[Resolvido!] Não consigo instalar AntiVirus!

[Bruna Garred 0]

Oi, tem uns 3 dias eu desinstalei o Avast pq meu pc tava muito lento e ele sempre alertava sobre um mesmo arquivo, eu mandava pra quarentena, limpava, mas depois voltava a alertar. Daí que estou tentando instalar outro antivirus e não dá, já tentei quase todos!!

p.s.: queria pedir desculpas pq abri um tópico há um tempo atras enão voltei pra ver a resposta, na verdade tive que chamar um tecnico, tava muito desesperada! Dessa vez, vou esperar, ok?! Obrigada!

 

Aqui tá o HiJackThis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 03:48:49, on 3/1/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\alg.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

C:\WINDOWS\system32\notepad.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://br.msn.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\RunOnce: [AvgUninstallURL] cmd.exe /c start http://www.avg.es/es.special-uninstallation-feedback-appf?lic=OQBBAFYARgBSAEUARQAtAFYAMABLAE0AQwAtAEUAOQBWAFUAVw"&"inst=NwA5AC0AOAA4ADYA"&"prod=90"&"ver=9.0.716

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5EF72791-3FA0-4D70-A8EB-25E6C165751D}: NameServer = 201.10.120.2,201.10.128.3

O17 - HKLM\System\CCS\Services\Tcpip\..\{C7CB4371-0B18-43CE-BE47-4E456E12F325}: NameServer = 201.10.1.3 201.10.128.2

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL

O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

 

--

End of file - 6244 bytes

[Power Max 54]

:) Oi Bruna!

 

Siga estes procedimentos que te passei abaixo, por gentileza, nesta sequência em que eles estão:

 

:seta: Abra o HijackThis, clique em Do a system scan only, marque a entrada abaixo e clique em Fix checked:

 

O4 - HKLM\..\RunOnce: [AvgUninstallURL] cmd.exe /c start http://www.avg.es/es.special-uninstallation-feedback-appf?lic=OQBBAFYARgBSAEUARQ AtAFYAMABLAE0AQwAtAEUAOQBWAFUAVw"&"inst=NwA5AC0AOAA4ADYA"&"prod=90"&"ver=9.0.716

______________________________________

 

:seta: Siga as dicas deste tutorial para fazer uma limpeza de seu PC com o Findykill:

 

Tutorial do Findykill

 

O log do Findykill estará em C:\FindyKill.txt

_______________________________________

 

:seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

 

Faça o download do ComboFix

Salve-o no Desktop (área de trabalho).

* Desabilite as proteções residente de: antivírus, antispywares e firewall ( menos o do Windows! )

* Feche todas as janelas e execute a ferramenta.

* Ps: A execução, por comando, também é possível:

* Vá em Iniciar --> Executar --> Digite ou cole:

"%userprofile%\desktop\Combofix.exe" /killall

 

 

* Clique em Ok.

* Na solicitação: "Negação de garantia de software" --> Clique em Sim.

 

 

* Não possuindo o "'>http://support.microsoft.com/kb/307654/pt-br"]Console de Recuperação",aceite optar pela instalação do mesmo.

* Terminando,clique Sim ou Yes. --> Aguarde.

 

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

 

:!: Caso aconteça a notificação de: Aplicativo Win32 inválido ou alguma mensagem parecida com esta, delete a ferramenta ComboFix.exe e faça, novamente, seu download.

* Salve-a no Desktop,renomeada como: Kombo.exe

* Ps: Nomeie durante o salvamento,e não após salvá-la!

* Ps: Surgindo alguma mensagem de erro, rode o ComboFix.exe em "'>http://dicasetutoriaisparapc.blogspot.com/2009/11/ferramentas-para-reparar-o-modo-seguro.html"]Modo Seguro". <-- Link!

* Ps: Na presença de atividades rootkit,teremos a seguinte janela de notificação:

 

 

* Ps: Anote essas detecções, e dê o OK. Neste caso poste estas detecções que você terá anotado em sua próxima resposta juntamente com os logs pedidos.

* Ps: Para completar as remoções, talvez haja necessidade da ferramenta reiniciar o computador. <-- Aguarde!

* Ps: Para evitar problemas, siga todas as recomendações propostas.

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

 

* Abrir-se-á a janela Auto Scan. --> Aguarde!

* Para finalizar remoções, o ComboFix poderá reiniciar o computador.

* Se houver necessidade, digite a opção ( 1 ) --> Aperte Enter! --> Aguarde a conclusão!

* Durante o scan, evite manusear o mouse ou teclado! <-- Importante!

* Caso, por algum motivo de força maior, precise parar ou sair do ComboFix,tecle "N" ou "2" --> Aperte Enter.

<><><><><><><><><><><><>

 

Poste o log do Combofix que estará em C:\ComboFix.txt juntamente com o log do Findykill estará em C:\FindyKill.txt e um novo log do Hijackthis em sua próxima resposta e nos diga como está o seu PC depois disto.

 

Ficamos no aguardo.

[Bruna Garred 0]

Antonio, a entrada que você citou não está mais no hijackthis, posso continuar o processo ou tem que ser outro?

 

Passei o Hijackthis novamente:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:46:45, on 3/1/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\alg.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

C:\Arquivos de programas\Windows Media Player\wmplayer.exe

C:\Arquivos de programas\Last.fm\LastFM.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://br.msn.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5EF72791-3FA0-4D70-A8EB-25E6C165751D}: NameServer = 201.10.120.2,201.10.128.3

O17 - HKLM\System\CCS\Services\Tcpip\..\{C7CB4371-0B18-43CE-BE47-4E456E12F325}: NameServer = 201.10.128.2 201.10.120.2

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL

O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

 

--

End of file - 6039 bytes

[Power Max 54]

Antonio, a entrada que você citou não está mais no hijackthis, posso continuar o processo ou tem que ser outro?

:seta: Tudo bem, então continue com o restante dos procedimentos que te passei e poste os logs pedidos.

[Bruna Garred 0]

Ok! aí estão:

 

ComboFix 10-01-03.03 - XP 03/01/2010 21:09:43.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.479.70 [GMT -2:00]

Executando de: c:\documents and settings\XP\Desktop\ComboFix.exe

.

ADS - system32: deleted 2 bytes in 1 streams.

ADS - drivers: deleted 204 bytes in 1 streams.

 

(((((((((((((((( Arquivos/Ficheiros criados de 2009-12-03 to 2010-01-03 ))))))))))))))))))))))))))))

.

 

2010-01-03 21:41 . 2010-01-03 21:41 401720 ----a-w- C:\HiJackThis.exe

2010-01-03 05:16 . 2010-01-03 05:16 -------- d-----w- C:\$AVG

2010-01-03 05:14 . 2010-01-03 05:14 -------- d-----w- c:\arquivos de programas\AVG

2010-01-03 05:14 . 2010-01-03 05:45 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\avg9

2010-01-03 05:14 . 2010-01-03 05:55 -------- d-----w- c:\windows\SxsCaPendDel

2010-01-01 05:41 . 2010-01-01 05:41 -------- d-----w- c:\arquivos de programas\Arquivos comuns\SWF Studio

2010-01-01 05:05 . 2010-01-01 05:05 -------- d-sh--w- c:\windows\ftpcache

2009-12-16 06:16 . 2009-12-16 06:17 -------- d-----w- c:\arquivos de programas\Real Alternative

2009-12-14 19:09 . 2009-05-29 21:37 205824 ----a-w- c:\windows\system32\xvidvfw.dll

2009-12-14 19:09 . 2009-05-29 21:31 881664 ----a-w- c:\windows\system32\xvidcore.dll

2009-12-14 19:09 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll

2009-12-14 19:09 . 2009-12-11 18:00 85504 ----a-w- c:\windows\system32\ff_vfw.dll

2009-12-14 19:09 . 2009-12-14 19:09 -------- d-----w- c:\arquivos de programas\K-Lite Codec Pack

2009-12-13 06:32 . 2009-12-13 06:32 -------- d-----w- c:\documents and settings\XP\Dados de aplicativos\Media Player Classic

2009-12-13 06:30 . 2009-08-16 15:08 178176 ----a-w- c:\windows\system32\unrar.dll

2009-12-11 21:09 . 2003-03-18 19:20 1060864 ----a-w- c:\windows\system32\MFC71.dll

2009-12-11 21:09 . 2009-12-11 21:09 -------- d-----w- c:\arquivos de programas\Alwil Software

2009-12-11 21:01 . 2009-12-11 21:08 41099128 ----a-w- c:\arquivos de programas\setuppor.exe

2009-12-11 06:02 . 2009-12-11 06:03 -------- d-----w- c:\arquivos de programas\VDOWNLOADER

2009-12-11 00:15 . 2009-12-11 00:15 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache

2009-12-07 04:59 . 2009-12-07 05:03 -------- d-----w- c:\arquivos de programas\CCleaner

2009-12-05 20:36 . 2009-12-05 20:36 -------- d-----w- c:\documents and settings\XP\Dados de aplicativos\Sony

2009-12-05 20:36 . 2009-12-05 20:36 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Sony

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-03 22:54 . 2001-10-28 15:07 68190 ----a-w- c:\windows\system32\perfc016.dat

2010-01-03 22:54 . 2001-10-28 15:07 427986 ----a-w- c:\windows\system32\perfh016.dat

2010-01-01 05:41 . 2004-08-04 03:45 1386496 ----a-w- c:\windows\system32\msvbvm60.dll

2009-12-14 20:30 . 2009-11-27 22:15 -------- d-----w- c:\documents and settings\XP\Dados de aplicativos\Ahead

2009-12-11 20:57 . 2009-11-30 02:29 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

2009-12-11 20:57 . 2009-11-30 02:29 -------- d-----w- c:\arquivos de programas\GbPlugin

2009-12-08 00:51 . 2009-11-27 21:43 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-12-07 17:30 . 2009-11-30 02:29 30752 ----a-w- c:\windows\system32\drivers\gbpkm.sys

2009-12-03 01:38 . 2009-12-03 01:38 -------- d-----w- c:\documents and settings\XP\Dados de aplicativos\Apple Computer

2009-12-02 21:58 . 2009-12-02 21:58 -------- d-----w- c:\arquivos de programas\Sony

2009-12-02 21:58 . 2009-12-02 21:58 -------- d-----w- c:\arquivos de programas\Sony Ericsson

2009-12-02 21:53 . 2009-12-02 21:52 -------- d-----w- c:\arquivos de programas\QuickTime

2009-12-02 21:52 . 2009-12-02 21:52 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Apple Computer

2009-12-02 21:52 . 2009-12-02 21:52 -------- d-----w- c:\arquivos de programas\Apple Software Update

2009-12-02 21:52 . 2009-12-02 21:52 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Apple

2009-12-01 04:38 . 2009-12-01 04:08 -------- d-----w- c:\arquivos de programas\PhotoFiltre

2009-12-01 04:07 . 2009-11-30 02:19 -------- d-----w- c:\arquivos de programas\Java

2009-11-30 12:03 . 2009-11-27 21:49 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help

2009-11-30 02:19 . 2009-11-30 02:21 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-11-30 02:18 . 2009-11-30 02:18 152576 ----a-w- c:\documents and settings\XP\Dados de aplicativos\Sun\Java\jre1.6.0_17\lzma.dll

2009-11-30 02:15 . 2009-11-30 02:15 79488 ----a-w- c:\documents and settings\XP\Dados de aplicativos\Sun\Java\jre1.6.0_17\gtapi.dll

2009-11-28 13:57 . 2009-11-28 13:24 -------- d-----w- c:\arquivos de programas\Last.fm

2009-11-28 13:26 . 2009-11-28 13:26 96 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Last.fm\Client\uninst2.bat

2009-11-28 13:26 . 2009-11-28 13:26 683801 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Last.fm\Client\UninstWMP\unins000.exe

2009-11-28 13:26 . 2009-11-28 13:26 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Last.fm

2009-11-28 00:16 . 2009-11-27 22:41 -------- d-----w- c:\arquivos de programas\Microsoft Silverlight

2009-11-28 00:04 . 2009-11-28 00:04 -------- d-----w- c:\arquivos de programas\Microsoft

2009-11-28 00:04 . 2009-11-28 00:04 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2009-11-27 23:50 . 2009-11-27 23:50 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

2009-11-27 23:36 . 2009-11-27 23:36 -------- d-----w- c:\arquivos de programas\VIA Technologies, INC

2009-11-27 22:20 . 2009-11-27 22:20 0 ----a-w- c:\windows\nsreg.dat

2009-11-27 22:14 . 2009-11-27 22:12 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Ahead

2009-11-27 22:12 . 2009-11-27 22:12 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Nero

2009-11-27 22:12 . 2009-11-27 22:12 -------- d-----w- c:\arquivos de programas\Nero

2009-11-27 21:57 . 2009-11-27 21:57 -------- d-----w- c:\arquivos de programas\Microsoft Works

2009-11-27 21:57 . 2009-11-27 21:57 -------- d-----w- c:\arquivos de programas\MSBuild

2009-11-27 21:53 . 2009-11-27 21:27 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-11-27 21:45 . 2009-11-27 21:45 -------- d-----w- c:\documents and settings\XP\Dados de aplicativos\UltraVNC

2009-11-27 21:42 . 2009-11-27 21:42 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe

2009-11-27 21:29 . 2009-11-27 21:29 -------- d-----w- c:\arquivos de programas\microsoft frontpage

2009-11-27 21:26 . 2009-11-27 21:26 -------- d-----w- c:\arquivos de programas\Serviços on-line

2009-11-27 21:26 . 2009-11-27 21:26 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Serviços

2009-11-27 21:24 . 2009-11-27 21:24 21844 ----a-w- c:\windows\system32\emptyregdb.dat

2004-08-04 03:45 . 2004-08-04 03:45 169176 --sha-r- c:\windows\system32\ikhaj.dll

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 147456]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2009-11-30 149280]

"QuickTime Task"="c:\arquivos de programas\QuickTime\QTTask.exe" [2007-10-19 286720]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Adobe Reader Speed Launch.lnk - c:\arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]

Adobe Reader Synchronizer.lnk - c:\arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]

2009-12-07 17:31 318240 ----a-w- c:\arquivos de programas\GbPlugin\gbieh.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Arquivos de programas\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5900:TCP"= 5900:TCP:vnc5900

"5800:TCP"= 5800:TCP:vnc5800

"5460:TCP"= 5460:TCP:feknqxp

 

R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [30/11/2009 00:29 30752]

R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [30/11/2009 00:29 54048]

S2 dfukjui;Image Network;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 01:45 14336]

S2 gyvzblc;Driver System;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 01:45 14336]

S2 iqhsae;Config Boot;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 01:45 14336]

S2 jwgslhpdv;Boot Shell;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 01:45 14336]

S2 lzecvf;Support Center;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 01:45 14336]

S2 oonsii;Network Universal;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 01:45 14336]

S2 oyiyu;Center Monitor;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 01:45 14336]

S2 sxvpdshhk;Security Boot;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 01:45 14336]

S2 zjwhr;Monitor Image;c:\windows\system32\svchost.exe -k netsvcs [4/8/2004 01:45 14336]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

lzecvf

oonsii

gyvzblc

zjwhr

sxvpdshhk

oyiyu

iqhsae

dfukjui

jwgslhpdv

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2010-01-01 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\arquivos de programas\Apple Software Update\SoftwareUpdate.exe [2007-08-29 16:57]

 

2010-01-03 c:\windows\Tasks\User_Feed_Synchronization-{86021222-B103-4699-8242-3E8A43130303}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 06:31]

.

.

------- Scan Suplementar -------

.

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000

Trusted Zone: bancobrasil.com.br\www2

TCP: {5EF72791-3FA0-4D70-A8EB-25E6C165751D} = 201.10.120.2,201.10.128.3

TCP: {C7CB4371-0B18-43CE-BE47-4E456E12F325} = 201.10.1.3 201.10.128.2

FF - ProfilePath - c:\documents and settings\XP\Dados de aplicativos\Mozilla\Firefox\Profiles\uacm2lgd.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.terra.com.br/portal/

 

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-03 21:12

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dfukjui]

"ServiceDll"="c:\windows\system32\ikhaj.dll"

--

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gyvzblc]

"ServiceDll"="c:\windows\system32\ikhaj.dll"

--

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iqhsae]

"ServiceDll"="c:\arquivos de programas\Movie Maker\ikhaj.dll"

--

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jwgslhpdv]

"ServiceDll"="c:\windows\system32\ikhaj.dll"

--

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lzecvf]

"ServiceDll"="c:\windows\system32\ikhaj.dll"

--

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\oonsii]

"ServiceDll"="c:\windows\system32\ikhaj.dll"

--

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\oyiyu]

"ServiceDll"="c:\windows\system32\ikhaj.dll"

--

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sxvpdshhk]

"ServiceDll"="c:\windows\system32\ikhaj.dll"

--

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zjwhr]

"ServiceDll"="c:\windows\system32\ikhaj.dll"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'winlogon.exe'(520)

c:\arquivos de programas\GBPLUGIN\gbieh.dll

 

- - - - - - - > 'explorer.exe'(1176)

c:\windows\system32\WININET.dll

c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroSearchBar.dll

c:\arquivos de programas\Arquivos comuns\Ahead\Lib\MFC71U.DLL

c:\arquivos de programas\Arquivos comuns\Ahead\Lib\BCGCBPRO860un71.dll

c:\arquivos de programas\GBPLUGIN\gbieh.dll

c:\windows\system32\msi.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Tempo para conclusão: 2010-01-03 21:15:00

ComboFix-quarantined-files.txt 2010-01-03 23:14

 

Pré-execução: 7 pasta(s) 31.455.043.584 bytes disponíveis

Pós execução: 11 pasta(s) 31.487.311.872 bytes disponíveis

 

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

- - End Of File - - 9F93525926277BB322B70D04E906FF41

 

 

 

 

 

 

 

############################## | FindyKill V5.023 |

 

# User : XP (Administradores) # E17BAA97D524420

# Update on 31/12/2009 by El Desaparecido

# Start at: 21:20:17 | 3/1/2010

# Website : http://pagesperso-orange.fr/NosTools/index.html

# Contact : FindyKill.Contact@gmail.com

 

# AMD Athlon XP 2000+

# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 2

# Internet Explorer 8.0.6001.18702

# Windows Firewall Status : Enabled

 

# A:\ # Unidade de disquete de 3 1/2 polegadas

# C:\ # Disco fixo local # 38,28 Go (29,35 Go free) # NTFS

# D:\ # Disco CD-ROM

 

############################## | Processos ativos |

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\logonui.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

 

################## | C: |

 

 

################## | C:\WINDOWS |

 

 

################## | C:\WINDOWS\system32 |

 

 

################## | C:\WINDOWS\system32\drivers |

 

 

################## | C:\Documents and Settings\XP\Dados de aplicativos |

 

 

################## | Supressão Outros ... |

 

################## | Temporary Internet Files |

 

 

################## | Registro / Chaves infeciosas |

 

 

################## | Estado / Serviços / Informações |

 

# Safe mode : OK

 

 

# Affichagem dos arquivos ocultos : OK

 

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )

# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )

# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

 

################## | PEH ... |

 

 

################## | Cracks / Keygens / Serials |

 

 

################## | ! Fim do relatório # FindyKill V5.023 ! |

 

 

 

Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:25:01, on 3/1/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5EF72791-3FA0-4D70-A8EB-25E6C165751D}: NameServer = 201.10.120.2,201.10.128.3

O17 - HKLM\System\CCS\Services\Tcpip\..\{C7CB4371-0B18-43CE-BE47-4E456E12F325}: NameServer = 201.10.120.2 201.10.1.3

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL

O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

 

--

End of file - 5562 bytes

 

Bom, por enquanto só surgiram umas 3 pastas "estranhas" no disco (/C): $AVG , Boot.bak e cmldr

[Power Max 54]

:seta: Selecione o texto abaixo dentro do Quote (caixa branca abaixo) e copie para o Bloco de notas. Salve-o como CFScript.txt

 

NetSvc::

lzecvf

oonsii

gyvzblc

zjwhr

sxvpdshhk

oyiyu

iqhsae

dfukjui

jwgslhpdv

Driver::

lzecvf

oonsii

gyvzblc

zjwhr

sxvpdshhk

oyiyu

iqhsae

dfukjui

jwgslhpdv

Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dfukjui]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gyvzblc]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iqhsae]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\jwgslhpdv]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lzecvf]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\oonsii]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\oyiyu]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sxvpdshhk]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\zjwhr]

 

Arraste o CFScript.txt para o ComboFix conforme a imagem abaixo:

 

 

Se solicitado pressione "Enter" para iniciar o processo de remoção;

 

Não use o mouse nem o teclado quando o ComboFix estiver rodando.

 

Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.

 

Obs: Se o Combofix não reiniciar seu computador automaticamente, faça-o manualmente.

_____________________________________

 

:seta: Acesse o site http://www.virustotal.com/ '>Virus Total e envie estes arquivos destacados em vermelho para serem analisados (um de cada vez):

c:\arquivos de programas\Movie Maker\ikhaj.dll

c:\windows\system32\ikhaj.dll

 

E no final da análise de cada arquivo copie o link que aparecerá na barra de endereço de seu navegador e poste estes dois links em sua próxima resposta juntamente com o log que estará em C:\ComboFix.txt e um novo log do Hijackthis e nos diga como está seu PC depois disto.

[Bruna Garred 0]

Antonio, nenhum dos dois arquivos aparecam pra serem enviados pro VirusTotal.

 

Log do ComboFix:

ComboFix 10-01-03.03 - XP 04/01/2010 0:50.2.1 - x86

Executando de: c:\documents and settings\XP\Desktop\ComboFix.exe

Comandos utilizados :: c:\documents and settings\XP\Desktop\CFScript.txt

.

ADS - drivers: deleted 204 bytes in 1 streams.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_DFUKJUI

-------\Legacy_GYVZBLC

-------\Legacy_IQHSAE

-------\Legacy_JWGSLHPDV

-------\Legacy_LZECVF

-------\Legacy_OONSII

-------\Legacy_OYIYU

-------\Legacy_SXVPDSHHK

-------\Legacy_ZJWHR

-------\Service_dfukjui

-------\Service_gyvzblc

-------\Service_iqhsae

-------\Service_jwgslhpdv

-------\Service_lzecvf

-------\Service_oonsii

-------\Service_oyiyu

-------\Service_sxvpdshhk

-------\Service_zjwhr

 

 

(((((((((((((((( Arquivos/Ficheiros criados de 2009-12-04 to 2010-01-04 ))))))))))))))))))))))))))))

.

 

2010-01-03 21:41 . 2010-01-03 21:41 401720 ----a-w- C:\HiJackThis.exe

2010-01-03 05:16 . 2010-01-03 05:16 -------- d-----w- C:\$AVG

2010-01-03 05:14 . 2010-01-03 05:14 -------- d-----w- c:\arquivos de programas\AVG

2010-01-03 05:14 . 2010-01-03 05:45 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\avg9

2010-01-03 05:14 . 2010-01-03 05:55 -------- d-----w- c:\windows\SxsCaPendDel

2010-01-01 05:41 . 2010-01-01 05:41 -------- d-----w- c:\arquivos de programas\Arquivos comuns\SWF Studio

2010-01-01 05:05 . 2010-01-01 05:05 -------- d-sh--w- c:\windows\ftpcache

2009-12-16 06:16 . 2009-12-16 06:17 -------- d-----w- c:\arquivos de programas\Real Alternative

2009-12-14 19:09 . 2009-05-29 21:37 205824 ----a-w- c:\windows\system32\xvidvfw.dll

2009-12-14 19:09 . 2009-05-29 21:31 881664 ----a-w- c:\windows\system32\xvidcore.dll

2009-12-14 19:09 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll

2009-12-14 19:09 . 2009-12-11 18:00 85504 ----a-w- c:\windows\system32\ff_vfw.dll

2009-12-14 19:09 . 2009-12-14 19:09 -------- d-----w- c:\arquivos de programas\K-Lite Codec Pack

2009-12-13 06:32 . 2009-12-13 06:32 -------- d-----w- c:\documents and settings\XP\Dados de aplicativos\Media Player Classic

2009-12-13 06:30 . 2009-08-16 15:08 178176 ----a-w- c:\windows\system32\unrar.dll

2009-12-11 21:09 . 2003-03-18 19:20 1060864 ----a-w- c:\windows\system32\MFC71.dll

2009-12-11 21:09 . 2009-12-11 21:09 -------- d-----w- c:\arquivos de programas\Alwil Software

2009-12-11 21:01 . 2009-12-11 21:08 41099128 ----a-w- c:\arquivos de programas\setuppor.exe

2009-12-11 06:02 . 2009-12-11 06:03 -------- d-----w- c:\arquivos de programas\VDOWNLOADER

2009-12-11 00:15 . 2009-12-11 00:15 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache

2009-12-07 04:59 . 2009-12-07 05:03 -------- d-----w- c:\arquivos de programas\CCleaner

2009-12-05 20:36 . 2010-01-03 23:31 -------- d-----w- c:\documents and settings\XP\Dados de aplicativos\Sony

2009-12-05 20:36 . 2009-12-05 20:36 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Sony

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-03 22:54 . 2001-10-28 15:07 68190 ----a-w- c:\windows\system32\perfc016.dat

2010-01-03 22:54 . 2001-10-28 15:07 427986 ----a-w- c:\windows\system32\perfh016.dat

2010-01-01 05:41 . 2004-08-04 03:45 1386496 ----a-w- c:\windows\system32\msvbvm60.dll

2009-12-14 20:30 . 2009-11-27 22:15 -------- d-----w- c:\documents and settings\XP\Dados de aplicativos\Ahead

2009-12-11 20:57 . 2009-11-30 02:29 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

2009-12-11 20:57 . 2009-11-30 02:29 -------- d-----w- c:\arquivos de programas\GbPlugin

2009-12-08 00:51 . 2009-11-27 21:43 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-12-07 17:30 . 2009-11-30 02:29 30752 ----a-w- c:\windows\system32\drivers\gbpkm.sys

2009-12-03 01:38 . 2009-12-03 01:38 -------- d-----w- c:\documents and settings\XP\Dados de aplicativos\Apple Computer

2009-12-02 21:53 . 2009-12-02 21:52 -------- d-----w- c:\arquivos de programas\QuickTime

2009-12-02 21:52 . 2009-12-02 21:52 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Apple Computer

2009-12-02 21:52 . 2009-12-02 21:52 -------- d-----w- c:\arquivos de programas\Apple Software Update

2009-12-02 21:52 . 2009-12-02 21:52 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Apple

2009-12-01 04:38 . 2009-12-01 04:08 -------- d-----w- c:\arquivos de programas\PhotoFiltre

2009-12-01 04:07 . 2009-11-30 02:19 -------- d-----w- c:\arquivos de programas\Java

2009-11-30 12:03 . 2009-11-27 21:49 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help

2009-11-30 02:19 . 2009-11-30 02:21 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-11-30 02:18 . 2009-11-30 02:18 152576 ----a-w- c:\documents and settings\XP\Dados de aplicativos\Sun\Java\jre1.6.0_17\lzma.dll

2009-11-30 02:15 . 2009-11-30 02:15 79488 ----a-w- c:\documents and settings\XP\Dados de aplicativos\Sun\Java\jre1.6.0_17\gtapi.dll

2009-11-28 13:57 . 2009-11-28 13:24 -------- d-----w- c:\arquivos de programas\Last.fm

2009-11-28 13:26 . 2009-11-28 13:26 96 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Last.fm\Client\uninst2.bat

2009-11-28 13:26 . 2009-11-28 13:26 683801 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Last.fm\Client\UninstWMP\unins000.exe

2009-11-28 13:26 . 2009-11-28 13:26 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Last.fm

2009-11-28 00:16 . 2009-11-27 22:41 -------- d-----w- c:\arquivos de programas\Microsoft Silverlight

2009-11-28 00:04 . 2009-11-28 00:04 -------- d-----w- c:\arquivos de programas\Microsoft

2009-11-28 00:04 . 2009-11-28 00:04 -------- d-----w- c:\arquivos de programas\Windows Live SkyDrive

2009-11-27 23:50 . 2009-11-27 23:50 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Windows Live

2009-11-27 23:36 . 2009-11-27 23:36 -------- d-----w- c:\arquivos de programas\VIA Technologies, INC

2009-11-27 22:20 . 2009-11-27 22:20 0 ----a-w- c:\windows\nsreg.dat

2009-11-27 22:14 . 2009-11-27 22:12 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Ahead

2009-11-27 22:12 . 2009-11-27 22:12 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Nero

2009-11-27 22:12 . 2009-11-27 22:12 -------- d-----w- c:\arquivos de programas\Nero

2009-11-27 21:57 . 2009-11-27 21:57 -------- d-----w- c:\arquivos de programas\Microsoft Works

2009-11-27 21:57 . 2009-11-27 21:57 -------- d-----w- c:\arquivos de programas\MSBuild

2009-11-27 21:53 . 2009-11-27 21:27 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-11-27 21:45 . 2009-11-27 21:45 -------- d-----w- c:\documents and settings\XP\Dados de aplicativos\UltraVNC

2009-11-27 21:42 . 2009-11-27 21:42 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe

2009-11-27 21:29 . 2009-11-27 21:29 -------- d-----w- c:\arquivos de programas\microsoft frontpage

2009-11-27 21:26 . 2009-11-27 21:26 -------- d-----w- c:\arquivos de programas\Serviços on-line

2009-11-27 21:26 . 2009-11-27 21:26 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Serviços

2009-11-27 21:24 . 2009-11-27 21:24 21844 ----a-w- c:\windows\system32\emptyregdb.dat

2004-08-04 03:45 . 2004-08-04 03:45 169176 --sha-r- c:\windows\system32\ikhaj.dll

.

 

((((((((((((((((((((((((((((( SnapShot@2010-01-03_23.12.58 )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-01-04 02:56 . 2010-01-04 02:56 16384 c:\windows\Temp\Perflib_Perfdata_754.dat

+ 2010-01-04 02:00 . 2010-01-04 02:00 16384 c:\windows\Temp\Perflib_Perfdata_57c.dat

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 147456]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GrooveMonitor"="c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]

"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2009-11-30 149280]

"QuickTime Task"="c:\arquivos de programas\QuickTime\QTTask.exe" [2007-10-19 286720]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Adobe Reader Speed Launch.lnk - c:\arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]

Adobe Reader Synchronizer.lnk - c:\arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]

2009-12-07 17:31 318240 ----a-w- c:\arquivos de programas\GbPlugin\gbieh.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5900:TCP"= 5900:TCP:vnc5900

"5800:TCP"= 5800:TCP:vnc5800

"5460:TCP"= 5460:TCP:feknqxp

 

R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [30/11/2009 00:29 30752]

R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [30/11/2009 00:29 54048]

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2010-01-01 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\arquivos de programas\Apple Software Update\SoftwareUpdate.exe [2007-08-29 16:57]

 

2010-01-04 c:\windows\Tasks\User_Feed_Synchronization-{86021222-B103-4699-8242-3E8A43130303}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 06:31]

.

.

------- Scan Suplementar -------

.

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000

Trusted Zone: bancobrasil.com.br\www2

TCP: {5EF72791-3FA0-4D70-A8EB-25E6C165751D} = 201.10.120.2,201.10.128.3

FF - ProfilePath - c:\documents and settings\XP\Dados de aplicativos\Mozilla\Firefox\Profiles\uacm2lgd.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.terra.com.br/portal/

 

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-04 00:56

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'winlogon.exe'(524)

c:\arquivos de programas\GBPLUGIN\gbieh.dll

 

- - - - - - - > 'explorer.exe'(3936)

c:\windows\system32\WININET.dll

c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroSearchBar.dll

c:\arquivos de programas\Arquivos comuns\Ahead\Lib\MFC71U.DLL

c:\arquivos de programas\Arquivos comuns\Ahead\Lib\BCGCBPRO860un71.dll

c:\windows\system32\msi.dll

c:\arquivos de programas\GBPLUGIN\gbieh.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Tempo para conclusão: 2010-01-04 00:58:55 - Máquina reiniciou

ComboFix-quarantined-files.txt 2010-01-04 02:58

ComboFix2.txt 2010-01-03 23:15

 

Pré-execução: 9 pasta(s) 31.561.674.752 bytes disponíveis

Pós execução: 10 pasta(s) 31.492.182.016 bytes disponíveis

 

- - End Of File - - 28E34047723A4854F9A64FDE714E6BE8

 

 

Hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:07:39, on 4/1/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\explorer.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5EF72791-3FA0-4D70-A8EB-25E6C165751D}: NameServer = 201.10.120.2,201.10.128.3

O17 - HKLM\System\CCS\Services\Tcpip\..\{C7CB4371-0B18-43CE-BE47-4E456E12F325}: NameServer = 201.10.128.3 201.10.120.3

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL

O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

 

--

End of file - 5467 bytes

[Power Max 54]

:) Vários problemas foram removidos do seu PC.

 

:seta: Siga, por gentileza, as dicas destes tutoriais:

 

'>http://dicasetutoriaisparapc.blogspot.com/2009/10/tutorial-do-malwarebytes-anti-malware.html"]Tutorial do Malwarebytes Anti-Malware

 

'>http://dicasetutoriaisparapc.blogspot.com/2008/09/tutorial-do-antivirus-nod32-online.html"]Tutorial do antivirus Nod32 Online

 

Na sua próxima resposta poste o log do Malwarebytes juntamente com o log do Nod32 Online que estará em C:\Arquivos de programas\Eset\Eset Online Scanner\log.txt e um novo log do Hijackthis e nos diga como está o seu PC após estes procedimentos.

 

Ficamos no aguardo.

[Bruna Garred 0]

Log do Malwarebytes:

 

Malwarebytes' Anti-Malware 1.43

Versão do banco de dados: 3492

Windows 5.1.2600 Service Pack 2 (Safe Mode)

Internet Explorer 8.0.6001.18702

 

4/1/2010 13:42:32

mbam-log-2010-01-04 (13-42-32).txt

 

Tipo de Verificação: Completa (C:\|)

Objetos verificados: 127778

Tempo decorrido: 25 minute(s), 31 second(s)

 

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 0

Ítens do Registro infectados: 0

Pastas infectadas: 0

Arquivos infectados: 0

 

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

 

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

 

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

 

Valores do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Ítens do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Pastas infectadas:

(Nenhum ítem malicioso foi detectado)

 

Arquivos infectados:

(Nenhum ítem malicioso foi detectado)

 

 

Log do NOD:

 

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)

# OnlineScanner.ocx=1.0.0.6211

# api_version=3.0.2

# EOSSerial=2d0d1933d7d319489edaed876c28c390

# end=stopped

# remove_checked=true

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2010-01-04 03:59:23

# local_time=2010-01-04 01:59:23 (-0300, Hora oficial do Brasil)

# country="Brazil"

# lang=1033

# osver=5.1.2600 NT Service Pack 2

# compatibility_mode=512 16777215 100 0 0 0 0 0

# compatibility_mode=768 16777215 100 0 1133387 1133387 0 0

# compatibility_mode=1024 16777215 100 0 0 0 0 0

# compatibility_mode=8192 67108863 100 0 0 0 0 0

# scanned=193

# found=0

# cleaned=0

# scan_time=29

esets_scanner_update returned -1 esets_gle=53251

# version=7

# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)

# OnlineScanner.ocx=1.0.0.6211

# api_version=3.0.2

# EOSSerial=2d0d1933d7d319489edaed876c28c390

# end=finished

# remove_checked=true

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2010-01-04 04:23:39

# local_time=2010-01-04 02:23:39 (-0300, Hora oficial do Brasil)

# country="Brazil"

# lang=1033

# osver=5.1.2600 NT Service Pack 2

# compatibility_mode=512 16777215 100 0 0 0 0 0

# compatibility_mode=768 16777215 100 0 1133486 1133486 0 0

# compatibility_mode=1024 16777215 100 0 0 0 0 0

# compatibility_mode=8192 67108863 100 0 0 0 0 0

# scanned=26728

# found=0

# cleaned=0

# scan_time=1376

 

 

HIJACKTHIS:

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:28:24, on 4/1/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Windows Media Player\wmplayer.exe

C:\Arquivos de programas\Last.fm\LastFM.exe

C:\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5EF72791-3FA0-4D70-A8EB-25E6C165751D}: NameServer = 201.10.120.2,201.10.128.3

O17 - HKLM\System\CCS\Services\Tcpip\..\{C7CB4371-0B18-43CE-BE47-4E456E12F325}: NameServer = 201.10.120.2 201.10.1.3

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL

O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

 

--

End of file - 5797 bytes

[Power Max 54]

:) Seus logs estão limpos. Como está seu PC?

[Bruna Garred 0]

Fiz o escaneamento do Avast e apareceu aquele arquivo infectado que você tinha alertado:

c:\windows\system32\ikhaj.dll

mandei pra quarentena, certo?

[Power Max 54]

Fiz o escaneamento do Avast e apareceu aquele arquivo infectado que você tinha alertado:

c:\windows\system32\ikhaj.dll

mandei pra quarentena, certo?

:) Sim, você fez o certo. O ideal é sempre desinfectar os arquivos contaminados ou enviá-los para a quarentena (que funciona como uma prisão para os vírus). E no caso dos arquivos terem sido enviados para a quarentena, depois de algumas semanas, se o seu computador estiver funcionando normalmente sem estes arquivos que foram para a quarentena, você pode ir na quarentena e excluí-los definitivamente.

_____________________________________

 

:seta: <@> Vá em Iniciar --> Executar --> Digite ou cole: Combofix /uninstall --> Clique OK.

 

 

<@> Abrir-se-á,a seguinte janela: ( Abrir arquivo - Aviso de Segurança )

<@> Clique em Executar --> Aguarde!

<@> Surgirá,finalmente,a mensagem: "ComboFix está desinstalado" --> Clique OK.

<@> Caso encontre,apague: C:\ComboFix <-- A pasta! + C:\ComboFix.txt <-- Relatório!

<@> Ou,vá em Iniciar --> Executar --> Digite ou cole:

 

"%userprofile%\desktop\combofix" /uninstall

 

<@> Clique OK.

_____________________________________

 

:seta: Siga as dicas deste tutorial para fazer uma limpeza com o Tools Cleaner:

 

Tutorial do ToolsCleaner

_____________________________________

 

:seta: Há programas desnecessários iniciando junto com o Windows, o que torna o seu PC mais lento. Para corrigir isto, siga as dicas deste tutorial:

 

Escolhendo Programas que Iniciam com o PC

 

De preferência deixe apenas os programas de segurança (anti-vírus/anti-spywares/firewall) iniciarem junto com o Windows.

 

Use também o programa Ccleaner, indicado neste tutorial acima, para fazer uma limpeza e otimização do PC agora e de tempos em tempos.

_____________________________________

 

:seta: Instale estes programas e use-os agora e semanalmente para fazer uma limpeza do seu PC e para deixá-lo mais eficiente e otimizado:

 

MV RegClean

 

MV AntiSpy

 

Auslogics Disk Defrag

 

SpywareBlaster

__________________________________

 

:seta: Se o seu Windows for original, baixe e instale o Service Pack 3:

http://superdownloads.uol.com.br/download/61/windows-service-pack/

__________________________________

 

:seta: Para evitar que os problemas voltem, desative e ative novamente a restauração do sistema. Para isso, vá no menu: Iniciar - Painel de Controle - Sistema - Clique na aba: Restauração do Sistema - Marque a caixinha: Desativar restauração do sistema - Clique no botão: Aplicar e no botão: Ok.

 

Depois disso, volte no mesmo local: Iniciar - Painel de Controle - Sistema - Clique na aba: Restauração do Sistema - Desmarque a caixinha: Desativar restauração do sistema - Clique no botão: Aplicar e no botão: Ok.

__________________________________

 

:) Foi um prazer ajudar, conte sempre conosco!

[Bruna Garred 0]

Não consegui desinstalar o ComboFix, aparece a seguinte mensagem:

!! ATENÇÃO!! NÃO É SEGURO continuar!

 

O conteúdo do comboFix foi comprometido.

Por favor baixe uma nova cópia de:

 

http://wwww.bleepingcomputer.com;combofix/pt/como-usar-o-combofix

 

Nota: você pode estar infectado com um vírus infector de arquivos "Virut"

[Bruna Garred 0]

Consegui desinstalar o ComboFix, não tava dando certo pq o Avast tava aberto, tive que pausar.

Eu tenho que ficar com o ToolsCleaner, ou também tem que desinstalar? E mais esses 4 programas, não dá problema ter muitos desses programas instalados não?

[Power Max 54]

Consegui desinstalar o ComboFix, não tava dando certo pq o Avast tava aberto, tive que pausar.

:) OK.

__________________________________

 

Eu tenho que ficar com o ToolsCleaner, ou também tem que desinstalar?

Pode desinstalar o ToolsCleaner, este programa serve só para desinstalar as ferramentas de remoção de malwares usadas durante a desinfecção do seu computador.

___________________________________

 

E mais esses 4 programas, não dá problema ter muitos desses programas instalados não?

Estes 4 programas são muito bons, se você quizer desinstalar eles você pode desinstalar tranquilamente. Mas seria bom deixá-los no PC e fazer uma limpeza com eles de vez em quando.

___________________________________

 

O conteúdo do comboFix foi comprometido.

Por favor baixe uma nova cópia de:

 

http://wwww.bleeping...usar-o-combofix

 

Nota: você pode estar infectado com um vírus infector de arquivos "Virut"

Por segurança, vamos fazer esta última verificação para termos certeza de que seu PC está realmente limpo, já que o Combofix alertou para a possibilidade de uma infecção:

 

:seta: Siga primeiramente as dicas deste tutorial:

 

Tutorial do Dr. Web CureIt

 

Na sua próxima resposta poste este log do Dr. Web CureIt juntamente com um novo log do Hijackthis e nos diga como está o seu Pc depois disto.

 

Ficamos no aguardo.

[Bruna Garred 0]

O Dr Web gerou um documento de Excel, ok?

 

gbieh.dll c:\arquivos de programas\gbplugin Provavelmente BACKDOOR.Trojan

gbieh.dll C:\Arquivos de programas\GbPlugin Provavelmente BACKDOOR.Trojan

A0000001.exe\32788R22FWJFW\List-C.bat C:\System Volume Information\_restore{944A0CED-163C-43A0-8C81-1AB97FA89B4C}\RP1\A0000001.exe Provavelmente BATCH.Virus

A0000001.exe C:\System Volume Information\_restore{944A0CED-163C-43A0-8C81-1AB97FA89B4C}\RP1 O arquivo contém objectos infectados Movido.

 

HIJACKTHIS

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:41:07, on 5/1/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5EF72791-3FA0-4D70-A8EB-25E6C165751D}: NameServer = 201.10.120.2,201.10.128.3

O17 - HKLM\System\CCS\Services\Tcpip\..\{C7CB4371-0B18-43CE-BE47-4E456E12F325}: NameServer = 201.10.120.3 201.10.1.3

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

 

--

End of file - 5087 bytes

[Power Max 54]

:seta: Abra o HijackThis, clique em Do a system scan only, marque a entrada abaixo e clique em Fix checked:

 

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

________________________________

 

:) Fazendo isto os logs estão limpos, como está seu PC?

[Bruna Garred 0]

Tudo ok, Antonio!

 

HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:02:43, on 5/1/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Last.fm\LastFM.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\SoftwareDistribution\Download\e9638711b78b0fdfbe4506cc449d0e2e\update\update.exe

C:\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5EF72791-3FA0-4D70-A8EB-25E6C165751D}: NameServer = 201.10.120.2,201.10.128.3

O17 - HKLM\System\CCS\Services\Tcpip\..\{C7CB4371-0B18-43CE-BE47-4E456E12F325}: NameServer = 201.10.120.3 201.10.1.3

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

 

--

End of file - 5097 bytes

[Power Max 54]

:) Seu log está limpo, pode desinstalar o Dr. Web CureIt.

 

Conte sempre com a gente.

[Bruna Garred 0]

Iniciar, Executar e o resto? Pq no Painel de controle ele não tá aparecendo em "remover Programas"