[Resolvido!] Analise de Log - Conexao/Tema

[Jocasinho 0]

Bom minha conexao trava ddepois de 15 minutos e nao consigo me reconectar novamente pq diz que as portas ja estao sendo usadas e quando isso acontece

o tema do winxp muda sozinho segue ai o log do hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:03:31, on 16/3/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Arquivos de programas\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Vivo 3G\Vivo 3G.exe

C:\Arquivos de programas\Windows Media Player\wmplayer.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Attiva\Desktop\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemonsearch.com/intl/

O1 - Hosts: 65.54.239.80 dp.msnmessenger.akadns.net

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [sRS Audio Sandbox] "C:\Arquivos de programas\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6A1BE821-642E-4EE2-8814-8A21D9AB4EC6}: NameServer = 200.220.227.56 200.142.130.202

O17 - HKLM\System\CCS\Services\Tcpip\..\{7863BB38-F101-42C2-BEDE-C8974560561B}: NameServer = 200.165.132.147,200.149.55.140

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehCef.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Arquivos de programas\Symantec AntiVirus\DefWatch.exe

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARQUIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Arquivos de programas\Symantec AntiVirus\SavRoam.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Arquivos de programas\Symantec AntiVirus\Rtvscan.exe

 

--

End of file - 5826 bytes

[wings 22]

*Baixe o MalwareBytes Anti-malware e salve-o no desktop:

*Instale o programa

*Se alguma atualização existir,o download será automático. Aguarde...

*O programa será aberto automaticamente.

*Na aba [Verificação], selecione a opção [Verificação completa]

*Clique em [Verificar] e selecione as unidades (C:\ e D:\) a serem examinadas

*Ao término do scan, poderá ser interrogado se deseja remover objetos da memória. Clique [sIM] > [OK] > [Mostrar Resultados]

*Clique em [Remover Selecionados]

*Um relatório (mbam-log-ano-mês-data.txt) será apresentado.

*Cole-o na sua próxima resposta

[Jocasinho 0]

Só possuo a Unidade C\ a D:\ E DVD

 

Malwarebytes' Anti-Malware 1.44

Versão do banco de dados: 3877

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

 

17/3/2010 18:20:23

mbam-log-2010-03-17 (18-20-23).txt

 

Tipo de Verificação: Completa (C:\|)

Objetos verificados: 190233

Tempo decorrido: 31 minute(s), 8 second(s)

 

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 0

Ítens do Registro infectados: 0

Pastas infectadas: 0

Arquivos infectados: 0

 

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

 

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

 

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

 

Valores do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Ítens do Registro infectados:

(Nenhum ítem malicioso foi detectado)

 

Pastas infectadas:

(Nenhum ítem malicioso foi detectado)

 

Arquivos infectados:

(Nenhum ítem malicioso foi detectado)

[wings 22]

*Desative temporariamente seu antivírus

 

- Clique com o botão direito do mouse sobre o ícone do Norton ao lado do relógio do computador

- Clique na opção Disable Auto-Protect;

- Selecione a duração de 5 hours e clique em OK.

- Uma pop-up irá alegar que a defesa foi desativada e o ícone deverá ficar assim

*Baixe o ComboFix e salve-o no desktop

*Duplo-clique no arquivo Combofix.exe

*Aceite o contrato

 

*Se o console de recuperação do Windows já estiver instalado, o ComboFix continuará o processo automaticamente. Caso não esteja, uma janela conforme abaixo será aberta. Clique em [sIM] para aceitar a instalação do mesmo.

 

 

*Após a instalação, clique em [sIM] para continuar.

 

 

*Aguarde a conclusão de todas as etapas

 

 

*Importante: enquanto o ComboFix estiver em execução, não use o mouse nem o teclado!!..... Para interromper o procedimento tecle N ou 2 e depois ENTER.

 

*O programa será fechado automaticamente

 

*Cole o relatório criado em C:\combofix.txt

[Jocasinho 0]

Entao o erro que o combofix ta danndo e esse ja baixei 3x e da esse erro!

 

 

SOME INSTALLATION FILES ARE CORRUPT

PLEASE DOWNLOAD A FRESH COPY AND RETRY THE INSTALLATION

[wings 22]

Entao o erro que o combofix ta danndo e esse ja baixei 3x e da esse erro!

 

 

SOME INSTALLATION FILES ARE CORRUPT

PLEASE DOWNLOAD A FRESH COPY AND RETRY THE INSTALLATION

 

 

*Delete todas as cópias do Combofix que você tenha.

 

*Baixe novamente e salve-o no desktop

[Jocasinho 0]

Log ComboFix (Acho que o arquivo gpbsv.exe que esta causando esse problema)

 

ComboFix 10-03-17.06 - Attiva 18/03/2010 0:01.1.2 - x86

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2046.1517 [GMT -3:00]

Executando de: c:\documents and settings\Attiva\Desktop\ComboFix.exe

AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}

 

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

ADS - drivers: deleted 220 bytes in 2 streams.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\arquivos de programas\GbPlugin\gbiehcef.dll

c:\documents and settings\All Users\Menu Iniciar\Programas\ USB Web Camera

c:\documents and settings\All Users\Menu Iniciar\Programas\ USB Web Camera \AMCap.lnk

c:\documents and settings\All Users\Menu Iniciar\Programas\ USB Web Camera \Uninstall.lnk

c:\documents and settings\Attiva\Dados de aplicativos\Desktopicon

c:\documents and settings\Attiva\Dados de aplicativos\Desktopicon\eBay.ico

c:\documents and settings\Attiva\Dados de aplicativos\Desktopicon\uninst.exe

c:\documents and settings\Attiva\Meus documentos\BACKUP DE REGISTROS.reg

c:\windows\system32\intelupdate.version

 

.

(((((((((((((((( Arquivos/Ficheiros criados de 2010-02-18 to 2010-03-18 ))))))))))))))))))))))))))))

.

 

2015-12-22 02:39 . 2003-04-21 17:09 245408 ----a-w- c:\windows\system32\unicows.dll

2015-12-22 02:38 . 2015-12-22 02:39 -------- d-----w- c:\arquivos de programas\Dynamic HTML Editor 5x

2010-03-17 22:20 . 2010-03-18 02:45 -------- d-----w- c:\arquivos de programas\Unlocker

2010-03-17 21:30 . 2010-03-17 21:32 -------- d-----w- C:\LinhaDefensiva

2010-03-17 20:36 . 2010-03-17 20:36 -------- d-----w- c:\documents and settings\Attiva\Dados de aplicativos\Malwarebytes

2010-03-17 20:36 . 2010-01-07 19:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-03-17 20:36 . 2010-03-17 20:36 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2010-03-17 20:36 . 2010-03-17 20:36 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2010-03-17 20:36 . 2010-01-07 19:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-03-17 20:17 . 2009-03-30 12:39 105344 ----a-w- c:\windows\system32\drivers\ZTEusbvoice.sys

2010-03-17 20:17 . 2009-03-30 12:39 104960 ----a-w- c:\windows\system32\drivers\ZTEusbser6k.sys

2010-03-17 20:17 . 2009-03-30 12:39 105344 ----a-w- c:\windows\system32\drivers\ZTEusbnmea.sys

2010-03-17 20:17 . 2009-03-30 12:39 110592 ----a-w- c:\windows\system32\drivers\ZTEusbnet.sys

2010-03-17 20:17 . 2009-03-30 12:38 104960 ----a-w- c:\windows\system32\drivers\ZTEusbmdm6k.sys

2010-03-17 20:17 . 2010-03-17 20:26 -------- d-----w- c:\arquivos de programas\Vivo 3G

2010-03-16 22:08 . 2010-03-16 23:28 -------- d-----w- c:\arquivos de programas\WonderWebWare CSS Menu Generator

2010-03-14 17:17 . 2000-04-01 08:35 414272 ----a-w- c:\windows\system32\DivXc32f.dll

2010-03-14 17:17 . 2010-03-14 17:51 -------- d-----w- c:\arquivos de programas\Octinium

2010-03-12 19:38 . 2010-03-16 22:15 -------- d-----w- c:\documents and settings\Attiva\Dados de aplicativos\HLSW

2010-03-10 21:22 . 2010-03-16 23:27 24 ---ha-r- c:\windows\wcpx_.dat

2010-03-10 21:22 . 2010-03-10 21:22 -------- d-----w- c:\documents and settings\Attiva\Dados de aplicativos\engadven

2010-03-10 21:22 . 2010-03-10 21:22 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\engadven

2010-03-10 21:22 . 2010-03-10 21:22 -------- d-----w- c:\arquivos de programas\EngAdven

2010-03-10 20:27 . 2010-03-10 20:27 -------- d-----w- c:\documents and settings\Attiva\Dados de aplicativos\MyDock

2010-03-10 20:11 . 2010-03-11 19:32 -------- d-----w- c:\arquivos de programas\Soul Ride

2010-03-10 20:11 . 2010-03-10 20:11 -------- d-----w- c:\documents and settings\Attiva\WINDOWS

2010-03-07 06:17 . 2010-03-07 06:17 -------- d-----w- c:\documents and settings\Attiva\Dados de aplicativos\Nvu

2010-03-07 06:17 . 2010-03-07 06:17 -------- d-----w- c:\arquivos de programas\Nvu

2010-03-07 01:33 . 2010-03-07 01:33 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\SRS Labs

2010-03-07 01:24 . 2007-07-26 12:25 39808 ----a-r- c:\windows\system32\drivers\SRS_SSCFilter_i386.sys

2010-03-07 01:24 . 2007-07-26 12:25 42112 ----a-r- c:\windows\system32\drivers\csiidecoder_kern_i386.sys

2010-03-07 01:24 . 2007-07-26 12:25 47360 ----a-r- c:\windows\system32\drivers\Surroundhp_kern_i386.sys

2010-03-07 01:24 . 2007-07-26 12:25 47104 ----a-r- c:\windows\system32\drivers\tshd4_kern_i386.sys

2010-03-07 01:24 . 2007-07-26 12:25 32000 ----a-r- c:\windows\system32\drivers\wowhd_kern_i386.sys

2010-03-01 17:42 . 2010-03-01 17:42 -------- d-----w- C:\found.000

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-03-18 03:07 . 2009-06-08 20:49 -------- d-----w- c:\arquivos de programas\Symantec AntiVirus

2010-03-18 03:06 . 2009-06-13 14:25 -------- d-----w- c:\arquivos de programas\GbPlugin

2010-03-17 20:17 . 2009-10-15 02:23 -------- d-----w- c:\arquivos de programas\InstallAffixationInfo

2010-03-17 20:17 . 2009-06-08 20:22 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2010-03-17 01:07 . 2009-06-10 02:22 -------- d-----w- c:\arquivos de programas\Valve

2010-03-17 01:06 . 2009-08-21 07:58 -------- d-----w- c:\arquivos de programas\sXe Injected

2010-03-14 14:40 . 2009-06-08 20:42 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy

2010-03-14 14:39 . 2009-06-08 20:13 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield

2010-03-13 04:12 . 2009-12-10 16:51 -------- d-----w- c:\arquivos de programas\Steam

2010-03-12 20:20 . 2009-07-15 06:23 -------- d-----w- c:\documents and settings\Attiva\Dados de aplicativos\FileZilla

2010-03-12 18:57 . 2010-02-06 02:36 -------- d-----w- c:\arquivos de programas\TeamSpeak 3 Client

2010-03-11 02:52 . 2009-08-07 06:51 -------- d-----w- c:\documents and settings\Attiva\Dados de aplicativos\Skype

2010-03-11 02:35 . 2009-08-07 06:54 -------- d-----w- c:\documents and settings\Attiva\Dados de aplicativos\skypePM

2010-03-07 02:56 . 2009-07-15 06:23 -------- d-----w- c:\arquivos de programas\FileZilla FTP Client

2010-03-03 21:24 . 2009-06-13 14:25 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\GbPlugin

2010-02-25 01:29 . 2001-10-28 12:07 94168 ----a-w- c:\windows\system32\perfc016.dat

2010-02-25 01:29 . 2001-10-28 12:07 542112 ----a-w- c:\windows\system32\perfh016.dat

2010-02-24 21:26 . 2009-11-19 17:12 -------- d-----w- c:\documents and settings\Attiva\Dados de aplicativos\mIRC

2010-02-24 21:24 . 2009-11-19 17:12 -------- d-----w- c:\arquivos de programas\mIRC

2010-02-10 22:52 . 2010-02-06 02:36 -------- d-----w- c:\documents and settings\Attiva\Dados de aplicativos\TS3Client

2010-02-10 01:23 . 2009-07-04 05:53 -------- d-----w- c:\arquivos de programas\Teamspeak2_RC2

2010-01-16 02:57 . 2010-01-16 02:57 666624 ----a-w- c:\documents and settings\Attiva\Dados de aplicativos\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\pmv306a-1001120-0-main.dll

2010-01-16 02:57 . 2010-01-16 02:57 319488 ----a-w- c:\documents and settings\Attiva\Dados de aplicativos\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]

"UnlockerAssistant"="c:\arquivos de programas\Unlocker\UnlockerAssistant.exe" [2010-03-09 15872]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

[HKLM\~\startupfolder\C:^Documents and Settings^Attiva^Menu Iniciar^Programas^Inicializar^ig.lnk]

path=c:\documents and settings\Attiva\Menu Iniciar\Programas\Inicializar\ig.lnk

backup=c:\windows\pss\ig.lnkStartup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Attiva^Menu Iniciar^Programas^Inicializar^smgr34.exe]

path=c:\documents and settings\Attiva\Menu Iniciar\Programas\Inicializar\smgr34.exe

backup=c:\windows\pss\smgr34.exeStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GEST]

m‘|\ü [X]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

c:\windows\system32\dumprep 0 -k [X]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2007-05-11 06:06 40048 ----a-w- c:\arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

2005-05-03 10:43 69632 ------r- c:\windows\Alcmtr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]

2006-03-24 20:14 53408 ----a-w- c:\arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

2007-11-17 11:53 171464 ----a-w- c:\arquivos de programas\DAEMON Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus C45 Series]

2004-01-14 02:00 99840 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_S4I4T1.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FixCamera]

2007-02-12 17:50 20480 ----a-w- c:\windows\FixCamera.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ink Monitor]

2004-03-31 12:46 258114 ------w- c:\arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

2009-07-26 19:44 3883840 ----a-w- c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 13:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

2007-06-28 16:43 1626112 ----a-w- c:\windows\system32\nwiz.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2008-02-13 06:31 16857600 ------r- c:\windows\RTHDCPL.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

2009-06-26 18:56 25604904 ----a-r- c:\arquivos de programas\Skype\Phone\Skype.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snp325]

2007-05-09 13:46 835584 ----a-w- c:\windows\vsnp325.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]

2009-03-05 19:07 2260480 --sha-r- c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

2010-02-24 19:27 1217872 ----a-w- c:\arquivos de programas\Steam\Steam.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2009-07-25 08:23 149280 ----a-w- c:\arquivos de programas\Java\jre6\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tsnp325]

2007-04-21 12:30 270336 ----a-w- c:\windows\tsnp325.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vptray]

2006-06-15 04:40 124656 ----a-w- c:\arquiv~1\SYMANT~1\VPTray.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"SRS Audio Sandbox"="c:\arquivos de programas\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Valve\\hl.exe"=

"c:\\Arquivos de programas\\Hamachi\\hamachi.exe"=

"c:\\Arquivos de programas\\Valve\\hlds.exe"=

"c:\\Arquivos de programas\\Valve\\hltv.exe"=

"c:\\Arquivos de programas\\EA GAMES\\Need for Speed Underground 2\\speed2.exe"=

"c:\\Arquivos de programas\\Graffiti Studio 2.0\\Graffiti Studio.exe"=

"c:\\Arquivos de programas\\Tibia\\Tibia.exe"=

"c:\\Arquivos de programas\\Teamspeak2_RC2\\server_windows.exe"=

"c:\\Arquivos de programas\\Warcraft III\\Warcraft III.exe"=

"c:\\Arquivos de programas\\Garena\\Garena.exe"=

"c:\\Arquivos de programas\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=

"c:\\Arquivos de programas\\MageBot 8.50\\server.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Arquivos de programas\\Valve\\cstrike\\hltv.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\mIRC\\mirc.exe"=

"c:\\Arquivos de programas\\Steam\\Steam.exe"=

"c:\\Documents and Settings\\Attiva\\Desktop\\Download's\\CSStrat\\CSStrat.exe"=

"c:\\WINDOWS\\system32\\rtcshare.exe"=

"c:\\Arquivos de programas\\NetMeeting\\conf.exe"=

"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"8767:UDP"= 8767:UDP:TSDOJOCA

"6891:TCP"= 6891:TCP:a

"6901:TCP"= 6901:TCP:aa

"1863:TCP"= 1863:TCP:aaa

"1863:UDP"= 1863:UDP:aaaa

"5190:UDP"= 5190:UDP:aaaaa

"6901:UDP"= 6901:UDP:aaaaaa

"2025:UDP"= 2025:UDP:Windows Media Format SDK (firefox.exe)

"2024:UDP"= 2024:UDP:Windows Media Format SDK (firefox.exe)

"2032:UDP"= 2032:UDP:Windows Media Format SDK (firefox.exe)

 

R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [13/6/2009 11:25 30504]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [27/8/2009 13:33 685816]

R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [13/6/2009 11:25 53800]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\arquivos de programas\Arquivos comuns\Symantec Shared\eengine\EraserUtilRebootDrv.sys [16/3/2010 12:52 102448]

S3 br3gmdm;BandLuxe 3.5G HSDPA Adapter - USB;c:\windows\system32\drivers\br3gmdm.sys [8/6/2009 22:27 100096]

S3 ddsxeiservice;ddsxeiservice2;c:\arquivos de programas\sXe Injected\ddsxei.sys [10/2/2010 20:18 93056]

S3 extrem.sys;extrem;\??\c:\docume~1\Attiva\CONFIG~1\Temp\extrem.sys --> c:\docume~1\Attiva\CONFIG~1\Temp\extrem.sys [?]

S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\Attiva\CONFIG~1\Temp\JFYA0.tmp --> c:\docume~1\Attiva\CONFIG~1\Temp\JFYA0.tmp [?]

S3 PciCon;PciCon;\??\d:\pcicon.sys --> d:\PciCon.sys [?]

S3 SavRoam;SAVRoam;c:\arquivos de programas\Symantec AntiVirus\SavRoam.exe [15/6/2006 01:40 115952]

S3 Slnt7554;USB Soft Modem Driver;c:\windows\system32\drivers\slnt7554.sys [8/6/2009 22:33 129535]

S3 SNP325;USB PC Camera (SNPSTD325);c:\windows\system32\drivers\snp325.sys [9/6/2009 22:17 10343168]

S3 XDva224;XDva224;\??\c:\windows\system32\XDva224.sys --> c:\windows\system32\XDva224.sys [?]

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2010-03-17 c:\windows\Tasks\Norton Security Scan for Attiva.job

- c:\arquivos de programas\Norton Security Scan\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2009-08-19 19:45]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.daemonsearch.com/intl/

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {7863BB38-F101-42C2-BEDE-C8974560561B} = 200.165.132.147,200.149.55.140

FF - ProfilePath - c:\documents and settings\Attiva\Dados de aplicativos\Mozilla\Firefox\Profiles\aqg93z0s.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br/

 

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

- - - - ORFÃOS REMOVIDOS - - - -

 

ShellExecuteHooks-{E37CB5F0-51F5-4395-A808-5FA49E399003} - c:\arquivos de programas\GbPlugin\gbiehcef.dll

Notify- GbPluginCef - c:\arquivos de programas\GbPlugin\gbiehCef.dll

MSConfigStartUp-SRS Audio Sandbox - c:\arquivos de programas\SRS Labs\Audio Sandbox\SRSSSC.exe

AddRemove-eBay Icon - c:\documents and settings\Attiva\Dados de aplicativos\Desktopicon\uninst.exe

AddRemove-[bS] Addons V.1.0 - c:\documents and settings\Attiva\Desktop\Desinstalar.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-03-18 00:07

Windows 5.1.2600 Service Pack 2 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89E4C1E8]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xba8ecfc3

\Driver\ACPI -> ACPI.sys @ 0xba65dcb8

\Driver\atapi -> 0x89e4c1e8

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058236c

ParseProcedure -> ntkrnlpa.exe @ 0x8058146a

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058236c

ParseProcedure -> ntkrnlpa.exe @ 0x8058146a

NDIS: Realtek RTL8168C(P)/8111C(P) PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xba4fcba0

PacketIndicateHandler -> NDIS.sys @ 0xba4eba0b

SendHandler -> NDIS.sys @ 0xba4ffb31

Warning: possible MBR rootkit infection !

user & kernel MBR OK

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]

"ImagePath"="\??\c:\docume~1\Attiva\CONFIG~1\Temp\JFYA0.tmp"

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

 

[HKEY_USERS\S-1-5-21-1229272821-1647877149-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{73A452ED-DD6C-7F7B-D9EE-CA1617955142}*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

"iaafpmmgbhdaompjon"=hex:69,61,70,6a,6c,64,6e,61,65,69,6b,6f,6c,6f,63,6b,6a,6d,

00,00

"haghkgdkjaobhkml"=hex:6a,61,6c,6a,6c,61,6b,6e,64,6d,6c,6e,6e,62,65,6d,6e,67,

62,6d,00,ff

"iamhaggcnepbpnljag"=hex:63,61,70,6a,67,64,00,7c

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'explorer.exe'(1372)

c:\windows\system32\browselc.dll

c:\arquivos de programas\Microsoft Office\OFFICE11\msohev.dll

c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroDigitalExt.dll

c:\arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\PDFShell.dll

c:\arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\PDFShell.PTB

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

c:\arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

c:\arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

c:\arquivos de programas\Symantec AntiVirus\DefWatch.exe

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\RUNDLL32.EXE

c:\arquivos de programas\Symantec AntiVirus\Rtvscan.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Tempo para conclusão: 2010-03-18 00:09:44 - Máquina reiniciou

ComboFix-quarantined-files.txt 2010-03-18 03:09

 

Pré-execução: 13 pasta(s) 106.333.831.168 bytes disponíveis

Pós execução: 17 pasta(s) 106.299.604.992 bytes disponíveis

 

- - End Of File - - FCB9DB49998B43BE3D2D7F82D7AB2828

[wings 22]

1.

*Clique em [iniciar] > [Executar] > digite: Combofix /uninstall

*Clique [OK]

 

 

*Clique em [Executar]

*Aguarde até surgir a mensagem: "ComboFix está desinstalado"

*Clique [OK]

 

2.

*Baixe o MBR e salve-o em C:\

*Clique em Iniciar > Executar > digite: c:\mbr.exe -f

*Clique OK. Caso seja perguntado, permita que o programa seja executado. Ele abrirá e fechará rapidamente.

*Duplo clique em C:\mbr.exe

*Cole o relatório criado em C:\mbr.log

[Jocasinho 0]

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

[wings 22]

OK...o PC está limpo. :)

 

1.

Delete os arquivos C:\MBR.exe e C:\mbr.log

 

2.

*Baixe o ATF Cleaner e salve-o no desktop

*Duplo clique em ATF-Cleaner.exe

*Em Main selecione [select all]

*Clique em [Empty Selected]

=>Caso use Firefox ou Opera, também, siga os procedimentos abaixo:

*Em "Firefox" ou em "Opera" clique em [select all] ( se você deseja manter suas passwords clique No, caso contrário clique Yes).

*Clique [Empty Selected] ( se você deseja manter suas passwords clique No, caso contrário clique Yes).

*Clique em [Exit] ou no [X] para sair do programa

 

3.

*Baixe e instale o CCleaner

*Abra o programa e na aba "Windows", desça até a opção "Avançado" e selecione "Dados Prefetch antigos"

*Clique em [Executar Limpeza]

*Em seguida, clique em [Registro] -> [Procurar erros] -> [Corrigir Erros Selecionados] -> [Corrigir Todos os Erros Selecionados]

 

Use regularmente os programas ATF-Cleaner e CCleaner para manter o PC em ordem.

 

 

Um abraço.

[Jocasinho 0]

muito obrigado pode fechar o topico!

[wings 22]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.