25 17:16 77312 ----a-w- C:\mbr.exe

2009-12-25 17:03 . 2009-12-26 22:54 12568 ----a-w- c:\windows\system32\drivers\PROCEXP113.SYS

2009-12-25 16:55 . 2009-12-25 17:03 -------- d-----w- C:\KomboFix

2009-12-25 16:48 . 2009-12-25 16:48 -------- d-----w- c:\arquivos de programas\Sophos

2009-12-25 16:48 . 2009-12-25 16:48 -------- d-----w- C:\ferramentas remoção

2009-12-24 21:48 . 2009-12-24 21:48 -------- d-----w- c:\documents and settings\User\Dados de aplicativos\AVG9

2009-12-24 21:45 . 2009-12-26 22:53 3866444 ----a-r- C:\KomboFix.exe

2009-12-24 15:50 . 2009-12-24 14:12 4043032 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg9\update\backup\avgui.exe

2009-12-24 15:50 . 2009-12-24 14:12 3776280 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg9\update\backup\setup.exe

2009-12-24 15:50 . 2009-12-24 14:12 2352920 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg9\update\backup\avgresf.dll

2009-12-24 15:50 . 2009-12-24 14:12 3967256 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg9\update\backup\avgcorex.dll

2009-12-24 15:50 . 2009-12-24 14:12 916248 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\avg9\update\backup\avgcfgx.dll

2009-12-24 14:18 . 2009-11-25 15:01 1230080 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\AVG Security Toolbar\IEToolbar.dll

2009-12-24 14:12 . 2009-12-24 15:44 -------- d-----w- C:\$AVG

2009-12-24 14:12 . 2009-12-24 14:12 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\AVG Security Toolbar

2009-12-24 14:12 . 2009-12-24 14:12 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\avg9

2009-12-06 15:12 . 2009-12-03 18:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-12-06 15:12 . 2009-12-06 15:12 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2009-12-06 15:12 . 2009-12-03 18:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-12-05 17:01 . 2009-12-05 17:01 -------- d-----w- c:\arquivos de programas\Arquivos comuns\DVDVideoSoft

2009-12-05 17:01 . 2009-12-05 17:01 -------- d-----w- c:\arquivos de programas\DVDVideoSoft

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-26 14:27 . 2009-09-21 18:11 -------- d-----w- c:\documents and settings\User\Dados de aplicativos\HPAppData

2009-12-24 14:12 . 2008-05-14 17:55 -------- d-----w- c:\arquivos de programas\AVG

2009-12-24 14:12 . 2008-05-14 17:55 360584 ----a-w- c:\windows\system32\drivers\avgtdix.sys

2009-12-24 14:12 . 2008-05-14 17:55 333192 ----a-w- c:\windows\system32\drivers\avgldx86.sys

2009-12-24 14:12 . 2007-08-03 16:51 28424 ----a-w- c:\windows\system32\drivers\avgmfx86.sys

2009-12-24 14:12 . 2008-05-14 17:55 12464 ----a-w- c:\windows\system32\avgrsstx.dll

2009-12-22 02:53 . 2008-06-25 19:14 -------- d-----w- c:\documents and settings\User\Dados de aplicativos\uTorrent

2009-12-09 13:27 . 2008-07-21 14:06 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

2009-12-09 13:27 . 2008-07-21 14:06 -------- d-----w- c:\arquivos de programas\GbPlugin

2009-12-07 17:30 . 2009-02-10 14:13 30752 ----a-w- c:\windows\system32\drivers\gbpkm.sys

2009-12-06 15:11 . 2008-11-05 20:44 4844296 ----a-w- C:\mbam-setup.exe

2009-11-14 17:26 . 2009-11-14 17:26 98304 ----a-w- c:\windows\W2BNEUnin.exe

2009-11-14 17:26 . 2009-11-14 17:26 2829 ----a-w- c:\windows\W2BNEUnin.pif

2009-11-14 17:26 . 2009-11-14 17:25 21355 ----a-w- c:\windows\W2BNEUnin.dat

2009-11-14 03:25 . 2009-11-14 03:25 -------- d-----w- c:\arquivos de programas\DAEMON Tools Lite

2009-11-14 03:21 . 2009-11-14 03:21 717296 ----a-w- c:\windows\system32\drivers\sptd.sys

2009-11-14 03:21 . 2009-11-14 03:21 -------- d-----w- c:\documents and settings\User\Dados de aplicativos\DAEMON Tools

2009-11-07 15:03 . 2009-09-25 11:15 -------- d-----w- c:\arquivos de programas\Megacubo

2009-11-05 01:48 . 2009-07-15 22:20 -------- d-----w- c:\arquivos de programas\Messenger Plus! Live

2009-10-31 02:17 . 2009-10-31 02:17 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-10-31 02:16 . 2008-07-02 18:18 -------- d-----w- c:\arquivos de programas\Java

2009-10-31 02:16 . 2009-10-31 02:16 152576 ----a-w- c:\documents and settings\User\Dados de aplicativos\Sun\Java\jre1.6.0_16\lzma.dll

2009-10-18 11:28 . 2001-09-28 12:00 72098 ----a-w- c:\windows\system32\perfc016.dat

2009-10-18 11:28 . 2001-09-28 12:00 436668 ----a-w- c:\windows\system32\perfh016.dat

2009-10-11 01:33 . 2009-10-11 01:33 1034 ----a-w- c:\windows\system32\unins000.dat

2009-10-11 01:33 . 2009-10-11 01:33 695578 ----a-w- c:\windows\system32\unins000.exe

2008-06-23 18:42 . 2008-06-23 18:42 7726360 ----a-w- c:\arquivos de programas\Google_Earth_CZXV.exe

.

((((((((((((((((((((((((((((( SnapShot@2009-12-24_22.05.09 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-12-26 22:59 . 2009-12-26 22:59 16384 c:\windows\Temp\Perflib_Perfdata_4ec.dat

+ 2007-04-17 01:45 . 2009-08-06 21:24 44768 c:\windows\system32\wups2.dll

+ 2007-08-03 16:35 . 2009-08-06 21:24 35552 c:\windows\system32\wups.dll

+ 2007-08-03 16:35 . 2009-08-06 21:24 53472 c:\windows\system32\wuauclt.exe

+ 2009-12-24 22:07 . 2009-08-06 21:24 44768 c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.4.7600.226\wups2.dll

+ 2009-12-24 22:07 . 2009-08-06 21:24 35552 c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.4.7600.226\wups.dll

+ 2007-08-03 16:35 . 2009-08-06 21:24 35552 c:\windows\system32\dllcache\wups.dll

+ 2007-08-03 16:35 . 2009-08-06 21:24 53472 c:\windows\system32\dllcache\wuauclt.exe

+ 2004-08-04 03:45 . 2009-08-06 21:24 96480 c:\windows\system32\dllcache\cdm.dll

+ 2004-08-04 03:45 . 2009-08-06 21:24 96480 c:\windows\system32\cdm.dll

+ 2007-08-03 16:35 . 2009-08-06 21:24 209632 c:\windows\system32\wuweb.dll

+ 2007-08-03 16:35 . 2009-08-06 21:24 327896 c:\windows\system32\wucltui.dll

+ 2007-08-03 16:35 . 2009-08-06 21:23 575704 c:\windows\system32\wuapi.dll

+ 2007-08-03 16:35 . 2009-08-06 21:24 209632 c:\windows\system32\dllcache\wuweb.dll

+ 2007-08-03 16:35 . 2009-08-06 21:24 327896 c:\windows\system32\dllcache\wucltui.dll

+ 2007-08-03 16:35 . 2009-08-06 21:23 575704 c:\windows\system32\dllcache\wuapi.dll

- 2009-10-26 04:11 . 2009-01-22 17:28 290816 c:\windows\system32\decdll.dll

+ 2009-10-26 04:11 . 2009-01-22 16:28 290816 c:\windows\system32\decdll.dll

+ 2007-08-03 16:35 . 2009-08-06 21:23 1929952 c:\windows\system32\wuaueng.dll

+ 2007-08-03 16:35 . 2009-08-06 21:23 1929952 c:\windows\system32\dllcache\wuaueng.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]

2009-11-25 15:01 1230080 ----a-w- c:\arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-25 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]

"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 16116224]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"CorelDRAW Graphics Suite 11b"="c:\arquivos de programas\Corel\Corel Graphics 12\Languages\BR\Programs\Registration.exe" [2003-11-28 729088]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2009-10-31 149280]

"EKIJ5000StatusMonitor"="c:\windows\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe" [2008-02-15 1052672]

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2008-11-26 185872]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"QuickTime Task"="c:\arquivos de programas\QuickTime\qttask.exe" [2009-04-06 413696]

"HP Component Manager"="c:\arquivos de programas\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]

"HP Software Update"="c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

"nwiz"="c:\arquivos de programas\NVIDIA Corporation\nView\nwiz.exe" [2009-08-13 1657376]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-08-17 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-17 13877248]

"AVG9_TRAY"="c:\arquiv~1\AVG\AVG9\avgtray.exe" [2009-12-24 2033432]

c:\documents and settings\User\Menu Iniciar\Programas\Inicializar\

Recorte de tela e Iniciador do OneNote 2007.lnk - c:\arquivos de programas\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

HP Digital Imaging Monitor.lnk - c:\arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]

2009-12-07 17:31 318240 ----a-w- c:\arquivos de programas\GbPlugin\gbieh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-12-24 14:12 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

2008-07-24 15:02 490952 ----a-w- c:\arquivos de programas\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wuauserv"=2 (0x2)

"wscsvc"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\Arquivos comuns\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=

"c:\\Arquivos de programas\\Infogrames\\Grand Prix 4\\GP4.exe"=

"c:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=

"c:\\WINDOWS\\system32\\dplaysvr.exe"=

"c:\\Arquivos de programas\\MiniRacingOnline\\MiniRacingOnLine.exe"=

"c:\\Arquivos de programas\\Autodesk\\3dsMax8\\3dsmax.exe"=

"c:\\Arquivos de programas\\Autodesk\\backburner\\monitor.exe"=

"c:\\Arquivos de programas\\Autodesk\\backburner\\manager.exe"=

"c:\\Arquivos de programas\\Autodesk\\backburner\\server.exe"=

"c:\\Arquivos de programas\\Windows Media Player\\wmplayer.exe"=

"e:\\Alan\\Skulltag\\Skulltag.exe"=

"e:\\Alan\\Skulltag\\Idese.exe"=

"e:\\Alan\\Skulltag\\Rcon_utility.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Arquivos de programas\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Arquivos de programas\\Megacubo\\megacubo.exe"=

"c:\\Arquivos de programas\\AVG\\AVG9\\avgupd.exe"=

"c:\\Arquivos de programas\\AVG\\AVG9\\avgnsx.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server

"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server

"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server

"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [10/2/2009 12:13 30752]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14/11/2009 01:21 717296]

R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [14/5/2008 15:55 333192]

R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [14/5/2008 15:55 360584]

R2 avg9wd;AVG Free WatchDog;c:\arquivos de programas\AVG\AVG9\avgwdsvc.exe [24/12/2009 12:12 285392]

R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [21/7/2008 12:07 54048]

R2 KodakSvc;Kodak AiO Device Service;c:\arquivos de programas\Kodak\Printer\Center\KodakSvc.exe [28/2/2008 17:57 18944]

S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\F.tmp --> c:\windows\system32\F.tmp [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

HPService REG_MULTI_SZ HPSLPSVC

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.terra.com.br/

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

mDefault_Search_URL = hxxp://www.google.com/ie

mStart Page = hxxp://www.google.com

uInternet Connection Wizard,ShellNext = hxxp://www.terra.com.br/

uInternet Settings,ProxyOverride = *.local

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

mSearchAssistant = hxxp://www.google.com/ie

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

FF - ProfilePath - c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\cq7srg4b.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/firefox?client=firefox-a&rls=org.mozilla:pt-BR:official

FF - prefs.js: keyword.URL - hxxp://br.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_br&p=

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\npzylomgamesplayer.dll

FF - plugin: c:\arquivos de programas\Unity\WebPlayer\loader\npUnity3D32.dll

FF - plugin: c:\documents and settings\All Users\Dados de aplicativos\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll

FF - plugin: c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\cq7srg4b.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-26 21:00

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89E541F8]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xb80ecfc3

\Driver\ACPI -> ACPI.sys @ 0xb7e67cb8

\Driver\atapi -> 0x89e541f8

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058236c

ParseProcedure -> ntkrnlpa.exe @ 0x8058146a

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058236c

ParseProcedure -> ntkrnlpa.exe @ 0x8058146a

NDIS: Attansic L2 Fast Ethernet 10/100 Base-T Controller -> SendCompleteHandler -> NDIS.sys @ 0xb7d06ba0

PacketIndicateHandler -> NDIS.sys @ 0xb7d13b21

SendHandler -> NDIS.sys @ 0xb7cf187b

Warning: possible MBR rootkit infection !

user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]

"ImagePath"="\??\c:\windows\system32\F.tmp"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(772)

c:\arquivos de programas\GBPLUGIN\gbieh.dll

- - - - - - - > 'explorer.exe'(3140)

c:\arquivos de programas\GBPLUGIN\gbieh.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\windows\system32\nvsvc32.exe

c:\arquivos de programas\AVG\AVG9\avgchsvx.exe

c:\arquivos de programas\AVG\AVG9\avgrsx.exe

c:\arquivos de programas\AVG\AVG9\avgcsrvx.exe

c:\arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

c:\arquivos de programas\Bonjour\mDNSResponder.exe

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\arquivos de programas\AVG\AVG9\avgnsx.exe

c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\windows\RTHDCPL.EXE

c:\arquivos de programas\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\RUNDLL32.EXE

c:\windows\system32\wscntfy.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

c:\arquivos de programas\HP\Digital Imaging\bin\hpqbam08.exe

c:\arquivos de programas\HP\Digital Imaging\bin\hpqgpc01.exe

.

**************************************************************************

.

Tempo para conclusão: 2009-12-26 21:03:26 - Máquina reiniciou

ComboFix-quarantined-files.txt 2009-12-26 23:03

ComboFix2.txt 2009-12-24 22:08

Pré-execução: 13 pasta(s) 82.794.258.432 bytes disponíveis

Pós execução: 15 pasta(s) 82.678.054.912 bytes disponíveis

- - End Of File - - 5301978CB684EAB20DC74A889F7EC957

Vou executar os dois últimos passos agora e em breve editarei este post com os logs do NOD32 e do HijackThis.

Uma coisa, não estou conseguindo baixar executáveis pelo Firefox... E o Photoshop também não está abrindo. Vou postar aqui primeiro o erro do download, depois o erro do Photoshop, em um PNG.

http://i49.tinypic.com/28r388g.png

Consigo baixar os arquivos pelo Internet Explorer, mas não consegui rodar o NOD32, eu tentei instalar o controle ActiveX mas no fim o quadro onde era para ser o scanner fica como não encontrado (quadrado branco com X vermelho no topo esquerdo).

Power Max · Dezembro 26, 2009

:seta: Poste um novo log do Hijackthis, por gentileza.

José Enésio · Dezembro 27, 2009

Logfile of HijackThis v1.99.1
Scan saved at 22:19:33, on 26/12/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\AVG\AVG9\avgchsvx.exe

C:\Arquivos de programas\AVG\AVG9\avgrsx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\AVG\AVG9\avgcsrvx.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Arquivos de programas\AVG\AVG9\avgwdsvc.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\Arquivos de programas\Kodak\printer\center\KodakSvc.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\AVG\AVG9\avgnsx.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\ARQUIV~1\AVG\AVG9\avgtray.exe

C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

C:\Arquivos de programas\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqbam08.exe

C:\Arquivos de programas\HP\Digital Imaging\bin\hpqgpc01.exe

C:\Arquivos de programas\Java\jre6\bin\jucheck.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.terra.com.br/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll

R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG9\avgssie.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dll

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Arquivos de programas\AVG\AVG9\Toolbar\IEToolbar.dll

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Arquivos de programas\Corel\Corel Graphics 12\Languages\BR\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=010610 serial=dr12crm-9723855-xhp lang=BP

O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\ARQUIV~1\ARQUIV~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [EKIJ5000StatusMonitor] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EKIJ5000MUI.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [nwiz] C:\Arquivos de programas\NVIDIA Corporation\nView\nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVG9_TRAY] C:\ARQUIV~1\AVG\AVG9\avgtray.exe

O4 - HKCU\..\Run: [swg] "C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\RunOnce: [shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5" -"http://a.kongregate.com/games/rpgd/mafia5/frame/1260738796248/?username=lozl&user_id=2526063&game_auth_token=5b7b4d1b3562b2cb6a4986ddf9522c5abbba0baed1a81029a15c47b6169ac46d"

O4 - Startup: Recorte de tela e Iniciador do OneNote 2007.lnk = C:\Arquivos de programas\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Seleção HP Smart - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Arquivos de programas\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O10 - Unknown file in Winsock LSP: c:\arquivos de programas\bonjour\mdnsnsp.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG9\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: GbPluginBb - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe Version Cue CS3 - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe" -win32service (file missing)

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Arquivos de programas\AVG\AVG9\avgwdsvc.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallShield Licensing Service - Macrovision - C:\Arquivos de programas\Arquivos comuns\InstallShield Shared\Service\InstallShield Licensing Service.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Arquivos de programas\Java\jre6\bin\jqs.exe" -service -config "C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: Kodak AiO Device Service (KodakSvc) - Eastman Kodak Company - C:\Arquivos de programas\Kodak\printer\center\KodakSvc.exe

O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Arquivos de programas\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Reiniciei o computador e agora consigo executar o NOD32, irei fazer isso agora mesmo.

Power Max · Dezembro 27, 2009

Reiniciei o computador e agora consigo executar o NOD32, irei fazer isso agora mesmo.

:natal_smile: Que bom! Fico no aguardo do log dele, então.

José Enésio · Dezembro 27, 2009

ESETSmartInstaller@High as downloader log:
all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6211

# api_version=3.0.2

# EOSSerial=bcd46021ed80ba428970540bd9fff10f

# end=finished

# remove_checked=true

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2009-12-27 01:23:38

# local_time=2009-12-26 11:23:38 (-0300, Hora oficial do Brasil)

# country="Brazil"

# lang=1033

# osver=5.1.2600 NT Service Pack 2

# compatibility_mode=1024 16777175 100 0 0 0 0 0

# compatibility_mode=8192 67108863 100 0 0 0 0 0

# scanned=202542

# found=4

# cleaned=4

# scan_time=3237

C:\PenClean\PenClean.exe probably a variant of Win32/Spy.Agent trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Qoobox\Quarantine\C\Documents and Settings\User\Configurações locais\Temp\lvmkuh.tmp.vir a variant of Win32/Daonol.AO trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

C:\Qoobox\Quarantine\C\DOCUME~1\User\CONFIG~1\Temp\lvmkuh.tmp.vir a variant of Win32/Daonol.AO trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

E:\Alan\sc\Starcraft\BNet_Gateway_Editor.exe probably a variant of Win32/Spy.Agent trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

Aqui as coisas tão funcionando assim ultimamente, tem que reiniciar pra funcionar...

O PenClean realmente é um vírus? Eu sei que eu googlei uma ferramenta para limpar pen drives (já que eu sempre esqueço de pedir pro Tio Silas rsrsrs), e baixei essa.

Power Max · Dezembro 27, 2009

O PenClean realmente é um vírus?

:seta: O Penclean é um programa seguro, desde que você tenha baixado ele no site oficial, que é este abaixo:

https://dl.getdropbox.com/u/1035720/PenClean.zip

Se você baixou ele no site oficial, então esta detecção do Nod32 é só um falso-positivo (um engano por parte do Nod32), o que é comum acontecer quando se trata de ferramentas de remoção de malwares.

____________________________________

:seta: Exclua o log que está em C:\mbr.log

Execute novamente a ferramenta mbr.exe

O log ficará salvo em C:\mbr.log. Selecione, copie e cole o conteúdo deste log na sua próxima resposta.

____________________________________

:seta: Siga também, por gentileza as dicas deste tutorial para fazer uma limpeza de seu PC com o Spyware Doctor:

Tutorial do Spyware Doctor Starter Edition

Na sua próxima resposta poste este log do Spyware Doctor juntamente com o log que estará em C:\mbr.log e nos diga como está o seu Pc depois disto.

Mário Monteiro · Janeiro 27, 2010

Tópico Arquivado

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.

Arquivado

[Arquivado] PC lento e erros aleatórios do explorer

Recommended Posts

José Enésio 4

Compartilhar este post

Link para o post

Compartilhar em outros sites

Power Max 54

Compartilhar este post

Link para o post

Compartilhar em outros sites

José Enésio 4

Compartilhar este post

Link para o post

Compartilhar em outros sites

Power Max 54

Compartilhar este post

Link para o post

Compartilhar em outros sites

José Enésio 4

Compartilhar este post

Link para o post

Compartilhar em outros sites

Power Max 54

Compartilhar este post

Link para o post

Compartilhar em outros sites

José Enésio 4

Compartilhar este post

Link para o post

Compartilhar em outros sites

Power Max 54

Compartilhar este post

Link para o post

Compartilhar em outros sites

José Enésio 4

Compartilhar este post

Link para o post

Compartilhar em outros sites

Power Max 54

Compartilhar este post

Link para o post

Compartilhar em outros sites

José Enésio 4

Compartilhar este post

Link para o post

Compartilhar em outros sites

Power Max 54

Compartilhar este post

Link para o post

Compartilhar em outros sites

José Enésio 4

Compartilhar este post

Link para o post

Compartilhar em outros sites

Power Max 54

Compartilhar este post

Link para o post

Compartilhar em outros sites

José Enésio 4

Compartilhar este post

Link para o post

Compartilhar em outros sites

Power Max 54

Compartilhar este post

Link para o post

Compartilhar em outros sites

Mário Monteiro 179

Compartilhar este post

Link para o post

Compartilhar em outros sites

Pegar o nome do input text do formulário submetido

Codeigniter - Como enviar múltiplos e-mails com PHPmailer

Reutilizar contagem em SELECT

Fóruns

Tempo Real

Informação importante