[Resolvido] &nbspNão consigo instalar nenhum anti-virus

[ZeroOfTheRebellion 0]

O arquivo .exe some depois que eu clico nele :angry:

Segue o log do Hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 18:15:54, on 12/3/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Expat Shield\bin\openvpnas.exe

C:\Arquivos de programas\Expat Shield\HssWPR\hsssrv.exe

C:\Arquivos de programas\Expat Shield\bin\hsswd.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe

C:\DOCUME~1\familia\CONFIG~1\Temp\flurly.exe

C:\DOCUME~1\familia\CONFIG~1\Temp\w7f76d.exe

C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Meus documentos\Downloads\Nova pasta\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R3 - URLSearchHook: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Arquivos de programas\ConduitEngine\ConduitEngine.dll

O2 - BHO: Expat Shield Class - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - C:\Arquivos de programas\Expat Shield\HssIE\ExpatIE.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O3 - Toolbar: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Arquivos de programas\ConduitEngine\ConduitEngine.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [uTorrent] "C:\Arquivos de programas\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Expat Shield Service (ExpatShieldService) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\openvpnas.exe

O23 - Service: Expat Shield Routing Service (ExpatSrv) - AnchorFree Inc. - C:\Arquivos de programas\Expat Shield\HssWPR\hsssrv.exe

O23 - Service: Expat Shield Tray Service (ExpatTrayService) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\ExpatTrayService.EXE

O23 - Service: Expat Shield Monitoring Service (ExpatWd) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\hsswd.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

 

--

End of file - 6505 bytes

[Power Max 54]

:) Olá ZeroOfTheRebellion!

 

:seta: Para evitar que os virus voltem, desative a restauração do sistema e mantenha ela desativada até que o problema seja resolvido. Para isso, vá no menu: Iniciar - Painel de Controle - Sistema - Clique na aba: Restauração do Sistema - Marque a caixinha: Desativar restauração do sistema - Clique no botão: Aplicar e no botão: Ok.

________________________

 

:seta: Depois disto, faça , por gentileza, o download do Norman Malware Cleaner no endereço abaixo (coloquei o nome dele como Jovem Campeão para que se algum virus tentar bloquear a execução dele possamos enganá-lo):

http://www.4shared.com/file/7HK6FZeW/Jovem_Campeo_3.html

 

Ao acessar este site acima, clique no botão Download now > aguarde a contagem regressiva > Clique na opção: Click here to download this file.

 

Depois disto é só executá-lo normalmente como é ensinado no tutorial dele abaixo:

 

Tutorial do Norman Malware Cleaner

 

Na sua próxima resposta poste o conteúdo do log do Norman Malware Cleaner juntamente com um novo log do Hijackthis e nos diga como está o seu PC depois disto.

 

Ficamos na espera.

[ZeroOfTheRebellion 0]

Log do Hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 21:56:58, on 12/3/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe

C:\Arquivos de programas\Expat Shield\bin\openvpnas.exe

C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

C:\Arquivos de programas\Expat Shield\HssWPR\hsssrv.exe

C:\Arquivos de programas\Expat Shield\bin\hsswd.exe

C:\WINDOWS\System32\svchost.exe

C:\DOCUME~1\familia\CONFIG~1\Temp\wintjhwbb.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\DOCUME~1\familia\CONFIG~1\Temp\w7c5ce.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Meus documentos\Downloads\Nova pasta\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R3 - URLSearchHook: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Arquivos de programas\ConduitEngine\ConduitEngine.dll

O2 - BHO: Expat Shield Class - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - C:\Arquivos de programas\Expat Shield\HssIE\ExpatIE.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O3 - Toolbar: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Arquivos de programas\ConduitEngine\ConduitEngine.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [uTorrent] "C:\Arquivos de programas\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Expat Shield Service (ExpatShieldService) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\openvpnas.exe

O23 - Service: Expat Shield Routing Service (ExpatSrv) - AnchorFree Inc. - C:\Arquivos de programas\Expat Shield\HssWPR\hsssrv.exe

O23 - Service: Expat Shield Tray Service (ExpatTrayService) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\ExpatTrayService.EXE

O23 - Service: Expat Shield Monitoring Service (ExpatWd) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\hsswd.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

 

--

End of file - 6306 bytes

 

Log do norman malware cleaner:

 

Norman Malware Cleaner

Version 1.8.3

Copyright © 1990 - 2010, Norman ASA. Built 2011/03/04 23:19:17

 

Norman Scanner Engine Version: 6.07.03

Nvcbin.def Version: 6.07.00, Date: 2011/03/04 23:19:17, Variants: 10273057

 

Scan started: 2011/03/12 19:31:48

 

Running pre-scan cleanup routine:

Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 3

Logged on user: FAMILIA-208024A\familia

 

 

Scanning kernel...

 

Kernel scan complete

 

 

Scanning bootsectors...

 

Number of sectors found: 1

Number of sectors scanned: 1

Number of sectors not scanned: 0

Number of infections found: 0

Number of infections removed: 0

Total scanning time: 0s 63ms

 

 

Scanning running processes and process memory...

 

C:\WINDOWS\system32\igfxtray.exe (Infected with W32/Sality.BM)

Failed to repair file

 

C:\WINDOWS\system32\hkcmd.exe (Infected with W32/Sality.BM)

Failed to repair file

 

C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe (Infected with W32/Sality.BM)

Failed to repair file

 

C:\Arquivos de programas\Messenger\msmsgs.exe (Infected with W32/Sality.BM)

Failed to repair file

 

C:\Documents and Settings\familia\Configurações locais\Temp\flurly.exe (Infected with W32/Suspicious!api.A)

Terminated process

Removed registry value: HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List -> C:\DOCUME~1\familia\CONFIG~1\Temp\flurly.exe = "C:\DOCUME~1\familia\CONFIG~1\Temp\flurly.exe:*:Enabled:ipsec"

Deleted file

 

Number of processes/threads found: 2620

Number of processes/threads scanned: 2620

Number of processes/threads not scanned: 0

Number of infected processes/threads terminated: 1

Total scanning time: 11m 56s

 

 

Scanning file system...

 

Scanning: prescan

 

Scanning: C:\*.*

 

C:\Arquivos de programas\Adobe\Reader 9.0\Reader\AcroTextExtractor.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Eula.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Arquivos de programas\Adobe\Reader 9.0\Reader\LogTransport2.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\Adobe\Reader 9.0\Reader\reader_sl.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\Ares\Uninstall.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\ConduitEngine\ConduitEngineHelper.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\Expat Shield\bin\ExpatTrayService.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Arquivos de programas\Expat Shield\bin\openvpn.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\Expat Shield\bin\openvpntray.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Arquivos de programas\Expat Shield\Uninstall.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\InstallShield Installation Information\{FC9512AE-869C-4330-95B3-C92A44B38C74}\setup.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Arquivos de programas\IObit\Advanced SystemCare 3\Sut_SoftUninstaller.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\K-Lite Codec Pack\Tools\CodecTweakTool.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\K-Lite Codec Pack\Tools\dsconfig.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\K-Lite Codec Pack\Tools\graphstudio.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\K-Lite Codec Pack\Tools\mediainfo.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\K-Lite Codec Pack\Tools\StatsReader.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\K-Lite Codec Pack\Tools\VobSubStrip.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\LeveUp! Games\RagnarokOnline\Ragnarok.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\LeveUp! Games\RagnarokOnline\Setup.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Arquivos de programas\Messenger\msmsgs.exe (Infected with W32/Sality.BM)

Failed to repair file

 

C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe (Infected with W32/Sality.BM)

Failed to repair file

 

C:\Arquivos de programas\Mozilla Firefox\uninstall\helper.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\mp3DirectCut\mp3DirectCut.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\Pando Networks\Media Booster\BsSndRpt.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\Pando Networks\Media Booster\uninst.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Arquivos de programas\PhotoScape\PhotoScape.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\PhotoScape\uninstall.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\uTorrent\uTorrent.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\uTorrentBar_PT\UNWISE.EXE (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\uTorrentBar_PT\uTorrentBar_PTToolbarHelper.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Arquivos de programas\VideoLAN\VLC\uninstall.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\VideoLAN\VLC\vlc-cache-gen.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\VideoLAN\VLC\vlc.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\VS Revo Group\Revo Uninstaller\Revouninstaller.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Arquivos de programas\Windows Live\Messenger\msvs.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Arquivos de programas\Windows NT\hypertrm.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Arquivos de programas\Yuna Software\Messenger Plus!\Log Viewer.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\Yuna Software\Messenger Plus!\MPTools.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Arquivos de programas\Yuna Software\Messenger Plus!\Uninstall.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Update\1.2.183.39\GoogleCrashHandler.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Update\1.2.183.39\GoogleUpdate.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Documents and Settings\familia\Configurações locais\Temp\winsmpt.exe (Infected with W32/Suspicious!api.A)

Removed registry value: HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List -> C:\DOCUME~1\familia\CONFIG~1\Temp\winsmpt.exe = "C:\DOCUME~1\familia\CONFIG~1\Temp\winsmpt.exe:*:Enabled:ipsec"

File marked for defered cleaning (reboot required)

 

C:\Documents and Settings\familia\Configurações locais\Temp\{D0767B74-A676-4009-81B3-0F0064533328}\GoogleCrashHandler.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Documents and Settings\familia\Configurações locais\Temp\{D0767B74-A676-4009-81B3-0F0064533328}\GoogleUpdate.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Documents and Settings\familia\Meus documentos\Downloads\Nova pasta\HiJackThis.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Documents and Settings\familia\Meus documentos\Downloads\revosetup.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Documents and Settings\familia\Meus documentos\Nobunaga no yabou\Bot Ragnarok\Openkore rr05 - 19-02-2011 Mercenário\start-autoupdate.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Documents and Settings\familia\Meus documentos\Nobunaga no yabou\Bot Ragnarok\Openkore rr05 - 19-02-2011 Mercenário\start-poseidon.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Documents and Settings\familia\Meus documentos\Nobunaga no yabou\Bot Ragnarok\Openkore rr05 - 19-02-2011 Mercenário\start-wx_autoupdate.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Documents and Settings\familia\Meus documentos\Nobunaga no yabou\Bot Ragnarok\Openkore rr05 - 19-02-2011 Mercenário\start.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Documents and Settings\familia\Meus documentos\Nobunaga no yabou\Bot Ragnarok\Openkore rr05 - 19-02-2011 SACER\start-autoupdate.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Documents and Settings\familia\Meus documentos\Nobunaga no yabou\Bot Ragnarok\Openkore rr05 - 19-02-2011 SACER\start-poseidon.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Documents and Settings\familia\Meus documentos\Nobunaga no yabou\Bot Ragnarok\Openkore rr05 - 19-02-2011 SACER\start-wx_autoupdate.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Documents and Settings\familia\Meus documentos\Nobunaga no yabou\Bot Ragnarok\Openkore rr05 - 19-02-2011 SACER\start.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Perl\bin\a2p.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Perl\bin\perl.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Perl\bin\perl5.12.3.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\Perl\bin\perlglob.exe (Infected with W32/Sality.BD)

Repaired file

 

C:\Perl\bin\wperl.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\vunquq.exe (Infected with Sality.dam)

Removed registry value: HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List -> C:\vunquq.exe = "C:\vunquq.exe:*:Enabled:ipsec"

Removed registry value: HKLM\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List -> C:\vunquq.exe = "C:\vunquq.exe:*:Enabled:ipsec"

Deleted file

 

C:\WINDOWS\Installer\$PatchCache$\Managed\68AB67CA7DA76401B7449A0400000010\9.4.0\acrotextextractor.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\WINDOWS\Installer\$PatchCache$\Managed\68AB67CA7DA76401B7449A0400000010\9.4.0\eula.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\WINDOWS\SoftwareDistribution\Download\b35768404278e4c4c0a303ad226d9949\BIT82.tmp/_sfx_0000._p (Error whilst scanning file: I/O Error (0x00220005))

 

C:\WINDOWS\SoftwareDistribution\Download\Install\IE8-WindowsXP-x86-PTB.exe (Infected with W32/Sality.BM)

Repaired file

 

C:\WINDOWS\SOUNDMAN.EXE (Infected with W32/Sality.BM)

Repaired file

 

C:\WINDOWS\system32\Adobe\Director\SWDNLD.EXE (Infected with W32/Sality.BM)

Repaired file

 

C:\WINDOWS\system32\hkcmd.exe (Infected with W32/Sality.BM)

Failed to repair file

 

C:\WINDOWS\system32\igfxtray.exe (Infected with W32/Sality.BM)

Failed to repair file

 

Scanning: C:\System Volume Information\*.*

 

Scanning: postscan

 

 

Running post-scan cleanup routine:

 

Number of files found: 62573

Number of archives unpacked: 583

Number of files scanned: 62570

Number of files not scanned: 3

Number of files skipped due to exclude list: 0

Number of infected files found: 70

Number of infected files repaired/deleted: 65

Number of infections removed: 65

Total scanning time: 1h 59m 46s

[Power Max 54]

:) vários arquivos foram desinfectados pelo Norman.

____________________________

 

:seta: Siga, por gentileza, esta dica:

 

Tutorial do Dr. Web CureIt

________________________

 

:seta: Depois disso é só voltar aqui no fórum e postar o novo log do Hijackthis juntamente com o log do Dr. Web CureIt para que eles possam ser analisados e nos diga como está seu PC depois disto.

 

Ficamos no aguardo de sua resposta.

[ZeroOfTheRebellion 0]

Não estou conseguindo baixar o arquivo Dr. Web CureIt, o site não está carregando.

Eu tentei acessá-lo pelo Chrome e pelo Mozilla, mas não deu...

[Power Max 54]

Não estou conseguindo baixar o arquivo Dr. Web CureIt, o site não está carregando.

Eu tentei acessá-lo pelo Chrome e pelo Mozilla, mas não deu...

:seta: Faça então o download dele no endereço abaixo, no qual troquei o nome e a extensão dele para que o download dele não seja bloqueado pelos malwares:

http://www.4shared.com/file/yPj3KTmr/Golden_2.html

[ZeroOfTheRebellion 0]

Log do hijackthis:

 

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 15:15:10, on 13/3/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe

C:\Arquivos de programas\Expat Shield\bin\openvpnas.exe

C:\Arquivos de programas\Expat Shield\HssWPR\hsssrv.exe

C:\Arquivos de programas\Expat Shield\bin\hsswd.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Meus documentos\Downloads\Nova pasta\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R3 - URLSearchHook: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Arquivos de programas\ConduitEngine\ConduitEngine.dll

O2 - BHO: Expat Shield Class - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - C:\Arquivos de programas\Expat Shield\HssIE\ExpatIE.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O3 - Toolbar: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Arquivos de programas\ConduitEngine\ConduitEngine.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [uTorrent] "C:\Arquivos de programas\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Expat Shield Service (ExpatShieldService) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\openvpnas.exe

O23 - Service: Expat Shield Routing Service (ExpatSrv) - AnchorFree Inc. - C:\Arquivos de programas\Expat Shield\HssWPR\hsssrv.exe

O23 - Service: Expat Shield Tray Service (ExpatTrayService) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\ExpatTrayService.EXE

O23 - Service: Expat Shield Monitoring Service (ExpatWd) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\hsswd.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

 

--

End of file - 6146 bytes

 

Log do Dr Web CureIt:

 

 

Registry Cleaner.exe;C:\Arquivos de programas\Argente - Registry Cleaner;Win32.Sector.22;Desinfectado.;

_desktop.ini;C:\Arquivos de programas\LeveUp! Games\RagnarokOnline\skin\default;Win32.HLLW.Gavir.ini;Eliminado.;

_desktop.ini;C:\Arquivos de programas\LeveUp! Games\RagnarokOnline\skin\default\basic_interface;Win32.HLLW.Gavir.ini;Eliminado.;

_desktop.ini;C:\Arquivos de programas\LeveUp! Games\RagnarokOnline\skin\Scribbling Kid;Win32.HLLW.Gavir.ini;Eliminado.;

_desktop.ini;C:\Arquivos de programas\LeveUp! Games\RagnarokOnline\skin\Scribbling Kid\basic_interface;Win32.HLLW.Gavir.ini;Eliminado.;

chrome_installer.exe;C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Update\Download\{EF11C59C-C06B-44B4-8DAB-230;Win32.Sector.22;Desinfectado.;

 

Log do hijackthis:

 

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 15:15:10, on 13/3/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe

C:\Arquivos de programas\Expat Shield\bin\openvpnas.exe

C:\Arquivos de programas\Expat Shield\HssWPR\hsssrv.exe

C:\Arquivos de programas\Expat Shield\bin\hsswd.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Meus documentos\Downloads\Nova pasta\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R3 - URLSearchHook: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Arquivos de programas\ConduitEngine\ConduitEngine.dll

O2 - BHO: Expat Shield Class - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - C:\Arquivos de programas\Expat Shield\HssIE\ExpatIE.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O3 - Toolbar: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Arquivos de programas\ConduitEngine\ConduitEngine.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [uTorrent] "C:\Arquivos de programas\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Expat Shield Service (ExpatShieldService) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\openvpnas.exe

O23 - Service: Expat Shield Routing Service (ExpatSrv) - AnchorFree Inc. - C:\Arquivos de programas\Expat Shield\HssWPR\hsssrv.exe

O23 - Service: Expat Shield Tray Service (ExpatTrayService) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\ExpatTrayService.EXE

O23 - Service: Expat Shield Monitoring Service (ExpatWd) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\hsswd.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

 

--

End of file - 6146 bytes

 

Log do Dr Web CureIt:

 

 

Registry Cleaner.exe;C:\Arquivos de programas\Argente - Registry Cleaner;Win32.Sector.22;Desinfectado.;

_desktop.ini;C:\Arquivos de programas\LeveUp! Games\RagnarokOnline\skin\default;Win32.HLLW.Gavir.ini;Eliminado.;

_desktop.ini;C:\Arquivos de programas\LeveUp! Games\RagnarokOnline\skin\default\basic_interface;Win32.HLLW.Gavir.ini;Eliminado.;

_desktop.ini;C:\Arquivos de programas\LeveUp! Games\RagnarokOnline\skin\Scribbling Kid;Win32.HLLW.Gavir.ini;Eliminado.;

_desktop.ini;C:\Arquivos de programas\LeveUp! Games\RagnarokOnline\skin\Scribbling Kid\basic_interface;Win32.HLLW.Gavir.ini;Eliminado.;

chrome_installer.exe;C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Update\Download\{EF11C59C-C06B-44B4-8DAB-230;Win32.Sector.22;Desinfectado.;

[Power Max 54]

:) Outros problemas foram removidos pelo Dr. Web CureIt.

__________________________

 

:seta: Baixe o programa Sality_off e salve-o no desktop (área de trabalho):

 

*Extraia o conteúdo de sality_off.zip para C:\

 

 

*Desative seu antivírus temporariamente

 

*Clique em Iniciar > Executar > digite: C:\Sality_off.exe -m

 

 

*Clique OK

 

*Mantenha o programa rodando. Não feche esta janela!! se desejar, minimize-a.

 

 

Entendendo o motivo:

Mantendo o referido programa com esta função ( -m ), ele permanecerá monitorando a pasta C:\system32, evitando assim futuras contaminações pelo Sality.

_________________________

 

:seta: Agora, dê duplo clique no arquivo C:\Sality_off.exe e aguarde. Ao receber a mensagem "Pressione qualquer tecla para continuar...", tecle [ENTER]

*O programa será fechado automaticamente.

 

 

*Agora feche a janela do monitoramento da memória.

_________________________

 

:seta: Baixe o SalityKiller e salve-o no desktop

http://support.kaspersky.com/downloads/utils/salitykiller.zip

 

*Extraia o seu conteúdo para C:\

*Mantenha desativada a Restauração do Sistema

 

*Este programa irá rodar em 2 janelas distintas ao mesmo tempo!!

 

*A primeira janela:

*Clique em [iniciar] > [Executar] > digite: C:\salitykiller.exe -m

*Clique [OK]

*Mantenha a janela rodando. Não feche-a!! Se desejar, minimize-a.

 

*A segunda janela:

*Clique em [iniciar] > [Executar] > digite: C:\salitykiller.exe -y -x -j -l sality.txt -v

*Clique [OK]

*Ao término, a janela 2 será fechada automaticamente. Feche, então, a janela 1.

*Cole o resumo localizado no final do arquivo conforme o texto em destaque e também nos diga se o Sality Off funcionou corretamente:

 

Infected files: 6382

19:59:42 Infected processes: 0

19:59:42 Infected threads: 0

19:59:42 Cured files: 5808

19:59:42 Executed registry scripts: 1

[ZeroOfTheRebellion 0]

Eu segui passo a passo e aqui está o resultado:

 

 

16:50:27:421 3412 Infected files: 0

16:50:27:421 3412 Infected processes: 0

16:50:27:421 3412 Infected threads: 0

16:50:27:421 3412 Cured files: 0

16:50:27:421 3412 Will be cured on reboot: 0

16:50:27:421 3412 Executed registry scripts: 1

[Power Max 54]

:seta: Sugiro um ótimo antivirus gratuito para você, como o Avira AntiVir Personal Edition Classic 2010.

 

Para instalar, configurar e usar corretamente o Avira antivir é só seguir as dicas destes tutoriais:

 

Tutorial do Avira AntiVir Personal Edition Classic 2010 (Instalação e Configuração)

 

Tutorial do Avira AntiVir Personal Edition Classic 2010 (como usá-lo corretamente)

_____________________________

 

:seta: Depois de instalar e configurar o Avira Antivir seguindo as dicas dos tutoriais acima, atualize-o (faça um update) e reinicie o seu computador e entre pelo Modo de Segurança (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a opção Modo Seguro ou Modo de Segurança). Aí quando o computador tiver reiniciado, clique com o botão direito do mouse sobre o símbolo do Avira (aquele guarda-chuva vermelho aberto ao lado do relógio do Windows) e escolha a opção Iniciar o AntiVir > clique na opção Verif. sistema agora > e aguarde a conclusão do escaneamento.

 

Obs: Caso não seja possível fazer o escaneamento com o Avira Antivir no Modo Seguro do Windows, faça-o no modo normal.

_______________________________________________________________

 

:seta: Quando você tiver removido os virus que o Avira Antivir encontrar, reinicie o computador normalmente. Clique com o botão direito do mouse sobre o ícone do Avira (aquele guarda-chuva vermelho aberto ao lado do relógio do Windows) e escolha a opção Iniciar o AntiVir > clique na opção Relatórios > dê um duplo clique com o botão esquerdo do mouse sobre o log mais recente e clique no botão Arquivo de relatório > Depois será aberta uma tela com o log, então é só selecionar este Log (Clique no menu: Editar » Selecionar Tudo), depois disso volte novamente no menu: Editar » e clique na opção: Copiar) > Depois disso é só voltar aqui no fórum e postar este log do Avira Antivir juntamente com um novo log do Hijackthis para que eles possam ser analizados.

 

Ficamos no aguardo de sua resposta.

[ZeroOfTheRebellion 0]

Eu não consegui instalar o Avira, apareceu uma mensagem em alemão e a janela de instalação travou

 

Edit: Consegui instalar, postarei novamente quando terminar o scan

[Power Max 54]

Edit: Consegui instalar, postarei novamente quando terminar o scan

:thumbsup: Ok, ficamos na espera.

[ZeroOfTheRebellion 0]

Log do Avira:

 

 

 

 

Avira AntiVir Personal

Data do arquivo de relatório: domingo, 13 de março de 2011 18:16

 

Fazendo a varredura quanto a 2488052 suspeitas de vírus e programas indesejados.

 

O programa está sendo executado como versão completa sem limitações.

Serviços on-line estão disponíveis:

 

Licenciado : Avira AntiVir Personal - FREE Antivirus

Número de série : 0000149996-ADJIE-0000001

Plataforma : Windows XP

Versão do Windows : (Service Pack 3) [5.1.2600]

Modo de inicialização : Normalmente inicializado

Nome de usuário : SYSTEM

Nome do computador : FAMILIA-208024A

 

Informações da versão:

BUILD.DAT : 10.0.0.48 31820 Bytes 4/2/2011 14:29:00

AVSCAN.EXE : 10.0.3.5 435368 Bytes 4/2/2011 15:11:10

AVSCAN.DLL : 10.0.3.0 52584 Bytes 4/2/2011 15:11:27

LUKE.DLL : 10.0.3.2 104296 Bytes 4/2/2011 15:11:18

LUKERES.DLL : 10.0.0.1 13160 Bytes 4/2/2011 15:11:28

VBASE000.VDF : 7.10.0.0 19875328 Bytes 6/11/2009 12:05:36

VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 15:11:25

VBASE002.VDF : 7.11.3.0 1950720 Bytes 9/2/2011 20:59:17

VBASE003.VDF : 7.11.3.1 2048 Bytes 9/2/2011 20:59:17

VBASE004.VDF : 7.11.3.2 2048 Bytes 9/2/2011 20:59:18

VBASE005.VDF : 7.11.3.3 2048 Bytes 9/2/2011 20:59:18

VBASE006.VDF : 7.11.3.4 2048 Bytes 9/2/2011 20:59:18

VBASE007.VDF : 7.11.3.5 2048 Bytes 9/2/2011 20:59:19

VBASE008.VDF : 7.11.3.6 2048 Bytes 9/2/2011 20:59:19

VBASE009.VDF : 7.11.3.7 2048 Bytes 9/2/2011 20:59:19

VBASE010.VDF : 7.11.3.8 2048 Bytes 9/2/2011 20:59:20

VBASE011.VDF : 7.11.3.9 2048 Bytes 9/2/2011 20:59:20

VBASE012.VDF : 7.11.3.10 2048 Bytes 9/2/2011 20:59:20

VBASE013.VDF : 7.11.3.59 157184 Bytes 14/2/2011 20:59:22

VBASE014.VDF : 7.11.3.97 120320 Bytes 16/2/2011 20:59:23

VBASE015.VDF : 7.11.3.148 128000 Bytes 19/2/2011 20:59:24

VBASE016.VDF : 7.11.3.183 140288 Bytes 22/2/2011 20:59:25

VBASE017.VDF : 7.11.3.216 124416 Bytes 24/2/2011 20:59:27

VBASE018.VDF : 7.11.3.251 159232 Bytes 28/2/2011 20:59:29

VBASE019.VDF : 7.11.4.33 148992 Bytes 2/3/2011 20:59:31

VBASE020.VDF : 7.11.4.73 150016 Bytes 6/3/2011 20:59:32

VBASE021.VDF : 7.11.4.108 122880 Bytes 8/3/2011 20:59:33

VBASE022.VDF : 7.11.4.150 133120 Bytes 10/3/2011 20:59:35

VBASE023.VDF : 7.11.4.151 2048 Bytes 10/3/2011 20:59:35

VBASE024.VDF : 7.11.4.152 2048 Bytes 10/3/2011 20:59:36

VBASE025.VDF : 7.11.4.153 2048 Bytes 10/3/2011 20:59:37

VBASE026.VDF : 7.11.4.154 2048 Bytes 10/3/2011 20:59:37

VBASE027.VDF : 7.11.4.155 2048 Bytes 10/3/2011 20:59:38

VBASE028.VDF : 7.11.4.156 2048 Bytes 10/3/2011 20:59:38

VBASE029.VDF : 7.11.4.157 2048 Bytes 10/3/2011 20:59:39

VBASE030.VDF : 7.11.4.158 2048 Bytes 10/3/2011 20:59:39

VBASE031.VDF : 7.11.4.178 104960 Bytes 13/3/2011 20:59:41

Versão do mecanismo : 8.2.4.180

AEVDF.DLL : 8.1.2.1 106868 Bytes 4/2/2011 15:11:07

AESCRIPT.DLL : 8.1.3.56 1261945 Bytes 13/3/2011 21:00:05

AESCN.DLL : 8.1.7.2 127349 Bytes 4/2/2011 15:11:06

AESBX.DLL : 8.1.3.2 254324 Bytes 4/2/2011 15:11:06

AERDL.DLL : 8.1.9.2 635252 Bytes 4/2/2011 15:11:05

AEPACK.DLL : 8.2.4.11 520566 Bytes 13/3/2011 21:00:00

AEOFFICE.DLL : 8.1.1.17 205177 Bytes 13/3/2011 20:59:58

AEHEUR.DLL : 8.1.2.83 3338613 Bytes 13/3/2011 20:59:56

AEHELP.DLL : 8.1.16.1 246134 Bytes 3/2/2011 23:54:42

AEGEN.DLL : 8.1.5.2 397683 Bytes 4/2/2011 15:10:59

AEEMU.DLL : 8.1.3.0 393589 Bytes 4/2/2011 15:10:59

AECORE.DLL : 8.1.19.2 196983 Bytes 4/2/2011 15:10:59

AEBB.DLL : 8.1.1.0 53618 Bytes 4/2/2011 15:10:59

AVWINLL.DLL : 10.0.0.0 19304 Bytes 4/2/2011 15:11:11

AVPREF.DLL : 10.0.0.0 44904 Bytes 4/2/2011 15:11:09

AVREP.DLL : 10.0.0.8 62209 Bytes 17/6/2010 17:29:08

AVREG.DLL : 10.0.3.2 53096 Bytes 4/2/2011 15:11:09

AVSCPLR.DLL : 10.0.3.2 84328 Bytes 4/2/2011 15:11:10

AVARKT.DLL : 10.0.22.6 231784 Bytes 4/2/2011 15:11:07

AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 4/2/2011 15:11:08

SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/6/2010 17:29:17

AVSMTP.DLL : 10.0.0.17 63848 Bytes 4/2/2011 15:11:10

NETNT.DLL : 10.0.0.0 11624 Bytes 17/6/2010 17:29:16

RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 16/2/2010 12:49:20

RCTEXT.DLL : 10.0.58.0 98664 Bytes 4/2/2011 15:11:28

 

Opções de configuração para a varredura:

Nome da tarefa......................................: Verif. compl. do sistema

Arquivo de configuração.............................: C:\Arquivos de programas\Avira\AntiVir Desktop\sysscan.avp

Registro............................................: baixo

Ação primária.......................................: reparar

Ação secundária.....................................: excluir

Fazer a varredura do setor mestre de inicialização..: ativado

Fazer a varredura do setor de inicialização.........: ativado

Setores de inicialização............................: C:,

Varredura do processo...............................: ativado

Varredura do processo estendida.....................: ativado

Fazer a varredura do registro.......................: ativado

Verificação por rootkits............................: ativado

Verificação da integridade dos arquivos de sistema..: desativado

Fazer a varredura de todos os arquivos..............: Todos os arquivos

Fazer a varredura dos arquivamentos.................: ativado

Profundidade de recursão............................: 20

Extensões inteligentes..............................: ativado

Heurística de macro.................................: ativado

Heurística do arquivo...............................: médio

Desviando categorias de risco.......................: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

 

Início da varredura: domingo, 13 de março de 2011 18:16

 

Iniciando a pesquisa de objetos ocultos.

 

A varredura dos processos em execução será iniciada

Processo de varredura 'msdtc.exe' – foi feita a varredura em '40' módulo(s)

Processo de varredura 'dllhost.exe' – foi feita a varredura em '58' módulo(s)

Processo de varredura 'dllhost.exe' – foi feita a varredura em '45' módulo(s)

Processo de varredura 'vssvc.exe' – foi feita a varredura em '48' módulo(s)

Processo de varredura 'avscan.exe' – foi feita a varredura em '66' módulo(s)

Processo de varredura 'avcenter.exe' – foi feita a varredura em '61' módulo(s)

Processo de varredura 'avgnt.exe' – foi feita a varredura em '48' módulo(s)

Processo de varredura 'sched.exe' – foi feita a varredura em '53' módulo(s)

Processo de varredura 'avshadow.exe' – foi feita a varredura em '26' módulo(s)

Processo de varredura 'avguard.exe' – foi feita a varredura em '54' módulo(s)

Processo de varredura 'svchost.exe' – foi feita a varredura em '34' módulo(s)

Processo de varredura 'hsswd.exe' – foi feita a varredura em '35' módulo(s)

Processo de varredura 'hsssrv.exe' – foi feita a varredura em '43' módulo(s)

Processo de varredura 'openvpnas.exe' – foi feita a varredura em '31' módulo(s)

Processo de varredura 'svchost.exe' – foi feita a varredura em '34' módulo(s)

Processo de varredura 'AWC.exe' – foi feita a varredura em '76' módulo(s)

Processo de varredura 'msmsgs.exe' – foi feita a varredura em '41' módulo(s)

Processo de varredura 'ctfmon.exe' – foi feita a varredura em '25' módulo(s)

Processo de varredura 'MsgPlus.exe' – foi feita a varredura em '20' módulo(s)

Processo de varredura 'hkcmd.exe' – foi feita a varredura em '30' módulo(s)

Processo de varredura 'igfxtray.exe' – foi feita a varredura em '30' módulo(s)

Processo de varredura 'Explorer.EXE' – foi feita a varredura em '122' módulo(s)

Processo de varredura 'spoolsv.exe' – foi feita a varredura em '50' módulo(s)

Processo de varredura 'svchost.exe' – foi feita a varredura em '40' módulo(s)

Processo de varredura 'svchost.exe' – foi feita a varredura em '32' módulo(s)

Processo de varredura 'svchost.exe' – foi feita a varredura em '158' módulo(s)

Processo de varredura 'svchost.exe' – foi feita a varredura em '38' módulo(s)

Processo de varredura 'svchost.exe' – foi feita a varredura em '53' módulo(s)

Processo de varredura 'lsass.exe' – foi feita a varredura em '59' módulo(s)

Processo de varredura 'services.exe' – foi feita a varredura em '36' módulo(s)

Processo de varredura 'winlogon.exe' – foi feita a varredura em '77' módulo(s)

Processo de varredura 'csrss.exe' – foi feita a varredura em '13' módulo(s)

Processo de varredura 'smss.exe' – foi feita a varredura em '2' módulo(s)

 

Iniciando a varredura do setor mestre de inicialização:

HD0 do setor mestre de inicialização

[iNFO] Nenhum vírus foi encontrado!

 

Iniciar a varredura dos setores de inicialização:

Setor de inicialização 'C:\'

[iNFO] Nenhum vírus foi encontrado!

 

Iniciando a varredura dos arquivos executáveis (registro).

Foi feita a varredura do registro ( '359' arquivos ).

 

 

Iniciando a varredura do arquivo:

 

Iniciar verificação em 'C:\'

C:\Arquivos de programas\Expat Shield\Uninstall.exe

[DETECÇÃO] É o cavalo de Troia TR/Crypt.XPACK.Gen

[NOTA] Um backup foi criado como '46d79c8e.qua' ( QUARENTENA )

[NOTA] O arquivo foi excluído!

C:\Arquivos de programas\IObit\Advanced SystemCare 3\Sut_SoftUninstaller.exe

[DETECÇÃO] É o cavalo de Troia TR/Crypt.ULPM.Gen

[NOTA] Um backup foi criado como '5e578ce1.qua' ( QUARENTENA )

[NOTA] O arquivo foi excluído!

C:\Arquivos de programas\Spybot - Search & Destroy\SpybotSD.exe

[DETECÇÃO] Contém o código do vírus do Windows W32/Sality.Patched

[NOTA] Um backup foi criado como '0c0fea14.qua' ( QUARENTENA )

[NOTA] O arquivo foi excluído!

C:\Documents and Settings\familia\Configurações locais\Temp\RarSFX0\avcenter.exe

[DETECÇÃO] Contém o código do vírus do Windows W32/Sality.Patched

[NOTA] Um backup foi criado como '6a2e9d79.qua' ( QUARENTENA )

[NOTA] O arquivo foi excluído!

C:\Documents and Settings\familia\Configurações locais\Temp\RarSFX0\avgnt.exe

[DETECÇÃO] Contém o código do vírus do Windows W32/Sality.Patched

[NOTA] Um backup foi criado como '2faeb047.qua' ( QUARENTENA )

[NOTA] O arquivo foi excluído!

C:\Documents and Settings\familia\Configurações locais\Temp\RarSFX0\avguard.exe

[DETECÇÃO] Contém o código do vírus do Windows W32/Sality.Patched

[NOTA] Um backup foi criado como '50b58226.qua' ( QUARENTENA )

[NOTA] O arquivo foi excluído!

C:\Documents and Settings\familia\Configurações locais\Temp\RarSFX0\guardgui.exe

[DETECÇÃO] Contém o código do vírus do Windows W32/Sality.Patched

[NOTA] Um backup foi criado como '1c37af92.qua' ( QUARENTENA )

[NOTA] O arquivo foi excluído!

C:\Documents and Settings\familia\Configurações locais\Temp\RarSFX1\avcenter.exe

[DETECÇÃO] Contém o código do vírus do Windows W32/Sality.Patched

[NOTA] Um backup foi criado como '6011efc4.qua' ( QUARENTENA )

[NOTA] O arquivo foi excluído!

C:\Documents and Settings\familia\Configurações locais\Temp\RarSFX1\avgnt.exe

[DETECÇÃO] Contém o código do vírus do Windows W32/Sality.Patched

[NOTA] Um backup foi criado como '4d4fc089.qua' ( QUARENTENA )

[NOTA] O arquivo foi excluído!

C:\Documents and Settings\familia\Configurações locais\Temp\RarSFX1\avguard.exe

[DETECÇÃO] Contém o código do vírus do Windows W32/Sality.Patched

[NOTA] Um backup foi criado como '5427fb13.qua' ( QUARENTENA )

[NOTA] O arquivo foi excluído!

C:\Documents and Settings\familia\Configurações locais\Temp\RarSFX1\guardgui.exe

[DETECÇÃO] Contém o código do vírus do Windows W32/Sality.Patched

[NOTA] Um backup foi criado como '3841d72c.qua' ( QUARENTENA )

[NOTA] O arquivo foi excluído!

C:\Documents and Settings\familia\DoctorWeb\Quarantine\w7e3b6.exe

[DETECÇÃO] É o cavalo de Troia TR/ATRAPS.Gen

--> Object

[DETECÇÃO] É o cavalo de Troia TR/ATRAPS.Gen

[NOTA] Um backup foi criado como '49c4ec46.qua' ( QUARENTENA )

[NOTA] O arquivo foi excluído!

C:\Perl\bin\perlglob.exe

[DETECÇÃO] É o cavalo de Troia TR/Crypt.ZPACK.Gen

[NOTA] Um backup foi criado como '47d3dfe2.qua' ( QUARENTENA )

[NOTA] O arquivo foi excluído!

C:\WINDOWS\SoftwareDistribution\Download\b35768404278e4c4c0a303ad226d9949\BIT82.tmp

[0] Tipo de arquivamento: CAB (Microsoft)

--> _sfx_0002._p

[AVISO] Não foi possível gravar o arquivo!

C:\WINDOWS\SoftwareDistribution\Download\b35768404278e4c4c0a303ad226d9949\BIT82.tmp

[0] Tipo de arquivamento: CAB (Microsoft)

--> _sfx_0002._p

[AVISO] Não foi possível gravar o arquivo!

 

 

Término da varredura: domingo, 13 de março de 2011 19:00

Tempo de uso: 44:00 Minuto(s)

 

A varredura foi concluída.

 

8838 Diretórios verificados

139706 Foi feita a varredura dos arquivos

13 Vírus e/ou programas indesejados foram encontrados

0 Os arquivos foram classificados como suspeitos

13 arquivos excluídos

0 Vírus e programas indesejados foram reparados

13 Os arquivos foram movidos para a quarentena

0 Os arquivos foram renomeados

0 Não é possível fazer a varredura dos arquivos

139693 Arquivos não envolvidos

1250 Os arquivamentos foram verificados

2 Avisos

13 Notas

216156 Os objetos foram verificados com a varredura do rootkit

0 Objetos ocultos foram encontrados

 

Log do Hijackthis:

 

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 19:36:06, on 13/3/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\Arquivos de programas\Expat Shield\bin\openvpnas.exe

C:\Arquivos de programas\Expat Shield\HssWPR\hsssrv.exe

C:\Arquivos de programas\Expat Shield\bin\hsswd.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Meus documentos\Downloads\Nova pasta\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R3 - URLSearchHook: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Arquivos de programas\ConduitEngine\ConduitEngine.dll

O2 - BHO: Expat Shield Class - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - C:\Arquivos de programas\Expat Shield\HssIE\ExpatIE.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O3 - Toolbar: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Arquivos de programas\ConduitEngine\ConduitEngine.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [uTorrent] "C:\Arquivos de programas\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Agendamento (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Expat Shield Service (ExpatShieldService) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\openvpnas.exe

O23 - Service: Expat Shield Routing Service (ExpatSrv) - AnchorFree Inc. - C:\Arquivos de programas\Expat Shield\HssWPR\hsssrv.exe

O23 - Service: Expat Shield Tray Service (ExpatTrayService) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\ExpatTrayService.EXE

O23 - Service: Expat Shield Monitoring Service (ExpatWd) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\hsswd.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

 

--

End of file - 6683 bytes

[Power Max 54]

:) 13 problemas foram removidos pelo Avira.

________________________

 

:seta: Siga, por gentileza, esta dica:

 

Tutorial do Kaspersky Virus Removal Tool

 

Na sua próxima resposta poste este log do Kaspersky Virus Removal Tool juntamente com um novo log do Hijackthis e nos diga como está o seu Pc depois disto.

 

Ficamos no aguardo.

[ZeroOfTheRebellion 0]

Log do Kaspersky Virus Removal Tool:

 

Verificação automática: concluído 1 minuto atrás (eventos: 4, objetos: 107080, hora: 00:44:01)

13/3/2011 20:25:34 Tarefa iniciada Ação padrão selecionada

13/3/2011 21:08:11 Tarefa interrompida Ação padrão selecionada

13/3/2011 21:10:19 Tarefa iniciada Ação padrão selecionada

13/3/2011 21:54:20 Tarefa concluída Ação padrão selecionada

 

Log do Hijackthis:

 

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 21:58:52, on 13/3/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\Arquivos de programas\Expat Shield\bin\openvpnas.exe

C:\Arquivos de programas\Expat Shield\HssWPR\hsssrv.exe

C:\Arquivos de programas\Expat Shield\bin\hsswd.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Meus documentos\Downloads\Nova pasta\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R3 - URLSearchHook: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Arquivos de programas\ConduitEngine\ConduitEngine.dll

O2 - BHO: Expat Shield Class - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - C:\Arquivos de programas\Expat Shield\HssIE\ExpatIE.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O3 - Toolbar: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Arquivos de programas\ConduitEngine\ConduitEngine.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [uTorrent] "C:\Arquivos de programas\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Fox.cmd.lnk = C:\Documents and Settings\familia\Desktop\Virus Removal Tool\Fox.cmd\startup.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Agendamento (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Expat Shield Service (ExpatShieldService) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\openvpnas.exe

O23 - Service: Expat Shield Routing Service (ExpatSrv) - AnchorFree Inc. - C:\Arquivos de programas\Expat Shield\HssWPR\hsssrv.exe

O23 - Service: Expat Shield Tray Service (ExpatTrayService) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\ExpatTrayService.EXE

O23 - Service: Expat Shield Monitoring Service (ExpatWd) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\hsswd.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

 

--

End of file - 6988 bytes

[Power Max 54]

:seta: Abra o HijackThis, clique em Do a system scan only, marque a entrada abaixo e clique em Fix checked:

 

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

_________________________

 

:seta: Siga também estas dicas:

 

Tutorial do Malwarebytes Anti-Malware

 

Tutorial do Ad-Remover

 

Tutorial do Toolbar S&D

___________________________

 

:seta: Na sua próxima resposta poste o log do Malwarebytes juntamente com um novo log do Hijackthis, o log do Ad-Remover que estará em C:\Ad-Report-CLEAN[1].log, o log do Toolbar S&D que estará em C:\ToolBar SD\TB_1.txt e nos diga como está o seu PC após estes procedimentos.

 

Ficamos no aguardo.

[ZeroOfTheRebellion 0]

Log do Hijackthis:

 

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 23:48:27, on 13/3/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\Arquivos de programas\Expat Shield\bin\openvpnas.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

C:\Arquivos de programas\Expat Shield\HssWPR\hsssrv.exe

C:\Arquivos de programas\Expat Shield\bin\hsswd.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Meus documentos\Downloads\Nova pasta\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R3 - URLSearchHook: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Expat Shield Class - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - C:\Arquivos de programas\Expat Shield\HssIE\ExpatIE.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O3 - Toolbar: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [uTorrent] "C:\Arquivos de programas\uTorrent\uTorrent.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Agendamento (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Expat Shield Service (ExpatShieldService) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\openvpnas.exe

O23 - Service: Expat Shield Routing Service (ExpatSrv) - AnchorFree Inc. - C:\Arquivos de programas\Expat Shield\HssWPR\hsssrv.exe

O23 - Service: Expat Shield Tray Service (ExpatTrayService) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\ExpatTrayService.EXE

O23 - Service: Expat Shield Monitoring Service (ExpatWd) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\hsswd.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

 

--

End of file - 5888 bytes

 

 

Log do Tollbar S&D:

 

 

 

-----------\\ ToolBar S&D 1.2.9 XP/Vista

 

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : Intel® Celeron® CPU 2.53GHz )

BIOS : Award Modular BIOS v6.00PG

USER : familia ( Administrator )

BOOT : Normal boot

Antivirus : AntiVir Desktop 10.0.1.56 (Not Activated)

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:37 Go (Free:11 Go)

D:\ (CD or DVD)

 

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )

Option : [2] ( dom 13/03/2011|23:40 )

 

-----------\\ Procura por Arquivos / Ficheiros ...

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://fr.msn.com/"

"Default_search_url"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Default_page_url"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

"Search bar"="http://go.microsoft.com/fwlink/?linkid=54896"

"Url"="http://go.microsoft.com/fwlink/?LinkId=75723"

"Url"="http://go.microsoft.com/fwlink/?LinkId=75724"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Start Page"="http://www.msn.com/"

"Search bar"="http://search.msn.com/spbasic.htm"

 

 

--------------------\\ Procurando por outras infecções

 

 

Não foram encontradas outras infecções.

 

 

1 - "C:\ToolBar SD\TB_1.txt" - dom 13/03/2011|23:36 - Option : [1]

2 - "C:\ToolBar SD\TB_2.txt" - dom 13/03/2011|23:42 - Option : [2]

 

-----------\\ Verificação completa em 23:42:09,53

 

 

Log do Ad-Remover:

 

 

======= REPORT FROM AD-REMOVER 2.0.0.2,F | ONLY XP/VISTA/7 =======

 

Updated by TeamXscript on 01/03/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

website: http://www.teamxscript.org

 

C:\Arquivos de programas\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 23:19:55 on 13/03/2011, Normal boot

 

Microsoft Windows XP Professional Service Pack 3 (X86)

familia@FAMILIA-208024A ( )

 

============== ACTION(S) ==============

 

 

Folder deleted: C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Conduit

Folder deleted: C:\Arquivos de programas\Conduit

Folder deleted: C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\ConduitEngine

Folder deleted: C:\Arquivos de programas\ConduitEngine

Folder deleted: C:\Documents and Settings\familia\Dados de aplicativos\PriceGong

 

(!) -- Temporary files deleted.

 

 

Key deleted: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}

Key deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}

Key deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}

Key deleted: HKLM\Software\Classes\CLSID\{3CC02B59-AF05-436B-8390-63E0E2B6EFC0}

Key deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3CC02B59-AF05-436B-8390-63E0E2B6EFC0}

Key deleted: HKLM\Software\Classes\CLSID\{81F3396A-75B6-454A-AD81-C197A05EB787}

Key deleted: HKLM\Software\Classes\Conduit.Engine

Key deleted: HKLM\Software\Classes\Toolbar.CT2851643

Key deleted: HKLM\Software\Conduit

Key deleted: HKLM\Software\conduitEngine

Key deleted: HKCU\Software\Conduit

Key deleted: HKCU\Software\conduitEngine

Key deleted: HKCU\Software\PriceGong

Key deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Ask Search Assistant

Key deleted: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{18EAB056-9057-F224-FD4C-1F6569C4D8D2}

Key deleted: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D9A913A6-3DD0-46F6-A670-909DE7134F9A}

Key deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine

 

Value deleted: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}

 

 

============== ADDITIONNAL SCAN ==============

 

**** Mozilla Firefox Version [3.6.14 (pt-BR)] ****

 

HKLM_MozillaPlugins\@pandonetworks.com/PandoWebPlugin (x)

HKCU_MozillaPlugins\pandonetworks.com/PandoWebPlugin (x)

Searchplugins\buscape.xml (hxxp://busca.buscape.com.br/cprocura)

Searchplugins\mercadolivre.xml (hxxp://pmstrk.mercadolivre.com.br/jm/PmsTrk)

Searchplugins\wikipedia-br.xml (hxxp://pt.wikipedia.org/wiki/Especial:Busca)

Searchplugins\yahoo-br.xml (hxxp://br.search.yahoo.com/search)

Extensions\afurladvisor@anchorfree.com (afurladvisor)

 

-- C:\Documents and Settings\familia\Dados de aplicativos\Mozilla\FireFox\Profiles\e66psdee.default --

Prefs.js - browser.startup.homepage, www.google.com.br

Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.14

 

========================================

 

**** Google Chrome Version [10.0.648.133] ****

 

 

-- C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\User Data\Default --

Preferences - default_search_provider: "Google" (Enabled: true) (?)

Preferences - homepage: hxxp://www.google.com

Preferences - homepage_is_newtabpage: true

Preferences - urls_to_restore_on_startup: hxxp://www.google.com.br/

 

========================================

 

**** Internet Explorer Version [6.0.2900.5512] ****

 

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896

HKCU_Main|Start Page - hxxp://fr.msn.com/

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://fr.msn.com/

HKCU_URLSearchHooks|{e0301295-ab3e-4af3-979f-3d453c5f9f48} - "uTorrentBar_PT Toolbar" (C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll)

HKCU_Toolbar\WebBrowser|{E0301295-AB3E-4AF3-979F-3D453C5F9F48} (C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll)

HKLM_Toolbar|{e0301295-ab3e-4af3-979f-3d453c5f9f48} (C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll)

HKLM_ElevationPolicy\{68934FDE-CDB1-42CC-A38B-A44B43B0785C} - C:\WINDOWS\system32\Adobe\Director\SWDNLD.EXE (?)

HKLM_ElevationPolicy\{99880E52-035E-4386-B713-EB94A80723D2} - C:\Arquivos de programas\uTorrentBar_PT\uTorrentBar_PTToolbarHelper.exe (?)

HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

BHO\{3706EE7C-3CAD-445D-8A43-03EBC3B75908} - "Expat Shield Class" (C:\Arquivos de programas\Expat Shield\HssIE\ExpatIE.dll)

BHO\{9030D464-4C02-4ABF-8ECC-5164760863C6} - "Auxiliar de Conexão do Windows Live" (C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll)

BHO\{e0301295-ab3e-4af3-979f-3d453c5f9f48} - "uTorrentBar_PT Toolbar" (C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll)

 

========================================

 

C:\Arquivos de programas\Ad-Remover\Quarantine: 56 File(s)

C:\Arquivos de programas\Ad-Remover\Backup: 13 File(s)

 

C:\Ad-Report-CLEAN[1].txt - 13/03/2011 23:20:02 (873 Byte(s))

 

End at: 23:20:54, 13/03/2011

 

============== E.O.F ==============

 

Log do Malwarebytes:

 

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Versão da Base de Dados: 6046

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

 

13/3/2011 23:14:08

mbam-log-2011-03-13 (23-14-08).txt

 

Tipo de Verificação: Verificação Completa (C:\|)

Objetos escaneados: 160686

Tempo decorrido: 38 minuto(s), 17 segundo(s)

 

Processos de Memória Infectados: 0

Módulos de Memória Infectados: 0

Chaves de Registro Infectadas: 2

Valores de Registro Infectados: 0

Itens de Dados no Registro Infectados: 0

Pastas Infectadas: 0

Arquivos Infectados: 1

 

Processos de Memória Infectados:

(Não foram detectados ítens maliciosos)

 

Módulos de Memória Infectados:

(Não foram detectados ítens maliciosos)

 

Chaves de Registro Infectadas:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Quarantined and deleted successfully.

 

Valores de Registro Infectados:

(Não foram detectados ítens maliciosos)

 

Itens de Dados no Registro Infectados:

(Não foram detectados ítens maliciosos)

 

Pastas Infectadas:

(Não foram detectados ítens maliciosos)

 

Arquivos Infectados:

c:\WINDOWS\Tasks\regclean scheduled scan.job (Rogue.RegClean) -> Quarantined and deleted successfully.

[Power Max 54]

:thumbsup: Vários outros problemas foram removidos.

________________________

 

:seta: Siga, por gentileza, as dicas destes tutoriais:

 

Tutorial do USBFix

 

Tutorial do antivirus Nod32 Online

 

Após o término do escaneamento será gerado um relatório (log) que estará no seguinte local do seu computador:

C:\Arquivos de programas\Eset\Eset Online Scanner\log.txt

_____________________________

 

O2 - BHO: Expat Shield Class - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - C:\Arquivos de programas\Expat Shield\HssIE\ExpatIE.dll

O2 - BHO: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll

:seta: Sugiro que você desinstale estas duas toolbars, e inclusive esta Expat Shield considero ainda mais problemática, veja o que diz o comentário do Baixaki sobre ela:

 

Contras

Exibe muitos anúncios durante a navegação

Não permite configurações adicionais

Solicita a instalação de uma barra de patrocínios

Fique atento aos passos indicados na tela, evite a instalação da barra de patrocínio e navegue tranquilamente.

Fonte: http://www.baixaki.com.br/download/expat-shield.htm

_________________________

 

:seta: Há programas desnecessários iniciando junto com o Windows, o que torna o seu PC mais lento. Para corrigir isto, siga as dicas deste tutorial:

 

Escolhendo Programas que Iniciam com o PC

 

De preferência deixe apenas os programas de segurança (anti-vírus/anti-spywares/firewall) iniciarem junto com o Windows.

 

Use também o programa Ccleaner, indicado neste tutorial acima, para fazer uma limpeza e otimização do PC agora e de tempos em tempos.

____________________________

 

:seta: Poste o log do Usbfix que estará em C:\UsbFix.txt em sua próxima resposta juntamente com o log do Nod32 Online que estará em C:\Arquivos de programas\Eset\Eset Online Scanner\log.txt e um novo log do Hijackthis e nos diga como está o PC após estes procedimentos.

 

Ficamos no aguardo.

[ZeroOfTheRebellion 0]

Eu desinstalei o Expat Shield e a toolbar do uTorrent, mas ficou algumas pastas e arquivos do Expat Shield no pc que não saem de jeito nenhum :mellow:

 

Log do USBFix:

 

 

############################## | UsbFix 7.042 | [Pesquisa]

 

Usuário: familia (Administrador) # FAMILIA-208024A [ ]

Atualizado em 14/03/2011 por TeamXscript

Começou em 18:01:04 | 14/03/2011

Site: http://www.teamxscript.org

Submit your sample: http://www.teamxscript.org/Upload.php

Contato: TeamXscript.ElDesaparecido@gmail.com

 

CPU: Intel® Celeron® CPU 2.53GHz

Microsoft Windows XP Professional (5.1.2600 32-Bit) # Service Pack 3

Internet Explorer 6.0.2900.5512

 

Antivirus: AntiVir Desktop 10.0.1.56 [(!) Disabled | Updated]

RAM -> 503 Mb

C:\ (%systemdrive%) -> Disco fixo # 37 Gb (12 Mb livre - 32%) [] # NTFS

D:\ -> CD-ROM

E:\ -> Disco removível # 972 Mb (225 Mb livre - 23%) [] # FAT32

 

################## | Ficheiros # pastas infeciosos |

 

 

 

################## | Registro |

 

Presente ! HKLM\software\microsoft\shared tools\msconfig\startupreg\

Presente ! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

 

################## | Mountpoints2 |

 

HKCU\.\.\.\.\Explorer\MountPoints2\{dc7b353c-4a86-11e0-9bff-000fead80705}

Shell\AutoPlay\Command = E:\mowa.exe

Shell\AutoRun\Command = E:\mowa.exe

Shell\eXPlorE\Command = E:\mowa.exe

Shell\OpEN\Command = E:\mowa.exe

 

 

################## | Vaccin |

 

(!) Este computador não é vacinada!

 

################## | E.O.F |

 

 

Log do Nod32:

 

 

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6425

# api_version=3.0.2

# EOSSerial=f61ce46cfbbe924e837efe8b29fb99ac

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2011-03-14 09:40:49

# local_time=2011-03-14 06:40:49 (-0300, Hora oficial do Brasil)

# country="Brazil"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=512 16777215 100 0 0 0 0 0

# compatibility_mode=1797 16775141 100 93 0 32891077 0 0

# compatibility_mode=8192 67108863 100 0 0 0 0 0

# scanned=32414

# found=1

# cleaned=1

# scan_time=1616

C:\Documents and Settings\familia\DoctorWeb\Quarantine\autorun.inf INF/Autorun.gen trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

 

 

Log do Hijackthis:

 

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 18:48:49, on 14/3/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Expat Shield\bin\openvpnas.exe

C:\Arquivos de programas\Expat Shield\HssWPR\hsssrv.exe

C:\Arquivos de programas\Expat Shield\bin\hsswd.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\familia\Meus documentos\Downloads\Nova pasta\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R3 - URLSearchHook: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll (file missing)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Expat Shield Class - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - C:\Arquivos de programas\Expat Shield\HssIE\ExpatIE.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll (file missing)

O3 - Toolbar: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll (file missing)

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Agendamento (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Expat Shield Service (ExpatShieldService) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\openvpnas.exe

O23 - Service: Expat Shield Routing Service (ExpatSrv) - AnchorFree Inc. - C:\Arquivos de programas\Expat Shield\HssWPR\hsssrv.exe

O23 - Service: Expat Shield Tray Service (ExpatTrayService) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\ExpatTrayService.EXE

O23 - Service: Expat Shield Monitoring Service (ExpatWd) - Unknown owner - C:\Arquivos de programas\Expat Shield\bin\hsswd.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

 

--

End of file - 5482 bytes

[Power Max 54]

Eu desinstalei o Expat Shield e a toolbar do uTorrent, mas ficou algumas pastas e arquivos do Expat Shield no pc que não saem de jeito nenhum

:seta: Abra o HijackThis, clique em Do a system scan only, marque as entradas abaixo e clique em Fix checked:

 

R3 - URLSearchHook: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll (file missing)

 

O2 - BHO: Expat Shield Class - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - C:\Arquivos de programas\Expat Shield\HssIE\ExpatIE.dll

 

O2 - BHO: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll (file missing)

 

O3 - Toolbar: uTorrentBar_PT Toolbar - {e0301295-ab3e-4af3-979f-3d453c5f9f48} - C:\Arquivos de programas\uTorrentBar_PT\tbuTor.dll (file missing)

_____________________________

 

:seta: Baixe o programa Avenger no link abaixo e extraia o conteúdo para o desktop (área de trabalho):

http://swandog46.geekstogo.com/avenger2/download.php

 

*Selecione e copie (Ctrl+C) todo o texto destacado em vermelho abaixo:

 

Folders to delete:

C:\Arquivos de programas\uTorrentBar_PT

C:\Arquivos de programas\Expat Shield

 

Drivers to disable:

ExpatShieldService

ExpatSrv

ExpatTrayService

ExpatWd

 

Drivers to delete:

ExpatShieldService

ExpatSrv

ExpatTrayService

ExpatWd

 

*Execute o programa Avenger

*Clique em [Load Script] > [Paste from Clipboard]

*Clique em [Execute] > [OK]

*O PC será reiniciado

*O relatório será criado em C:\avenger.txt

________________________

 

Log do USBFix:

 

############################## | UsbFix 7.042 | [Pesquisa]

:!: No seu log do Usbfix está constando que você usou somente a opção de pesquisa dele. Abra o Usbfix > Clique no botão Supressão > aí é só ir seguindo os outros passos indicados no tutorial dele que te passei.

_______________________

 

:seta: Depois disto poste o log do Avenger que estará em C:\avenger.txt, o novo log do Usbfix, um novo log do Hijackthis e nos diga como está seu PC depois disto.