Remoção de vírus

[Mr.Wolf]

Mr.Wolt tem certeza que é tecla y pra ativar o programa? Quando teclo y e enter saiu do programa...

É Y sim Gatuno.

[Bradocker]

Obrigado Mr. Wolf !

[Mr.Wolf]

De nada Bradocker. Precisando estamos aí.

Abraço

[Gatuno]

Mr.Wolf to achando que esse programa não é compatível com vista64...em modo seguro o programa não quer abrir...em modo normal ele abre, só que quando teclo Y e enter sai do programa...

[Mr.Wolf]

Ok Gatuno. Então vamos para outra alternativa.

- Faça o download do ComboFix:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Obs: Para que a ferramenta seja executada é necessário que esteja no desktop (Área de Trabalho);

- Desative, temporariamente, o antivírus;
- Feche todas as janelas abertas;
Vá em Iniciar > Executar, digite "%userprofile%\desktop\combofix.exe" /killall e clique em Ok como na imagem:


- Na próxima janela clique em Executar (se pedir para pressionar algum número, pressione 1) e aguarde até que o relatório seja gerado;
- Caso ocorra algum erro, reinicie o computador em Modo Seguro (pressione a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização) e repita o procedimento;
- O ComboFix "poderá" reiniciar o PC automaticamente para completar o processo de remoção.
- Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.
Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
- Para parar ou sair do ComboFix, tecle "N".

Cole o log do ComboFix em sua resposta por favor.


PS: Gatuno, vou ter que sair pois hoje ainda trabalho cedo amigo. Faça o seguinte, rode o ComboFix aí como eu mostrei acima e poste o relatório que amanhã na hora que eu entrar continuamos tudo bem?

Abraço

[Mr.Wolf]

Gatuno a hora que quiser poste o log aqui.

Só recomendando:

Pessoal quem quiser postar um log do HijackThis para uma análise, peço que por favor abram um Novo Tópico aqui em Softwares e não poste nesse tópico aqui. Pois senão poderá nos confundir com os diferentes logs e confundir as respostas também.

Abraços

[hiroshi666]

Logfile of HijackThis v1.99.1
Scan saved at 09:40:31, on 3/9/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T 1.EXE
C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe
C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Bundinha\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T 1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"
O4 - HKLM\..\Run: [Ink Monitor] C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 - HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Arquivos de programas\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5B03606-FA33-4C76-8D20-16D2358C1386}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Avira AntiVir Personal  Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal  Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe



Foi mau,li depois que era para abrir novo tópico
Mas esse virus no pc do meu amigo ta dificil de resolver =/

[Mr.Wolf]

Não há problemas amigo. Esses malwares que você está infectado são realmente chatos de removê-los. Vamos lá então:

Baixe o ComboFix e salve na área de trabalho:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

- Desative seu antivirus e anti-spyware, para não causar conflitos. Mantenha-os desativados até terminar as instruções, depois ative-os.
- Dê um duplo-clique no combofix.exe, marque 1 e dê o enter para prosseguir o Fix. Aguarde pois é um pouco demorado.
- O ComboFix reiniciará o PC automaticamente para completar o processo de remoção. Caso isso não aconteça, reinicie manualmente.
- Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.
- IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando. Para parar ou sair do ComboFix, tecle "N".
- Cole o log do ComboFix.txt à sua resposta.

OBS: Não rode o ComboFix mais do que uma vez. Isso irá sobreescrever o log e dificultará a remoção do(s) malware(s).

Aguardo o log.

[Red Rabbit]

olá amigo

se possível da uma olhada aqui, pois sepre q meu navegador - uso o maxthon - está pesado, ele sai do nada! sem salvar nenhuma página.




--------------------------------------------



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:12:51, on 3/9/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe
C:\Arquivos de programas\Maxthon2\Maxthon.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 189.3.210.34
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Arquivos de programas\BitComet\tools\BitCometBHO_1.2.6.26.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [AVP] "C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [PDM Agent] C:\Arquivos de programas\PDM\PDM.exe
O4 - HKLM\..\Run: [HTV Agent] C:\Arquivos de programas\HTV\HTV.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Arquivos de programas\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Comrade.exe] C:\Arquivos de programas\GameSpy\Comrade\Comrade.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Baixar link usando &BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Baixar todos os links usando BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Baixar todos os vídeos usando BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddVideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Arquivos de programas\BitComet\tools\BitCometBHO_1.2.6.26.dll/206 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01...s/MSNPUpld.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{963F705C-1DC7-4613-860C-2709B649D3B3}: NameServer = 200.223.0.100,200.223.157.131
O20 - Winlogon Notify: GbPluginBb - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 5750 bytes

[Mr.Wolf]

Amigo -GordoN FreemaN tenho umas perguntas:

Por acaso você utiliza esses programas? PDM Agent, HTV Agent e GBPLUGIN (plugin do Banco do Brasil para Segurança).

[colenetz]

Fala MR.Wolf da uma analizada para mim.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:29, on 2008-09-03
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe
C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\uTorrent\uTorrent.exe
C:\Arquivos de programas\Opera\opera.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/portuguese/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: pdfMachine - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\system32\bgstb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIV~1\GBPLUGIN\gbieh.dll
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Profiler] C:\Arquivos de programas\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Arquivos de programas\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Arquivos de programas\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Ferramenta de Verificação de Mídia do Picture Motion Browser.lnk = C:\Arquivos de programas\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD979396-33AB-4FAF-8096-3FCE740A503E}: NameServer = 201.10.120.2 201.10.128.3
O20 - Winlogon Notify: GbPluginBb - C:\ARQUIV~1\GBPLUGIN\gbieh.dll
O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Arquivos de programas\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4114 bytes

[hiroshi666]

Mr. Wolf ta aqui o log do ComboFix

ComboFix 08-09-01.05 - BiG 2008-09-03 12:34:30.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.1382 [GMT -3:00]
Executando de: C:\Documents and Settings\BiG\Desktop\ComboFix.exe
* Criado um novo ponto de restauro

ATENÇAO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))) )
.

C:\Autorun.inf
C:\Documents and Settings\BiG\Dados de aplicativos\macromedia\Flash Player\#SharedObjects\PTUWZ5X9\interclick.com
C:\Documents and Settings\BiG\Dados de aplicativos\macromedia\Flash Player\#SharedObjects\PTUWZ5X9\interclick.com\ud.s ol
C:\Documents and Settings\BiG\Dados de aplicativos\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#int erclick.com
C:\Documents and Settings\BiG\Dados de aplicativos\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#int erclick.com\settings.sol
C:\WINDOWS\system32\ckvo0.dll
C:\WINDOWS\system32\ckvo1.dll
C:\WINDOWS\system32\kavo1.dll
C:\WINDOWS\system32\tavo.exe
C:\WINDOWS\system32\tavo0.dll
D:\Autorun.inf
E:\Autorun.inf

.
((((((((((((((((((((((( Ficheiros criados de 2008-08-03 to 2008-09-03 ))))))))))))))))))))))))))))))))
.

2008-09-03 09:54 . 2008-09-03 10:12 83,968 --a------ C:\WINDOWS\system32\ddr.exe
2008-09-02 22:41 . 2008-09-02 22:41 187,392 --a------ C:\WINDOWS\system32\kavo0.VIR
2008-09-02 20:33 . 2008-02-21 08:38 115,221 -r-hs---- C:\gqsk.bat
2008-09-02 11:40 . 2008-09-02 11:46 <DIR> d-a------ C:\Documents and Settings\All Users\Dados de aplicativos\TEMP
2008-09-02 11:40 . 2008-09-02 11:46 <DIR> d-------- C:\Arquivos de programas\zMUD
2008-09-01 14:04 . 2008-09-01 14:04 <DIR> d--hs---- C:\Documents and Settings\BiG\PrivacIE
2008-08-30 15:56 . 2008-08-30 15:56 <DIR> d--h-c--- C:\WINDOWS\ie8
2008-08-30 01:04 . 2008-08-30 01:38 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-08-30 00:18 . 2008-08-30 00:18 <DIR> d-------- C:\Arquivos de programas\Razor
2008-08-30 00:00 . 2008-08-30 00:00 <DIR> d-------- C:\Arquivos de programas\EA Games
2008-08-29 21:19 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-08-29 21:19 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-08-26 12:26 . 2008-08-26 12:26 295,424 --a------ C:\WINDOWS\system32\bwmedia1.dll
2008-08-26 12:26 . 2008-08-26 12:26 150,016 --a------ C:\WINDOWS\system32\bwmedia.dll
2008-08-26 12:23 . 2008-08-26 12:23 <DIR> d-------- C:\Arquivos de programas\visualize
2008-08-26 12:23 . 2008-08-26 12:23 55 --a------ C:\WINDOWS\wininit.ini
2008-08-24 19:06 . 2008-08-24 19:06 <DIR> d-------- C:\Arquivos de programas\Java
2008-08-24 19:06 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-24 19:04 . 2008-08-24 19:04 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Java
2008-08-24 17:40 . 2008-08-24 17:43 139,264 --a------ C:\WINDOWS\War3Unin.exe
2008-08-24 17:40 . 2008-08-24 17:43 60,895 --a------ C:\WINDOWS\War3Unin.dat
2008-08-24 17:40 . 2008-08-24 17:43 2,829 --a------ C:\WINDOWS\War3Unin.pif
2008-08-22 19:08 . 2008-08-26 18:05 <DIR> d-------- C:\Arquivos de programas\Warcraft III
2008-08-22 19:07 . 2008-08-22 19:07 <DIR> d-------- C:\Arquivos de programas\DAEMON Tools
2008-08-22 17:02 . 2008-08-22 17:02 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-08-22 03:15 . 2008-08-22 03:15 1,216,512 --------- C:\WINDOWS\system32\ieframe.dll.mui
2008-08-22 03:14 . 2008-08-22 03:14 10,240 --------- C:\WINDOWS\system32\advpack.dll.mui
2008-08-22 03:05 . 2008-08-22 03:05 48,640 --------- C:\WINDOWS\system32\PrivacIE.dll
2008-08-19 14:00 . 2008-08-19 14:00 <DIR> d-------- C:\Arquivos de programas\EPSON
2008-08-19 14:00 . 2004-02-17 21:10 98,304 --a------ C:\WINDOWS\system32\E_SAGSET.DLL
2008-08-19 14:00 . 2004-05-21 02:04 79,622 --a------ C:\WINDOWS\system32\EBPMON24.DLL
2008-08-19 14:00 . 2003-05-20 23:27 64,000 --a------ C:\WINDOWS\system32\ECBTEG.DLL
2008-08-19 14:00 . 2000-06-06 22:01 34,304 --a------ C:\WINDOWS\system32\EBPCHP.DLL
2008-08-19 14:00 . 2008-08-19 14:00 66 --a------ C:\WINDOWS\EPSC45.ini
2008-08-19 13:55 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-08-19 13:55 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-08-16 15:02 . 2008-08-16 15:02 <DIR> d-------- C:\Arquivos de programas\Hugin
2008-08-11 23:01 . 2008-07-09 05:05 120,568 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-08-11 23:01 . 2008-07-09 05:05 118,256 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-08-11 22:48 . 2008-08-15 19:50 <DIR> d-------- C:\Arquivos de programas\PhotomatixPro3
2008-08-11 22:47 . 2008-08-11 22:48 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2008-08-08 21:47 . 2008-07-18 22:07 270,880 --a------ C:\WINDOWS\system32\mucltui.dll
2008-08-08 21:47 . 2008-07-18 22:07 210,976 --a------ C:\WINDOWS\system32\muweb.dll
2008-08-08 21:47 . 2008-07-18 22:07 29,728 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-08-08 18:48 . 2008-08-08 18:48 <DIR> d-------- C:\Documents and Settings\BiG\Dados de aplicativos\Flickr
2008-08-08 18:48 . 2008-08-30 18:25 <DIR> d-------- C:\Arquivos de programas\Flickr Uploadr
2008-08-08 17:16 . 2008-08-08 17:16 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\WLInstaller
2008-08-08 17:16 . 2008-08-08 17:16 <DIR> d--hsc--- C:\Arquivos de programas\Arquivos comuns\WindowsLiveInstaller
2008-08-08 08:47 . 2008-08-08 08:47 38 --a------ C:\WINDOWS\avisplitter.INI
2008-08-07 21:53 . 2008-08-07 21:53 <DIR> d--h----- C:\WINDOWS\PIF
2008-08-06 13:07 . 2008-08-06 13:07 <DIR> d-------- C:\Arquivos de programas\TagRename
2008-08-05 20:38 . 2007-04-09 13:23 28,040 --a------ C:\WINDOWS\system32\mdimon.dll
2008-08-05 20:38 . 2008-08-05 20:38 421 --a------ C:\WINDOWS\ODBC.INI
2008-08-05 20:36 . 2008-08-05 20:37 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-08-05 17:55 . 2008-08-05 17:55 265,720 --a------ C:\WINDOWS\system32\msdbg2.dll
2008-08-05 09:58 . 2008-08-05 09:58 <DIR> d-------- C:\Arquivos de programas\MSXML 4.0
2008-08-04 22:50 . 2008-08-04 22:50 <DIR> d-------- C:\Documents and Settings\BiG\Dados de aplicativos\Uniblue
2008-08-04 22:50 . 2008-08-04 22:50 <DIR> d-------- C:\Arquivos de programas\Uniblue
2008-08-04 22:20 . 2008-08-26 00:31 <DIR> d-------- C:\Arquivos de programas\K-Lite Codec Pack
2008-08-04 22:15 . 2008-08-04 22:15 <DIR> d-------- C:\Arquivos de programas\NeXus RV10 & MKV Filtres
2008-08-04 20:52 . 2008-09-03 10:47 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-08-04 20:32 . 2008-08-04 20:32 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo! Companion
2008-08-04 16:34 . 2008-08-04 16:34 <DIR> d-------- C:\Documents and Settings\BiG\Dados de aplicativos\GRETECH
2008-08-04 16:34 . 2008-08-04 16:34 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\GRETECH
2008-08-04 16:19 . 2008-08-04 16:19 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Adobe
2008-08-04 16:12 . 2008-08-04 16:12 <DIR> d-------- C:\Arquivos de programas\NeroInstall.bak
2008-08-04 16:11 . 2008-08-04 16:11 <DIR> d-------- C:\Documents and Settings\BiG\Dados de aplicativos\Nero
2008-08-04 16:10 . 2008-08-04 16:10 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Nero
2008-08-04 16:10 . 2008-08-04 16:10 <DIR> d-------- C:\Arquivos de programas\Nero
2008-08-04 16:10 . 2008-08-04 16:11 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Nero
2008-08-04 16:07 . 2008-09-03 09:38 57,465 --a------ C:\WINDOWS\system32\oodbs.lor
2008-08-04 15:59 . 2008-08-20 12:22 <DIR> d-------- C:\Documents and Settings\BiG\Contacts
2008-08-04 15:59 . 2008-08-14 21:03 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Messenger Plus!
2008-08-04 15:26 . 2008-08-04 15:26 <DIR> d-------- C:\Arquivos de programas\Tracker Software
2008-08-04 15:04 . 2008-08-04 15:04 <DIR> d-------- C:\Arquivos de programas\AliveMedia
2008-08-04 15:04 . 2003-03-26 06:59 573,440 --a------ C:\WINDOWS\system32\NCTAudioInformation2.dll
2008-08-04 15:04 . 2002-12-03 03:02 491,520 --a------ C:\WINDOWS\system32\NCTAudioFile.dll
2008-08-04 15:04 . 2002-01-05 07:37 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2008-08-04 15:04 . 2003-03-25 15:08 286,720 --a------ C:\WINDOWS\system32\NCTWMAFile2.dll
2008-08-04 15:04 . 2002-12-03 03:11 143,872 --a------ C:\WINDOWS\system32\NCTWMAFile.dll
2008-08-04 15:04 . 2002-03-19 07:18 120,832 --a------ C:\WINDOWS\system32\lame_enc.dll
2008-08-04 15:03 . 2008-08-04 15:03 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Spybot - Search & Destroy
2008-08-04 15:03 . 2008-08-04 15:03 <DIR> d-------- C:\Arquivos de programas\Spybot - Search & Destroy
2008-08-04 15:02 . 2008-08-04 15:02 <DIR> d-------- C:\Arquivos de programas\Yahoo!
2008-08-04 15:02 . 2008-08-04 15:02 <DIR> d-------- C:\Arquivos de programas\CCleaner
2008-08-04 15:01 . 2008-08-04 15:01 <DIR> d-------- C:\Arquivos de programas\Marcos Velasco Security
2008-08-04 15:01 . 2008-08-04 15:01 0 --a------ C:\WINDOWS\oodcnt.INI
2008-08-04 14:59 . 2008-08-04 14:59 <DIR> d-------- C:\Arquivos de programas\OO Software
2008-08-04 14:59 . 2008-08-09 11:08 <DIR> d-------- C:\Arquivos de programas\MediaCoder
2008-08-04 14:58 . 2008-08-04 14:58 <DIR> d-------- C:\Arquivos de programas\7-Zip
2008-08-04 14:58 . 2008-06-14 14:59 272,384 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-08-04 14:58 . 2008-06-14 14:59 272,384 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-08-04 14:56 . 2008-08-15 12:35 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-08-04 14:56 . 2008-08-08 17:16 <DIR> d-------- C:\Arquivos de programas\Windows Live
2008-08-04 14:56 . 2008-08-04 14:56 <DIR> d-------- C:\Arquivos de programas\Messenger Plus! Live
2008-08-04 14:56 . 2008-08-04 14:56 268 --ah----- C:\sqmdata00.sqm
2008-08-04 14:56 . 2008-08-04 14:56 244 --ah----- C:\sqmnoopt00.sqm
2008-08-04 14:55 . 2008-08-04 14:55 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-08-04 14:55 . 2008-08-04 14:56 <DIR> d-------- C:\Arquivos de programas\MSN Messenger
2008-08-04 14:52 . 2008-08-04 14:52 <DIR> d-------- C:\Arquivos de programas\GRETECH
2008-08-04 14:51 . 2008-08-04 14:51 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-08-04 14:51 . 2008-08-11 07:46 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-08-04 14:51 . 2008-08-04 14:51 <DIR> d-------- C:\Arquivos de programas\Windows Media Connect 2
2008-08-04 14:48 . 2008-08-04 14:50 <DIR> d-------- C:\Documents and Settings\BiG\Dados de aplicativos\Winamp
2008-08-04 14:48 . 2008-08-04 14:48 <DIR> d-------- C:\Arquivos de programas\Winamp
2008-08-04 14:45 . 2008-09-02 14:53 <DIR> d-------- C:\Documents and Settings\BiG\Dados de aplicativos\uTorrent
2008-08-04 14:45 . 2008-08-04 14:45 <DIR> d-------- C:\Arquivos de programas\uTorrent
2008-08-04 14:13 . 2008-08-04 14:13 0 --a------ C:\WINDOWS\nsreg.dat
2008-08-04 14:11 . 2008-08-04 14:11 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Avira
2008-08-04 14:11 . 2008-08-04 14:11 <DIR> d-------- C:\Arquivos de programas\Avira
2008-08-04 14:10 . 2008-08-04 14:10 592 --a------ C:\WINDOWS\chgkey.vbs
2008-08-04 14:09 . 2008-08-04 14:09 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Office Genuine Advantage
2008-08-04 14:07 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2008-08-30 03:01 --------- d--h--w C:\Arquivos de programas\InstallShield Installation Information
2008-08-22 06:08 878,592 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-22 06:08 43,008 ----a-w C:\WINDOWS\system32\licmgr10.dll
2008-08-22 06:07 18,944 ----a-w C:\WINDOWS\system32\corpol.dll
2008-08-22 06:06 72,704 ----a-w C:\WINDOWS\system32\admparse.dll
2008-08-22 06:06 71,680 ----a-w C:\WINDOWS\system32\iesetup.dll
2008-08-22 06:06 434,176 ----a-w C:\WINDOWS\system32\vbscript.dll
2008-08-22 06:05 48,128 ----a-w C:\WINDOWS\system32\mshtmler.dll
2008-08-22 06:05 35,840 ----a-w C:\WINDOWS\system32\imgutil.dll
2008-08-22 06:04 45,568 ----a-w C:\WINDOWS\system32\mshta.exe
2008-08-22 05:57 156,160 ----a-w C:\WINDOWS\system32\msls31.dll
2008-08-04 16:55 --------- d-----w C:\Arquivos de programas\VIA
2008-08-04 16:54 15,600 ----a-w C:\WINDOWS\gdrv.sys
2008-08-04 16:49 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-08-04 16:49 --------- d-----w C:\Arquivos de programas\Realtek
2008-08-04 16:45 --------- d-----w C:\Arquivos de programas\S3
2008-08-04 16:45 --------- d-----w C:\Arquivos de programas\Arquivos comuns\InstallShield
2008-08-04 16:38 --------- d-----w C:\Arquivos de programas\microsoft frontpage
2008-08-04 16:36 --------- d-----w C:\Arquivos de programas\Serviços on-line
2008-08-04 16:36 --------- d-----w C:\Arquivos de programas\Arquivos comuns\Serviços
2008-07-19 01:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-19 01:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-19 01:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-19 01:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-19 01:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-19 01:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-19 01:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-19 01:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-09 08:05 43,872 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-07-09 08:05 129,520 ------w C:\WINDOWS\system32\pxafs.dll
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:24 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-12 18:36 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll
2008-06-12 14:27 26,144 ----a-w C:\WINDOWS\system32\spupdsvc.exe
2008-06-12 14:27 26,112 ----a-w C:\WINDOWS\system32\idndl.dll
2008-06-12 14:27 24,576 ----a-w C:\WINDOWS\system32\nlsdl.dll
2008-06-12 14:27 23,552 ----a-w C:\WINDOWS\system32\normaliz.dll
.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias & legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"Google Update"="C:\Documents and Settings\BiG\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"avgnt"="C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 262401]
"NeroFilterCheck"="C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]
"NBKeyScan"="C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
"EPSON Stylus C45 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\ 3\E_S4I4T1.EXE" [2004-01-13 99840]
"Ink Monitor"="C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe" [2004-03-31 258114]
"SunJavaUpdateSched"="C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"VTTimer"="VTTimer.exe" [2006-09-21 C:\WINDOWS\system32\VTTimer.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]
-ra------ 2007-05-11 04:47 790528 C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
--a------ 2007-05-11 02:08 2512392 C:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=
"C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=
"C:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=
"E:\\Programas\\RatioMaster-1.7.5\\RatioMaster.exe"=
"C:\\Arquivos de programas\\Warcraft III\\Warcraft III.exe"=

R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 16896]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX3 2.sys [2007-03-29 9216]
R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 52224]
R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2007-04-17 42496]
R3 S3GIGP;S3GIGP;C:\WINDOWS\system32\DRIVERS\S3gIGPm. sys [2007-03-04 709632]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{1d48c0ba-6d90-11dd-b73d-001d7df6f349}]
\Shell\AutoRun\command - H:\gqsk.bat
\Shell\explore\Command - H:\gqsk.bat
\Shell\open\Command - H:\gqsk.bat

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{9b543acb-6267-11dd-b72d-001d7df6f349}]
\Shell\AutoRun\command - gqsk.bat
\Shell\explore\Command - gqsk.bat
\Shell\open\Command - gqsk.bat

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{a17d218b-67dc-11dd-b731-001d7df6f349}]
\Shell\AutoRun\command - gqsk.bat
\Shell\explore\Command - gqsk.bat
\Shell\open\Command - gqsk.bat

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Conteúdo da pasta 'Tarefas Agendadas'
.
- - - - ORFAOS REMOVIDOS - - - -

HKCU-Run-kamsoft - C:\WINDOWS\system32\ckvo.exe


.
------- Ccan Suplementar -------
.
FireFox -: Profile - C:\Documents and Settings\BiG\Dados de aplicativos\Mozilla\Firefox\Profiles\x2yoalsd.defa ult\
FF -: plugin - C:\Arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - C:\Arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF -: plugin - C:\Arquivos de programas\Yahoo!\Common\npyaxmpb.dll
FF -: plugin - C:\Documents and Settings\BiG\Configurações locais\Dados de aplicativos\Google\Update\1.2.131.11\npGoogleOneCl ick5.dll
.

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-03 12:36:06
Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros ocultos ...

Varredura completada com sucesso
Ficheiros ocultos: 0

************************************************** ************************
.
Tempo para conclusão: 2008-09-03 12:37:57
ComboFix-quarantined-files.txt 2008-09-03 15:37:13

Pre-Run: 5 pasta(s) 30,711,107,584 bytes disponíveis
Post-Run: 7 pasta(s) 31,795,216,384 bytes disponíveis

259 --- E O F --- 2008-08-30 20:16:02

[Mr.Wolf]

Fala colenetz. Seu log está limpo. Algum problema com o PC amigão?

[Mr.Wolf]

Vamos lá então hiroshi666. Estamos quase acabando, o ComboFix já removeu uma boa parte das infecções. Peço que siga corretamente os passos agora amigão:

Selecione e copie todo este conteúdo abaixo dentro do QUOTE (começando pela palavra File). Depois abra o Bloco de Notas do seu PC e cole esse conteúdo dentro dele. Salve o arquivo com o nome de CFScript.txt em sua Área de Trabalho:

File::
C:\WINDOWS\system32\ddr.exe
C:\WINDOWS\system32\kavo0.VIR
C:\gqsk.bat
Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{9b543acb-6267-11dd-b72d-001d7df6f349}]
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{9b543acb-6267-11dd-b72d-001d7df6f349}]
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{a17d218b-67dc-11dd-b731-001d7df6f349}]

Arraste agora o CFScript.txt para o ComboFix conforme a demonstração abaixo:



Clique em Executar, digite "1" e pressione "Enter" quando solicitado para iniciar o processo de remoção;

Não use o mouse nem o teclado quando o ComboFix estiver rodando.

Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.

Obs: Se o Combofix não reiniciar seu computador automaticamente, reinicie-o manualmente.

Na sua próxima resposta, cole o ComboFix.txt e um novo log do HijackThis.

[colenetz]

Fala colenetz. Seu log está limpo. Algum problema com o PC amigão?

Valeu Mr.Wolf, fiquei com dúvida pois semanas atrás tive que usar o Combofix, e não sabia se tinha dado certo, agora tudo blza.
Abs.

[Mr.Wolf]

Valeu Mr.Wolf, fiquei com dúvida pois semanas atrás tive que usar o Combofix, e não sabia se tinha dado certo, agora tudo blza.
Abs.

colenetz só um conselho de amigo mesmo. Por favor não utilize o ComboFix sozinho. Pois se não souber usá-lo ou se usá-lo de forma incorreta ele gera um problemão em seu sistema, pode chegar a nem ligar mais.

Então sempre que tiver problemas com vírus ou malwares, algo do tipo, venha aqui e poste um log que eu lhe ajudo ok?

Abraços

[hiroshi666]

ComboFix

ComboFix 08-09-01.05 - BiG 2008-09-03 13:05:27.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.1410 [GMT -3:00]
Executando de: C:\Documents and Settings\BiG\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\BiG\Desktop\CFScript.txt
* Criado um novo ponto de restauro

ATENÇAO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))) )
.

C:\gqsk.bat
C:\WINDOWS\system32\ddr.exe
C:\WINDOWS\system32\kavo0.VIR

.
((((((((((((((((((((((( Ficheiros criados de 2008-08-03 to 2008-09-03 ))))))))))))))))))))))))))))))))
.

2008-09-02 11:40 . 2008-09-02 11:46 <DIR> d-a------ C:\Documents and Settings\All Users\Dados de aplicativos\TEMP
2008-09-02 11:40 . 2008-09-02 11:46 <DIR> d-------- C:\Arquivos de programas\zMUD
2008-09-01 14:04 . 2008-09-01 14:04 <DIR> d--hs---- C:\Documents and Settings\BiG\PrivacIE
2008-08-30 15:56 . 2008-08-30 15:56 <DIR> d--h-c--- C:\WINDOWS\ie8
2008-08-30 01:04 . 2008-08-30 01:38 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-08-30 00:18 . 2008-08-30 00:18 <DIR> d-------- C:\Arquivos de programas\Razor
2008-08-30 00:00 . 2008-08-30 00:00 <DIR> d-------- C:\Arquivos de programas\EA Games
2008-08-29 21:19 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-08-29 21:19 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-08-26 12:26 . 2008-08-26 12:26 295,424 --a------ C:\WINDOWS\system32\bwmedia1.dll
2008-08-26 12:26 . 2008-08-26 12:26 150,016 --a------ C:\WINDOWS\system32\bwmedia.dll
2008-08-26 12:23 . 2008-08-26 12:23 <DIR> d-------- C:\Arquivos de programas\visualize
2008-08-26 12:23 . 2008-08-26 12:23 55 --a------ C:\WINDOWS\wininit.ini
2008-08-24 19:06 . 2008-08-24 19:06 <DIR> d-------- C:\Arquivos de programas\Java
2008-08-24 19:06 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-24 19:04 . 2008-08-24 19:04 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Java
2008-08-24 17:40 . 2008-08-24 17:43 139,264 --a------ C:\WINDOWS\War3Unin.exe
2008-08-24 17:40 . 2008-08-24 17:43 60,895 --a------ C:\WINDOWS\War3Unin.dat
2008-08-24 17:40 . 2008-08-24 17:43 2,829 --a------ C:\WINDOWS\War3Unin.pif
2008-08-22 19:08 . 2008-08-26 18:05 <DIR> d-------- C:\Arquivos de programas\Warcraft III
2008-08-22 19:07 . 2008-08-22 19:07 <DIR> d-------- C:\Arquivos de programas\DAEMON Tools
2008-08-22 17:02 . 2008-08-22 17:02 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-08-22 03:15 . 2008-08-22 03:15 1,216,512 --------- C:\WINDOWS\system32\ieframe.dll.mui
2008-08-22 03:14 . 2008-08-22 03:14 10,240 --------- C:\WINDOWS\system32\advpack.dll.mui
2008-08-22 03:05 . 2008-08-22 03:05 48,640 --------- C:\WINDOWS\system32\PrivacIE.dll
2008-08-19 14:00 . 2008-08-19 14:00 <DIR> d-------- C:\Arquivos de programas\EPSON
2008-08-19 14:00 . 2004-02-17 21:10 98,304 --a------ C:\WINDOWS\system32\E_SAGSET.DLL
2008-08-19 14:00 . 2004-05-21 02:04 79,622 --a------ C:\WINDOWS\system32\EBPMON24.DLL
2008-08-19 14:00 . 2003-05-20 23:27 64,000 --a------ C:\WINDOWS\system32\ECBTEG.DLL
2008-08-19 14:00 . 2000-06-06 22:01 34,304 --a------ C:\WINDOWS\system32\EBPCHP.DLL
2008-08-19 14:00 . 2008-08-19 14:00 66 --a------ C:\WINDOWS\EPSC45.ini
2008-08-19 13:55 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-08-19 13:55 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-08-16 15:02 . 2008-08-16 15:02 <DIR> d-------- C:\Arquivos de programas\Hugin
2008-08-11 23:01 . 2008-07-09 05:05 120,568 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-08-11 23:01 . 2008-07-09 05:05 118,256 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-08-11 22:48 . 2008-08-15 19:50 <DIR> d-------- C:\Arquivos de programas\PhotomatixPro3
2008-08-11 22:47 . 2008-08-11 22:48 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2008-08-08 21:47 . 2008-07-18 22:07 270,880 --a------ C:\WINDOWS\system32\mucltui.dll
2008-08-08 21:47 . 2008-07-18 22:07 210,976 --a------ C:\WINDOWS\system32\muweb.dll
2008-08-08 21:47 . 2008-07-18 22:07 29,728 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-08-08 18:48 . 2008-08-08 18:48 <DIR> d-------- C:\Documents and Settings\BiG\Dados de aplicativos\Flickr
2008-08-08 18:48 . 2008-08-30 18:25 <DIR> d-------- C:\Arquivos de programas\Flickr Uploadr
2008-08-08 17:16 . 2008-08-08 17:16 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\WLInstaller
2008-08-08 17:16 . 2008-08-08 17:16 <DIR> d--hsc--- C:\Arquivos de programas\Arquivos comuns\WindowsLiveInstaller
2008-08-08 08:47 . 2008-08-08 08:47 38 --a------ C:\WINDOWS\avisplitter.INI
2008-08-07 21:53 . 2008-08-07 21:53 <DIR> d--h----- C:\WINDOWS\PIF
2008-08-06 13:07 . 2008-08-06 13:07 <DIR> d-------- C:\Arquivos de programas\TagRename
2008-08-05 20:38 . 2007-04-09 13:23 28,040 --a------ C:\WINDOWS\system32\mdimon.dll
2008-08-05 20:38 . 2008-08-05 20:38 421 --a------ C:\WINDOWS\ODBC.INI
2008-08-05 20:36 . 2008-08-05 20:37 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-08-05 17:55 . 2008-08-05 17:55 265,720 --a------ C:\WINDOWS\system32\msdbg2.dll
2008-08-05 09:58 . 2008-08-05 09:58 <DIR> d-------- C:\Arquivos de programas\MSXML 4.0
2008-08-04 22:50 . 2008-08-04 22:50 <DIR> d-------- C:\Documents and Settings\BiG\Dados de aplicativos\Uniblue
2008-08-04 22:50 . 2008-08-04 22:50 <DIR> d-------- C:\Arquivos de programas\Uniblue
2008-08-04 22:20 . 2008-08-26 00:31 <DIR> d-------- C:\Arquivos de programas\K-Lite Codec Pack
2008-08-04 22:15 . 2008-08-04 22:15 <DIR> d-------- C:\Arquivos de programas\NeXus RV10 & MKV Filtres
2008-08-04 20:52 . 2008-09-03 10:47 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-08-04 20:32 . 2008-08-04 20:32 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Yahoo! Companion
2008-08-04 16:34 . 2008-08-04 16:34 <DIR> d-------- C:\Documents and Settings\BiG\Dados de aplicativos\GRETECH
2008-08-04 16:34 . 2008-08-04 16:34 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\GRETECH
2008-08-04 16:19 . 2008-08-04 16:19 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Adobe
2008-08-04 16:12 . 2008-08-04 16:12 <DIR> d-------- C:\Arquivos de programas\NeroInstall.bak
2008-08-04 16:11 . 2008-08-04 16:11 <DIR> d-------- C:\Documents and Settings\BiG\Dados de aplicativos\Nero
2008-08-04 16:10 . 2008-08-04 16:10 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Nero
2008-08-04 16:10 . 2008-08-04 16:10 <DIR> d-------- C:\Arquivos de programas\Nero
2008-08-04 16:10 . 2008-08-04 16:11 <DIR> d-------- C:\Arquivos de programas\Arquivos comuns\Nero
2008-08-04 16:07 . 2008-09-03 12:39 58,742 --a------ C:\WINDOWS\system32\oodbs.lor
2008-08-04 15:59 . 2008-08-20 12:22 <DIR> d-------- C:\Documents and Settings\BiG\Contacts
2008-08-04 15:59 . 2008-08-14 21:03 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Messenger Plus!
2008-08-04 15:26 . 2008-08-04 15:26 <DIR> d-------- C:\Arquivos de programas\Tracker Software
2008-08-04 15:04 . 2008-08-04 15:04 <DIR> d-------- C:\Arquivos de programas\AliveMedia
2008-08-04 15:04 . 2003-03-26 06:59 573,440 --a------ C:\WINDOWS\system32\NCTAudioInformation2.dll
2008-08-04 15:04 . 2002-12-03 03:02 491,520 --a------ C:\WINDOWS\system32\NCTAudioFile.dll
2008-08-04 15:04 . 2002-01-05 07:37 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2008-08-04 15:04 . 2003-03-25 15:08 286,720 --a------ C:\WINDOWS\system32\NCTWMAFile2.dll
2008-08-04 15:04 . 2002-12-03 03:11 143,872 --a------ C:\WINDOWS\system32\NCTWMAFile.dll
2008-08-04 15:04 . 2002-03-19 07:18 120,832 --a------ C:\WINDOWS\system32\lame_enc.dll
2008-08-04 15:03 . 2008-08-04 15:03 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Spybot - Search & Destroy
2008-08-04 15:03 . 2008-08-04 15:03 <DIR> d-------- C:\Arquivos de programas\Spybot - Search & Destroy
2008-08-04 15:02 . 2008-08-04 15:02 <DIR> d-------- C:\Arquivos de programas\Yahoo!
2008-08-04 15:02 . 2008-08-04 15:02 <DIR> d-------- C:\Arquivos de programas\CCleaner
2008-08-04 15:01 . 2008-08-04 15:01 <DIR> d-------- C:\Arquivos de programas\Marcos Velasco Security
2008-08-04 15:01 . 2008-08-04 15:01 0 --a------ C:\WINDOWS\oodcnt.INI
2008-08-04 14:59 . 2008-08-04 14:59 <DIR> d-------- C:\Arquivos de programas\OO Software
2008-08-04 14:59 . 2008-08-09 11:08 <DIR> d-------- C:\Arquivos de programas\MediaCoder
2008-08-04 14:58 . 2008-08-04 14:58 <DIR> d-------- C:\Arquivos de programas\7-Zip
2008-08-04 14:58 . 2008-06-14 14:59 272,384 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-08-04 14:58 . 2008-06-14 14:59 272,384 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-08-04 14:56 . 2008-08-15 12:35 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-08-04 14:56 . 2008-08-08 17:16 <DIR> d-------- C:\Arquivos de programas\Windows Live
2008-08-04 14:56 . 2008-08-04 14:56 <DIR> d-------- C:\Arquivos de programas\Messenger Plus! Live
2008-08-04 14:56 . 2008-08-04 14:56 268 --ah----- C:\sqmdata00.sqm
2008-08-04 14:56 . 2008-08-04 14:56 244 --ah----- C:\sqmnoopt00.sqm
2008-08-04 14:55 . 2008-08-04 14:55 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-08-04 14:55 . 2008-08-04 14:56 <DIR> d-------- C:\Arquivos de programas\MSN Messenger
2008-08-04 14:52 . 2008-08-04 14:52 <DIR> d-------- C:\Arquivos de programas\GRETECH
2008-08-04 14:51 . 2008-08-04 14:51 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-08-04 14:51 . 2008-08-11 07:46 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-08-04 14:51 . 2008-08-04 14:51 <DIR> d-------- C:\Arquivos de programas\Windows Media Connect 2
2008-08-04 14:48 . 2008-08-04 14:50 <DIR> d-------- C:\Documents and Settings\BiG\Dados de aplicativos\Winamp
2008-08-04 14:48 . 2008-08-04 14:48 <DIR> d-------- C:\Arquivos de programas\Winamp
2008-08-04 14:45 . 2008-09-02 14:53 <DIR> d-------- C:\Documents and Settings\BiG\Dados de aplicativos\uTorrent
2008-08-04 14:45 . 2008-08-04 14:45 <DIR> d-------- C:\Arquivos de programas\uTorrent
2008-08-04 14:13 . 2008-08-04 14:13 0 --a------ C:\WINDOWS\nsreg.dat
2008-08-04 14:11 . 2008-08-04 14:11 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Avira
2008-08-04 14:11 . 2008-08-04 14:11 <DIR> d-------- C:\Arquivos de programas\Avira
2008-08-04 14:10 . 2008-08-04 14:10 592 --a------ C:\WINDOWS\chgkey.vbs
2008-08-04 14:09 . 2008-08-04 14:09 <DIR> d-------- C:\Documents and Settings\All Users\Dados de aplicativos\Office Genuine Advantage
2008-08-04 14:07 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2008-08-30 03:01 --------- d--h--w C:\Arquivos de programas\InstallShield Installation Information
2008-08-22 06:08 878,592 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-22 06:08 43,008 ----a-w C:\WINDOWS\system32\licmgr10.dll
2008-08-22 06:07 18,944 ----a-w C:\WINDOWS\system32\corpol.dll
2008-08-22 06:06 72,704 ----a-w C:\WINDOWS\system32\admparse.dll
2008-08-22 06:06 71,680 ----a-w C:\WINDOWS\system32\iesetup.dll
2008-08-22 06:06 434,176 ----a-w C:\WINDOWS\system32\vbscript.dll
2008-08-22 06:05 48,128 ----a-w C:\WINDOWS\system32\mshtmler.dll
2008-08-22 06:05 35,840 ----a-w C:\WINDOWS\system32\imgutil.dll
2008-08-22 06:04 45,568 ----a-w C:\WINDOWS\system32\mshta.exe
2008-08-22 05:57 156,160 ----a-w C:\WINDOWS\system32\msls31.dll
2008-08-04 16:55 --------- d-----w C:\Arquivos de programas\VIA
2008-08-04 16:54 15,600 ----a-w C:\WINDOWS\gdrv.sys
2008-08-04 16:49 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-08-04 16:49 --------- d-----w C:\Arquivos de programas\Realtek
2008-08-04 16:45 --------- d-----w C:\Arquivos de programas\S3
2008-08-04 16:45 --------- d-----w C:\Arquivos de programas\Arquivos comuns\InstallShield
2008-08-04 16:38 --------- d-----w C:\Arquivos de programas\microsoft frontpage
2008-08-04 16:36 --------- d-----w C:\Arquivos de programas\Serviços on-line
2008-08-04 16:36 --------- d-----w C:\Arquivos de programas\Arquivos comuns\Serviços
2008-07-19 01:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-19 01:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-19 01:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-19 01:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-19 01:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-19 01:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-19 01:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-19 01:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-09 08:05 43,872 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-07-09 08:05 129,520 ------w C:\WINDOWS\system32\pxafs.dll
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:24 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-12 18:36 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll
2008-06-12 14:27 26,144 ----a-w C:\WINDOWS\system32\spupdsvc.exe
2008-06-12 14:27 26,112 ----a-w C:\WINDOWS\system32\idndl.dll
2008-06-12 14:27 24,576 ----a-w C:\WINDOWS\system32\nlsdl.dll
2008-06-12 14:27 23,552 ----a-w C:\WINDOWS\system32\normaliz.dll
.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias & legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"Google Update"="C:\Documents and Settings\BiG\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"avgnt"="C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 262401]
"NeroFilterCheck"="C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]
"NBKeyScan"="C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
"EPSON Stylus C45 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\ 3\E_S4I4T1.EXE" [2004-01-13 99840]
"Ink Monitor"="C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe" [2004-03-31 258114]
"SunJavaUpdateSched"="C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"VTTimer"="VTTimer.exe" [2006-09-21 C:\WINDOWS\system32\VTTimer.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]
-ra------ 2007-05-11 04:47 790528 C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
--a------ 2007-05-11 02:08 2512392 C:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=
"C:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=
"C:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=
"E:\\Programas\\RatioMaster-1.7.5\\RatioMaster.exe"=
"C:\\Arquivos de programas\\Warcraft III\\Warcraft III.exe"=

R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 16896]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX3 2.sys [2007-03-29 9216]
R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 52224]
R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys [2007-04-17 42496]
R3 S3GIGP;S3GIGP;C:\WINDOWS\system32\DRIVERS\S3gIGPm. sys [2007-03-04 709632]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{1d48c0ba-6d90-11dd-b73d-001d7df6f349}]
\Shell\AutoRun\command - H:\gqsk.bat
\Shell\explore\Command - H:\gqsk.bat
\Shell\open\Command - H:\gqsk.bat

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{9b543acb-6267-11dd-b72d-001d7df6f349}]
\Shell\AutoRun\command - gqsk.bat
\Shell\explore\Command - gqsk.bat
\Shell\open\Command - gqsk.bat

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{a17d218b-67dc-11dd-b731-001d7df6f349}]
\Shell\AutoRun\command - gqsk.bat
\Shell\explore\Command - gqsk.bat
\Shell\open\Command - gqsk.bat
.
Conteúdo da pasta 'Tarefas Agendadas'
.

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-03 13:06:16
Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros ocultos ...

Varredura completada com sucesso
Ficheiros ocultos: 0

************************************************** ************************
.
Tempo para conclusão: 2008-09-03 13:08:01
ComboFix-quarantined-files.txt 2008-09-03 16:07:20
ComboFix2.txt 2008-09-03 15:37:58

Pre-Run: 5 pasta(s) 31,784,255,488 bytes disponíveis
Post-Run: 6 pasta(s) 31,773,589,504 bytes disponíveis

236 --- E O F --- 2008-08-30 20:16:02

HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 13:11:15, on 3/9/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T 1.EXE
C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe
C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\BiG\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Bundinha\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T 1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"
O4 - HKLM\..\Run: [Ink Monitor] C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\BiG\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Arquivos de programas\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5B03606-FA33-4C76-8D20-16D2358C1386}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

Coloquei em spoiler para não ficar com um post muito longo

[Mr.Wolf]

Beleza hiroshi666. Seu log está limpo amigo, sem infecções. Problema com malware você não tem mais.

Para finalizarmos. Abra o HijackThis clique em Do a system scan only e marque a entrada abaixo:

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

Depois clique em Fix Checked. Em seguida entre na pasta HijackThis e apague a pasta Backups.

Vá em Iniciar > Executar, digite combofix /u e tecle Enter para remover o ComboFix daí. também vá em C: e apague a pasta C:\Qoobox deixada pelo CF.

Baixe o CCleaner aqui abaixo e instale o programa:
http://superdownloads.uol.com.br/download/53/ccleaner/

Depois abra-o e clique em Analisar > Executar Limpeza, em seguida clique em Registro > Procurar Erros > Corrigir Erros Selecionados.

Após clique com o botão direito no ícone Meu Computador e selecione a opção Propriedades. Vá na aba Restauração do Sistema e marque a opção Desativar restauração do sistema > Aplicar e OK. Depois volte neste mesmo local e desmarque esta opção.

Parabéns hiroshi seu Pc está limpo.

[KodiaK]

Mr.wolf tu é o cara do Linha Defensiva né???

[Mr.Wolf]

Mr.wolf tu é o cara do Linha Defensiva né???

Opa KodiaK sou sim amigo.

Abraço

[hiroshi666]

Opa,valeu mesmo Mr.Wolf ,problema resolvido
Qualquer problema volto a postar aqui
Obrigado

[Red Rabbit]

Amigo -GordoN FreemaN tenho umas perguntas:

Por acaso você utiliza esses programas? PDM Agent, HTV Agent e GBPLUGIN (plugin do Banco do Brasil para Segurança).

Pelo nome esses dois primeiros não da pra saber, mas o do banco do brasil eu não lembro de ter instalado nada, mas eu uso o site do bb algumas vezes.

Também tenho um keyllogger no meu pc, o ardamax 9 ( por motivos de segurança)


é alguma coisa suspeita ?

[Mr.Wolf]

Pelo nome esses dois primeiros não da pra saber, mas o do banco do brasil eu não lembro de ter instalado nada, mas eu uso o site do bb algumas vezes.

Também tenho um keyllogger no meu pc, o ardamax 9 ( por motivos de segurança)


é alguma coisa suspeita ?

Ahh então está explicado. Os arquivos que mencionei PDM Agent e HTV Agent são do seu Ardamax Keylogger. Tenho que perguntar porque se você não utilizasse esse programa você estaria com uma infecção por Keyloggers maliciosos. Mas se usa realmente um não há infecção então.

O Plugin do banco pode ser tanto Banco do Brasil, quanto Bradesco e tal. Como você acessa bancos online, todos os bancos instalam esse plugin no PC do usuário por motivo de segurança. Mas esse plugin poderia ser uma infecção caso não utilizasse bancos online.

Por isso fiz as perguntas acima. No mais seu log está limpo, não apresenta infecção alguma.

Esse problema do navegador Maxthon não está sendo causado por vírus. Pode ser problema no próprio navegador, já tentou utilizar um alternativo para ver se ocorre o mesmo problema? Como Firefox, Opera e etc...

[Red Rabbit]

Ahh então está explicado. Os arquivos que mencionei PDM Agent e HTV Agent são do seu Ardamax Keylogger. Tenho que perguntar porque se você não utilizasse esse programa você estaria com uma infecção por Keyloggers maliciosos. Mas se usa realmente um não há infecção então.

O Plugin do banco pode ser tanto Banco do Brasil, quanto Bradesco e tal. Como você acessa bancos online, todos os bancos instalam esse plugin no PC do usuário por motivo de segurança. Mas esse plugin poderia ser uma infecção caso não utilizasse bancos online.

Por isso fiz as perguntas acima. No mais seu log está limpo, não apresenta infecção alguma.

Esse problema do navegador Maxthon não está sendo causado por vírus. Pode ser problema no próprio navegador, já tentou utilizar um alternativo para ver se ocorre o mesmo problema? Como Firefox, Opera e etc...

Valeu Mr. Wolf

o problema do navegador deve ser pq ele é a ultima versão e é beta, vou atualizar pra ver se acabo com o problema pois gosto muito desse navegador

obrigado colega
bom trabalho aqui no forum

[Mr.Wolf]

Valeu Mr. Wolf

o problema do navegador deve ser pq ele é a ultima versão e é beta, vou atualizar pra ver se acabo com o problema pois gosto muito desse navegador

obrigado colega
bom trabalho aqui no forum

Não há de que amigo. Eu que agradeço !!!

Abraços