[Resolvido] &nbspWINLOGON.EXE - Erro de Aplicativo

[Sandra Corrêa 0]

Boa tarde!

Há alguns dias estou recebendo o seguinte alerta na tela:

 

WINLOGON.EXE - Erro de Aplicativo

 

A instrução no "0x7c912333" fez referência à memória no "0x01800000". A memória não pôde se "read".

Clique em "OK" para encerrar o programa

Clique em "Cancelar" para depurar o programa

 

Em qualquer das 2 opções que eu venha a clicar, o pc reinicia.

Gostaria de saber do que se trata e como solucionar o problema.

Muito obrigada!

[wings 22]

Olá Sandra Corrêa

 

 

Leia a regra 2 da sala.

[Sandra Corrêa 0]

Ok Wings,

Aqui está o Log, obrigada!

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 15:02:17, on 14/02/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\ARQUIV~1\AVG\AVG10\avgchsvx.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\AVG\AVG10\avgwdsvc.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbguard.exe

C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

C:\Arquivos de programas\AVG\AVG10\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Arquivos de programas\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe

C:\Arquivos de programas\AVG\AVG10\Identity Protection\agent\bin\avgidsmonitor.exe

C:\Arquivos de programas\AVG\AVG10\avgnsx.exe

C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbserver.exe

C:\WINDOWS\System32\alg.exe

C:\ARQUIV~1\AVG\AVG10\avgrsx.exe

C:\Arquivos de programas\AVG\AVG10\avgcsrvx.exe

C:\HijackThis2.0.4\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG10\avgssie.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Arquivos de programas\AVG\AVG10\Toolbar\IEToolbar.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Arquivos de programas\GbPlugin\gbieh.dll

O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Arquivos de programas\AVG\AVG10\Toolbar\IEToolbar.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Arquivos de programas\Corel\Corel Graphics 12\Languages\BR\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=021811 serial=DR12WEX-1504397-KTY lang=BP

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [AVG_TRAY] C:\Arquivos de programas\AVG\AVG10\avgtray.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Sandra\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {3D3B42C2-11BF-4732-A304-A01384B70D68} (UploadListView Class) - http://picasaweb.google.com/s/v/67.14/uploader2.cab

O18 - Protocol: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - C:\Arquivos de programas\AVG\AVG10\Toolbar\IEToolbar.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG10\avgpp.dll

O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll

O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehcef.dll

O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll

O23 - Service: AVG Security Toolbar Service - Unknown owner - C:\Arquivos de programas\AVG\AVG10\Toolbar\ToolbarBroker.exe

O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Arquivos de programas\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe

O23 - Service: Watchdog do AVG (avgwd) - AVG Technologies CZ, s.r.o. - C:\Arquivos de programas\AVG\AVG10\avgwdsvc.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - Firebird Project - C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - Firebird Project - C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbserver.exe

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Arquivos de programas\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

 

--

End of file - 9035 bytes

[wings 22]

1.

Essa mensagem começou subitamente ou após instalar algo?

 

2.

*Responda a pergunta acima e depois faça um scan online com o NOD32

 

 

*Ao término cole o relatório criado em C:\Arquivos de programas\EsetOnlineScanner\log

[Sandra Corrêa 0]

Respondendo às Perguntas:

 

1-Acho que começou subitamente;

 

2-Já fiz o scaneamento online. Aqui está o relatório:

 

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)

# OnlineScanner.ocx=1.0.0.6419

# api_version=3.0.2

# EOSSerial=cab1f8369922bd4fa62283c44956e50f

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2011-02-14 08:18:33

# local_time=2011-02-14 06:18:33 (-0300, Horário brasileiro de verão)

# country="Brazil"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=512 16777215 100 0 0 0 0 0

# compatibility_mode=768 16777215 100 0 49720232 49720232 0 0

# compatibility_mode=1032 16777173 100 96 0 40062296 0 0

# compatibility_mode=1280 16777215 100 0 0 0 0 0

# compatibility_mode=8192 67108863 100 0 0 0 0 0

# scanned=64875

# found=0

# cleaned=0

# scan_time=6906

 

Fico no aguardo.

Obrigada!

[wings 22]

1.

*Execute o arquivo c:\Arquivos de programas\ESET\ESET Online Scanner\OnlineScannerUninstaller.exe

 

2.

*Baixe o GMER e salve-o no desktop

*Crie uma pasta chamada GMER em C:\ e extraia para lá

*Desative temporariamente o antivírus

*Execute o gmer

*Caso receba a mensagem de atividade de rootkit e se deseja fazer um scan, clique [NÃO]

Na coluna da direita, desmarque:

[] IAT/EAT

[] Show All

*Clique [scan] e aguarde o término

*Clique [save...] e salve no desktop

*Cole o relatório

[Sandra Corrêa 0]

Se fiz tudo certo, aqui está o relatório:

 

GMER 1.0.15.15530 - http://www.gmer.net

Rootkit scan 2011-02-15 01:39:49

Windows 5.1.2600 Service Pack 3

Running: gmer.exe; Driver: C:\DOCUME~1\Sandra\CONFIG~1\Temp\uxryiaoc.sys

 

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\WINDOWS\system32\winlogon.exe[520] kernel32.dll!FreeLibrary 7C80AC7E 5 Bytes JMP 0132E050 C:\Arquivos de programas\GbPlugin\gbiehcef.dll (Gbieh Module/Caixa Economica Federal)

.text C:\WINDOWS\system32\winlogon.exe[520] kernel32.dll!FreeLibraryAndExitThread 7C80C210 5 Bytes JMP 0132DEF0 C:\Arquivos de programas\GbPlugin\gbiehcef.dll (Gbieh Module/Caixa Economica Federal)

 

---- Files - GMER 1.0.15 ----

 

File C:\Documents and Settings\Sandra\Cookies\sandra@quantserve[1].txt 99 bytes

 

---- EOF - GMER 1.0.15 ----

[wings 22]

1.

*delete o GMER e seu relatório

 

2.

*Clique em [iniciar] > [Executar] > digite: sfc /scannow

 

 

*Clique OK

*Será solicitado o cd do Windows

*Coloque-o no CD-Rom e aguarde o término....

*Retire o CD e reinicie o PC

 

Informe se o erro ainda persiste. Caso positivo, desinstale o AVG e baixe e o Avira

 

Informe se corrigiu.

[Sandra Corrêa 0]

Mas eu não tenho o CD do Windows...

 

Já deletei o GMER e o relatório.

O AVG já foi desinstalado e já instalei o Avira.

O que fazer sem o CD?

[wings 22]

Informe se o erro ainda persiste.

[Sandra Corrêa 0]

Nas últimas horas não tem aparecido a mensagem de erro!

Não sei se tem alguma relação com aquele erro, mas tenho o IE, o Google Chrome e o Firefox instalados e costumo alternar o uso entre eles.

Há algum problema nisso?

[wings 22]

Nas últimas horas não tem aparecido a mensagem de erro!

Não sei se tem alguma relação com aquele erro, mas tenho o IE, o Google Chrome e o Firefox instalados e costumo alternar o uso entre eles.

Há algum problema nisso?

Não há nenhum problema com o uso de vários browsers. Geralmente este problema está relacionado com o antivírus, que no seu caso era o AVG.

 

Um abraço.

[Sandra Corrêa 0]

Oi Wings,

 

Eu agradeço muito a atenção e paciência!!!

Muito obrigada mesmo por resolver meu problema.

Nota 1000!!!

[wings 22]

Tópico reaberto por solicitação do usuário. Motivo: retorno da mensagem.

 

 

Olá Sandra Corrêa

 

 

*Desative temporariamente seu antivírus

Clique com o botão direito do mouse no ícone do Avira ao lado do relógio

Clique na opção "Antivir Guard enable".

*Baixe o ComboFix e salve-o no desktop

*Execute-o e aceite o contrato

*Aceite a instalação do Console de Recuperação do Microsoft Windows, caso não esteja instalado

*Aguarde a conclusão das etapas

*Não use o mouse nem o teclado durante as etapas!!

*Cole o relatório apresentado

[Sandra Corrêa 0]

Boa tarde Wings!

 

Aqui está o relatório do ComboFix:

 

 

ComboFix 11-02-16.05 - Sandra 17/02/2011 12:57:52.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.1007.564 [GMT -2:00]

Executando de: c:\documents and settings\Sandra\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

ADS - system32: deleted 2 bytes in 1 streams.

ADS - drivers: deleted 254 bytes in 1 streams.

 

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\1.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\a.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\b.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\c.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\d.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\e.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\f.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\g.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\h.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\i.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\J.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\k.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\l.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\m.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\mru.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\n.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\o.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\p.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\q.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\r.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\s.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\t.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\u.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\v.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\w.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\x.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\y.xml

c:\documents and settings\Sandra\Dados de aplicativos\PriceGong\Data\z.xml

c:\windows\system32\oledb32.dll

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_GBPSV

-------\Service_GbpSv

 

 

(((((((((((((((( Arquivos/Ficheiros criados de 2011-01-17 to 2011-02-17 ))))))))))))))))))))))))))))

.

 

2011-02-15 16:57 . 2011-02-15 17:00 -------- d-----w- c:\windows\system32\NtmsData

2011-02-15 14:56 . 2011-02-15 14:56 -------- d-----w- c:\documents and settings\Sandra\Dados de aplicativos\Avira

2011-02-15 14:49 . 2011-01-10 16:23 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2011-02-15 14:49 . 2011-01-10 16:23 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-02-15 14:49 . 2010-06-17 16:27 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2011-02-15 14:49 . 2010-06-17 16:27 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2011-02-15 14:49 . 2011-02-15 14:49 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Avira

2011-02-15 14:49 . 2011-02-15 14:49 -------- d-----w- c:\arquivos de programas\Avira

2011-02-14 16:58 . 2011-02-14 17:15 -------- d-----w- C:\HijackThis2.0.4

2011-02-13 15:53 . 2011-02-13 15:53 -------- d-----w- c:\documents and settings\Sandra\Dados de aplicativos\Malwarebytes

2011-02-13 15:53 . 2011-02-13 15:53 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2011-02-13 15:53 . 2011-02-14 17:19 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2011-02-11 19:20 . 2011-02-11 19:20 -------- d-sh--w- c:\documents and settings\Sandra\IECompatCache

2011-01-31 16:51 . 2011-01-31 16:51 -------- d-----w- c:\windows\system32\wbem\Repository

2011-01-31 16:10 . 2011-01-31 16:10 -------- d-----w- c:\documents and settings\Sandra\Configurações locais\Dados de aplicativos\Help

 

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-02-08 13:37 . 2009-02-16 15:11 47008 ----a-w- c:\windows\system32\drivers\GbpKm.sys

2011-01-21 14:44 . 2008-04-14 12:00 440832 ----a-w- c:\windows\system32\shimgvw.dll

2011-01-07 14:09 . 2008-04-14 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll

2010-12-22 12:34 . 2008-04-14 12:00 301568 ----a-w- c:\windows\system32\kerberos.dll

2010-12-20 23:51 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll

2010-12-20 23:51 . 2008-04-14 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll

2010-12-20 23:51 . 2008-04-14 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl

2010-12-20 17:25 . 2008-04-14 12:00 732672 ----a-w- c:\windows\system32\lsasrv.dll

2010-12-20 12:55 . 2008-04-14 12:00 385024 ----a-w- c:\windows\system32\html.iec

2010-12-09 15:15 . 2008-04-14 12:00 734208 ----a-w- c:\windows\system32\ntdll.dll

2010-12-09 15:13 . 2008-04-14 12:00 2196992 ----a-w- c:\windows\system32\ntoskrnl.exe

2010-12-09 15:13 . 2008-04-13 19:00 2073600 ----a-w- c:\windows\system32\ntkrnlpa.exe

2010-12-09 14:29 . 2008-04-14 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll

2010-07-23 02:40 . 2010-08-25 23:54 2944904 -c--a-w- c:\arquivos de programas\Arquivos comuns\AskToolbarInstaller.exe

2009-06-24 15:17 . 2009-06-24 15:17 482336 -c--a-w- c:\arquivos de programas\RealPlayer11GOLD.exe

2009-02-19 19:49 . 2009-02-19 19:49 16409960 ----a-w- c:\arquivos de programas\spybotsd162.exe

.

 

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-08-26 39408]

"MsnMsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2010-04-17 3872080]

"Google Update"="c:\documents and settings\Sandra\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" [2010-10-14 136176]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CorelDRAW Graphics Suite 11b"="c:\arquivos de programas\Corel\Corel Graphics 12\Languages\BR\Programs\Registration.exe" [2003-11-28 729088]

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2009-06-24 198160]

"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"SunJavaUpdateSched"="c:\arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe" [2010-05-14 248552]

"avgnt"="c:\arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\

Adobe Gamma Loader.lnk - c:\arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe [2009-2-7 110592]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{E37CB5F0-51F5-4395-A808-5FA49E399003}"= "c:\arquivos de programas\GbPlugin\gbiehcef.dll" [2011-01-12 344520]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]

2011-02-08 13:34 354592 ----a-w- c:\arquivos de programas\GbPlugin\gbieh.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginCef]

2011-01-12 20:38 344520 ----a-w- c:\arquivos de programas\GbPlugin\gbiehcef.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Adobe Gamma Loader.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Adobe Gamma Loader.lnk

backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^HPZSETUP.LNK]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\HPZSETUP.LNK

backup=c:\windows\pss\HPZSETUP.LNKCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Iniciar o Office Banking Bradesco Plus.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Iniciar o Office Banking Bradesco Plus.lnk

backup=c:\windows\pss\Iniciar o Office Banking Bradesco Plus.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Microsoft Office.lnk]

path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2008-10-15 03:04 39792 -c--a-w- c:\arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2008-04-14 12:00 15360 -c--a-w- c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]

2002-11-03 21:13 188416 -c--a-w- c:\windows\system32\spool\drivers\w32x86\3\hpztsb07.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

2008-04-13 21:21 1695232 ------w- c:\arquivos de programas\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

2010-04-17 01:12 3872080 ----a-w- c:\arquiv~1\WINDOW~4\MESSEN~1\msnmsgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]

2001-07-09 10:50 155648 -c--a-w- c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCTVOICE]

2001-09-06 02:50 86016 -c--a-w- c:\windows\system32\pctspk.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=

"c:\\Arquivos de programas\\eMule\\emule.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\Java\\jre6\\bin\\javaw.exe"=

 

R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\GbpKm.sys [16/02/2009 13:11 47008]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [15/02/2011 12:49 135336]

R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\arquivos de programas\Firebird\Firebird_2_1\bin\fbguard.exe [24/12/2010 15:03 81920]

R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\arquivos de programas\Firebird\Firebird_2_1\bin\fbserver.exe [24/12/2010 15:03 2732032]

S2 gupdate;Google Update Service (gupdate);c:\arquivos de programas\Google\Update\GoogleUpdate.exe [26/08/2010 21:03 136176]

.

Conteúdo da pasta 'Tarefas Agendadas'

 

2011-02-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\arquivos de programas\Google\Update\GoogleUpdate.exe [2010-08-26 23:03]

 

2011-02-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\arquivos de programas\Google\Update\GoogleUpdate.exe [2010-08-26 23:03]

 

2011-02-17 c:\windows\Tasks\User_Feed_Synchronization-{577FE681-F78C-404E-B1AA-B94BA80056F8}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 07:31]

.

.

------- Scan Suplementar -------

.

uStart Page = hxxp://www.google.com.br/

IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html

FF - ProfilePath - c:\documents and settings\Sandra\Dados de aplicativos\Mozilla\Firefox\Profiles\0flgjlzp.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\arquivos de programas\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\arquivos de programas\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}

FF - Ext: Java Quick Starter: jqs@sun.com - c:\arquivos de programas\Java\jre6\lib\deploy\jqs\ff

.

- - - - ORFÃOS REMOVIDOS - - - -

 

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

MSConfigStartUp-Cmaudio - cmicnfg.cpl

AddRemove-HijackThis - c:\hijack\HijackThis.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-02-17 13:14

Windows 5.1.2600 Service Pack 3 NTFS

 

Procurando processos ocultos ...

 

Procurando entradas auto inicializáveis ocultas ...

 

Procurando ficheiros/arquivos ocultos ...

 

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

 

**************************************************************************

.

--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

 

- - - - - - - > 'winlogon.exe'(524)

c:\arquivos de programas\GbPlugin\gbieh.dll

c:\arquivos de programas\GbPlugin\gbiehcef.dll

 

- - - - - - - > 'explorer.exe'(1736)

c:\windows\system32\WININET.dll

c:\arquivos de programas\GbPlugin\gbiehcef.dll

c:\windows\system32\webcheck.dll

c:\arquivos de programas\Scpad\scpLIB.dll

c:\arquivos de programas\Scpad\scpMIB.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Avira\AntiVir Desktop\avguard.exe

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

.

**************************************************************************

.

Tempo para conclusão: 2011-02-17 13:28:13 - Máquina reiniciou

ComboFix-quarantined-files.txt 2011-02-17 15:28

 

Pré-execução: 18 pasta(s) 18.657.550.336 bytes disponíveis

Pós execução: 21 pasta(s) 18.657.394.688 bytes disponíveis

 

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

- - End Of File - - C3E60AC92E1A11CA963C9856B0472FB9

[wings 22]

OK...o log está limpo.

 

 

*Clique [iniciar] > [Executar] > copie e cole: Combofix /uninstall

 

 

*Clique [OK] > [Executar]

*Aguarde a mensagem: "ComboFix está desinstalado" e clique [OK]

 

 

Um abraço.

[Sandra Corrêa 0]

Oiii!!!

Segui os passos para desinstalação, inclusive desativando o Avira, aguardei a mensagem "ComboFix está desinstalado", mas não apareceu a mensagem e o ComboFix não foi desinstalado.

[wings 22]

*Baixe o DelFix e salve-o no desktop

*Execute-o e clique [suppression]

*Cole o relatório apresentado

[Sandra Corrêa 0]

O link para o DelFix está corrompido e não achei no Google nenhum lugar de onde eu possa baixá-lo...

[wings 22]

Baixe aqui