[Resolvido] &nbspComputador trava para desligar!

[shookz 0]

Bom dia a todos, primeiramente queria dizer que já vi muitos casos como esses, vários tópicos criados (inclusive já procurei não só aqui como em outros sites também) e já tentei fazer o que era passado para as outras pessoas com o mesmo caso que o meu, só que não resultou em nada.

A uns dias atrás meu computador desligava normalmente pelo iniciar/desligar, mas eu não sei o que houve com ele que parou de desligar, começou a travar na tela azul do "encerrando", e outra.. quando eu aperto em iniciar/desligar (para abrir o menu com as 3 opções, desligar, fazer logoff ou reiniciar) ele já da uma travada e o mouse vira uma ampulheta (sinal de carregando) e não abre, assim tenho que apertar o botão power por 1s para que ele comece a desligar, e com isso, travando na tela azul que eu citei anteriormente. meu computador desliga normalmente só em modo de segurança, desliga sem problemas, agora no modo normal não. já passei o malwarebytes, ja tirei todos os erros do hijackthis e etc.. eu não sei o que fazer pra resolver isso, espero que vocês possam ajudar! obrigado desde já

 

 

configurações do notebook:

MS Windows XP professional Service Pack 3

AMD Turion 64 mobile technology MK-36

1GB RAM

Nvidia GeForce 6150

 

 

LOG

 

 

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 19:57:24, on 7/12/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\ARQUIV~1\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe

C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\Documents and Settings\jcs7756\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\jcs7756\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\jcs7756\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\jcs7756\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

C:\Documents and Settings\jcs7756\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\jcs7756\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\WINDOWS\system32\msiexec.exe

C:\Arquivos de programas\HiJack\Trend Micro\HiJackThis\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.100.10:80

R3 - URLSearchHook: (no name) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)

O2 - BHO: (no name) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Arquivos de programas\GbPlugin\gbieh.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Arquivos de programas\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Documents and Settings\jcs7756\Dados de aplicativos\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm

O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O15 - Trusted Zone: www.bancobrasil.com.br

O15 - Trusted Zone: www14.bancobrasil.com.br

O15 - Trusted Zone: www2.bancobrasil.com.br

O15 - Trusted Zone: www.bb.com.br

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1283667984546

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1283667974625

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveSystemServices.dll

O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll

O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: HWDeviceService.exe - Huawei Technologies Co., Ltd. - (no file)

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe

 

--

End of file - 7100 bytes

[wings 22]

Olá shookz

 

 

*Baixe o OTL e salve-o no desktop

 

*Execute-o. Usuários do Windows Vista ou do Windows 7 devem clicar com o botão direito do mouse no arquivo e selecionar Executar como administrador

 

*Selecione:

Ignorar Arquivos Microsoft

Usar WhiteList para Nomes de Companhias

Verificar Lop

Verificar Purity

*Sob Exame Padrão do Registro selecione a opção Todos

 

*Sob Exame Extra do Registro selecione a opção Usar SafeList

 

 

*Clique [Verificar] e cole os relatórios OTL.txt e Extras.txt localizados no desktop

 

Caso o relatório OTL.txt fique demasiadamente grande...

 

*Acesse este link

*Selecione 4 jours

*Clique [Enviar arquivo]

*Localize o arquivo OTL.txt no desktop

*Clique [Abrir] > [Créer le lien Cjoint]

*Cole o endereço criado

[shookz 0]

Olá Wings, obrigado por responder..

os 2 logs ficaram realmente grandes sim, então fiz aquilo com os dois!

 

segue os logs:

 

http://cjoint.com/data3/3Liu0Twx9MF.htm (OTL.txt)

 

 

http://cjoint.com/data3/3Liu30GFyyM.htm (Extras.txt)

 

desculpe a demora.

[wings 22]

Há uma contaminação pelo ZeroAccess.

 

*Desative temporariamente seu antivírus

 

*Baixe o ComboFix e salve-o no desktop

*Execute-o e aceite o contrato

*Se o Console de Recuperação do Microsoft Windows não estiver instalado, aceite a sua instalação

*Após a instalação do Console, clique [sim] e aguarde a conclusão das etapas

 

1) Não use o mouse nem o teclado durante as etapas!!

2) Para interromper o scan, tecle N

 

*Cole o relatório apresentado

[shookz 0]

Seguinte Wings,

fiz como pedido, coloquei no deskot, executei.. ele rodou, depois de alguns minutinhos acusou que estava infectado com o rootkit zero.acess (algo assim) e depois acusou outras rootkits e finalizou o explorer.exe, continuou rodando, depois pediu para reiniciar e que não fosse para eu mesmo desligar, só que ao invez de ficar travado na tela azul, o monitor desligou e o computador ainda ficou ligado, tive que apertar no power. tudo bem, ele reiniciou o combofix executou até a etapa 50 e depois excluiu vários arquivos, acabando isso ele reiniciou de novo repetindo o que aconteceu antes, tive que apertar no power.. quando reiniciou o combofix não abriu, não sei se era para executá-lo de novo, mas não abriu nenhum log, nem foi salvo no deskot.. poderia me dizer onde está o log ou se tenho que executar outra vez? até fiz uma pesquisa no meu computador sobre "combofix" e não achou nenhum log.. só apareceu o arquivo no desktop e no C:\Combofix

[wings 22]

O arquivo localiza-se em C:\combofix.txt

 

Caso não consiga rodar o combofix...

 

*Renomei-o para Uninstall

*Execute-o e aguarde a desinstalação.

 

1.

*Baixe o TDSSKiller e salve-o no desktop

 

*Execute-o e clique Change parameters

*Selecione Detect TDLFS file system e clique [OK]

*Clique [start scan]

*Caso encontre algo, selecione [skip]

 

 

*Ao término, clique Report

 

 

*Cole o relatório

[shookz 0]

Bom wings, fiz de tudo para achar o log do combofix mas realmente não está em c:\combofix.txt.

mas pelo que parece, o combofix fez tudo, limpou o computador só não exibiu o log (não sei pq)

 

o TDSKiller que você me mandou passar, está aqui o resultado:

 

 

fui fazer o teste, o computador já desliga/reinicia normalmente!

muito obrigado mesmo.

 

só mais uma pergunta, faz poucos dias que sempre que o computador está ligando, antes da tela de carregamento do windows, aparece uma tela preta dizendo para escolher entre windows recovery algo assim, ou o sistema windows xp sp3.. e depois de alguns segundos ele escolhe o xp automaticamente, mas não dá erro nem nada, só curiosidade.

[wings 22]

Ainda temos coisas à fazer....

 

1.

*Delete o TDSSKiller e o relatório C:\TDSSKiller.txt

 

2.

*Baixe o AntiZeroAccess e salve-o no desktop

*Execute-o, tecle Y > [ENTER]

*Cole o relatório AntiZeroAccess_Log.txt criado no desktop

 

3.

*Repita o procedimento do OTL, conforme solicitei no início do seu tópico. e cole os relatórios OTL.txt e Extras.txt

[shookz 0]

Tudo feito!

Caro wings, já que você mandou fazer isso sobre o zeroacess, esqueci de mencionar antes também que o combofix acusou que tinha uma infecção no wuauclt.exe, mas não sei talvez já tenha sido excluída

 

segue os logs

 

http://cjoint.com/data3/3LjaN3QiPmc.htm (AntiZeroAcess.txt)

 

coloquei-os de novo naquele site.

 

http://cjoint.com/data3/3LjaIkqkUy4.htm (Extras.txt)

 

http://cjoint.com/data3/3LjaJlcvl9V.htm (OTL.txt)

[wings 22]

1.

*Delete o antizeroaccess e seu relatório

 

2.

*Baixe o aswMBR e salve-o no desktop

*Mantenha-se conectado a internet

*Execute-o e clique [sim] e aguarde o término do download do database

*Execute-o e clique [Não] > [scan]

*Clique [scan]

*Ao término, clique [save log] e salve no desktop

*Cole o relatório

 

3.

*Execute o OTL

*Cole as linhas em vermelho no espaço abaixo de Exames Personalizados/Correções:

:OTL

FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: File not found

[56 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[42 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]

 

:Files

ipconfig /flushdns /c

 

:Commands

[EMPTYTEMP]

[EMPTYFLASH]

[EMPTYJAVA]

[CREATERESTOREPOINT]

 

 

*Clique [Consertar] e o PC será reiniciado

*Cole o relatório apresentado

[shookz 0]

Log aswMBR

 

http://cjoint.com/data3/3LjbIuUsqDB.htm

 

 

Log OTL:

 

http://cjoint.com/data3/3LjbHm0g6Tq.htm

[wings 22]

OK...

 

1.

*Delete o aswMBR e seu relatório

 

2.

*Execute o OTL e clique [Limpeza] > [OK]

*O PC será reiniciado

 

O PC está limpo...:)

 

Um abraço.

[shookz 0]

wings, muito obrigado pela ajuda!

Abraços

[wings 22]

PROBLEMA RESOLVIDO

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.