Remoção de vírus

[JosMilanga]

aeeeeeee, agora apagou

Spoiler

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "D:\autorun.inf" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

tem como me passar algum script q formate a partição G? é o pendrive, ele tb tem o autorun.inf mas o q tem nele nao é importante a ponto de nao poder formatar :yes:

 

[Mr.Wolf]

Intao to precisando de ajuda, instalei um programinha e veio um virus chato BV:AutoRun-E , ateh agora que percebi ele nao contaminou nada, uso o avast e ele soh detecta esse virus.
A parte chata eh que o avast fica apitando e dando a msg c:\autorun.inf e e:\autorun.inf isso a cada 2 min, conversei com um amigo meu, ele disse pra entrar no msconfig e desmarcar os arquivos que pareciam ser virus, desmarquei reiniciei e ateh agora nao apareceu mensagem do avast.

juliozanatta

Na verdade, seu computador já foi infectado amigo. O autorun.inf é um vírus de pen drive. Se o Avast está alertando e se há entradas no msconfig, seu sistema já está contaminado, sem sombras de dúvidas. Possui algum pen drive aí juliozanatta? Por acaso os itens desmarcados no msconfig foram parecidos com: kamsoft, ckvo, kavo, etc. algum desses?

Mas como eu tiro completamente essa coisa chata?? Como o meu computador fica em rede com o pessoal da casa tem como eles invadirem aqui por causa desse virus?? Obrigado

Teremos que desinfectar sua máquina amigo juliozanatta.

E outra coisa, desconecte-se imediatamente seu computador da rede. O autorun.inf é um worm que se espalha em rede, se já não espalhou.

juliozanatta, por gentileza, vá ao msconfig e marque todos os itens que você desmarcou lá, sem exceção. Em seguida faça um log do HijackThis e poste-o aqui.

- Baixe o HijackThis e extraia-o para uma pasta própria em C:.
- Execute o HijackThis e clique em Do a system scan and a save logfile.
- Será gerado um log no bloco de notas. Copie e cole-o aqui.

 

[Mr.Wolf]

Primeiramente gostaria muito de te agradecer e dizer que admiro muito seus conhecimentos nessa área vio, muito obrigado pela ajuda

Tudo certo amigo rafamanhunt, foi um prazer ajudá-lo. E obrigado pelas palavras.

posso remover o Hijack do computador?e o Malwarebytes? tem, problema ele estar instalado e dar conflito com Meu antivirus(Eset Smart Security)?ou vc aconselha removê-lo(malwarebytes) tbem ???
Obrigado abraços...

Pode excluir o Hijack e Malwarebytes sim rafamanhunt. Porém, se quiser mantê-los no computador também não tem problema. Nenhum dos dois dão conflito com nenhum antivirus, seja Eset, Kaspersky, Avira, Avast, qualquer um, pode usar tranquilamente. Aliás, recomendo ficar com o Malwarebytes e fazer um scan semanal. :thumbs_up

Mas se quiser desinstalá-los, basta ir em Adicionar ou Remover Programas (do Painel de controle) e removê-los por lá.

O único que DEVE ser removido, com todas as suas pastas do computador, é o ComboFix. Ele gera conflito com o antivirus, apague-o daí.

:thumbs_up

Um abraço amigo rafamanhunt



______________________________________________


JosMilanga, delete a pasta C:\Avenger.

A unidade G: é do pen drive, como você disse, portanto teria que conectar seu pen drive ao computador para que possamos deletar a pasta. Por isso pergunto, seu pen drive contém alguma infecção JosMilanga?

 

[8800's@over]

4870's@over, delete a pasta C:\Qoobox.

Estranho o problema continuar. Desconfio deste Gerenciador de Tarefas do Windows, faça o seguinte.

- Faça o download do ProcessExplorer e salve-o no desktop;

- Extraia os arquivos do zip em seu disco local C:

- Crie uma pasta em C: com o nome de Build e salve o executável procexp.exe dentro desta pasta;

- Vá em Iniciar > Executar, digite: C:\Build\procexp.exe C: e tecle Enter. Dê um Ok na mensagem para fechá-la;

- Execute, dando dois cliques o arquivo procexp.exe;

- Clique no menu View e marque a opção Show Unnamed Handles and Mappings e depois tecle F5;

- Clique no menu File > Save As e salve o relatório com a extensão .txt em seu computador.

Poste este relatório em sua próxima resposta 4870's@over.

Segui passo a passo e o Relatorio é esse:

Spoiler

Process PID CPU Description Company Name
System Idle Process 0 50.00
Interrupts n/a 33.08 Hardware Interrupts
DPCs n/a 0.77 Deferred Procedure Calls
System 4
smss.exe 1028 Gerenciador de Sessão do Windows NT Microsoft Corporation
csrss.exe 1088 Client Server Runtime Process Microsoft Corporation
winlogon.exe 1120 Aplicativo de logon do Windows NT Microsoft Corporation
services.exe 1164 Aplicativo de serviços e controle Microsoft Corporation
ati2evxx.exe 1356 ATI External Event Utility EXE Module ATI Technologies Inc.
svchost.exe 1376 Generic Host Process for Win32 Services Microsoft Corporation
wlcomm.exe 3916 Windows Live Communications Platform Microsoft Corporation
svchost.exe 1468 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1604 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1716 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1856 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 200 Spooler SubSystem App Microsoft Corporation
avp.exe 328 3.85 Kaspersky Anti-Virus Kaspersky Lab
InCDsrv.exe 380 incdsrv Nero AG
MDM.EXE 472 Machine Debug Manager Microsoft Corporation
RichVideo.exe 736 RichVideo Module
sp_rsser.exe 1536 Spyware Terminator Realtime Shield Service Crawler.com
alg.exe 3004 Application Layer Gateway Service Microsoft Corporation
lsass.exe 1176 LSA Shell (Export Version) Microsoft Corporation
ati2evxx.exe 1956 ATI External Event Utility EXE Module ATI Technologies Inc.
explorer.exe 1580 0.77 Windows Explorer Microsoft Corporation
SpywareTerminatorShield.Exe 1012 Spyware Terminator Realtime Shield Crawler.com
LWEMon.exe 1024 Logitech WingMan Event Monitor Logitech Inc.
avp.exe 1080 Kaspersky Anti-Virus Kaspersky Lab
everest.exe 1140 EVEREST Ultimate Edition Lavalys, Inc.
Core Temp.exe 1224 Core Temp
ctfmon.exe 1416 CTF Loader Microsoft Corporation
msnmsgr.exe 3080 Windows Live Messenger Microsoft Corporation
firefox.exe 1668 Firefox Mozilla Corporation
procexp.exe 1276 11.54 Sysinternals Process Explorer Sysinternals - www.sysinternals.com
MOM.exe 1044 Catalyst Control Center: Monitoring program Advanced Micro Devices Inc.
CCC.exe 2080 Catalyst Control Centre: Host application ATI Technologies Inc.
rundll32.exe 4048 Executa uma DLL como um aplicativo Microsoft Corporation
rundll32.exe 660 Executa uma DLL como um aplicativo Microsoft Corporation
rundll32.exe 3612 Executa uma DLL como um aplicativo Microsoft Corporation
rundll32.exe 2864 Executa uma DLL como um aplicativo Microsoft Corporation
rundll32.exe 2008 Executa uma DLL como um aplicativo Microsoft Corporation
rundll32.exe 3812 Executa uma DLL como um aplicativo Microsoft Corporation

 

[Mr.Wolf]

Segui passo a passo e o Relatorio é esse:

Spoiler

Process PID CPU Description Company Name
System Idle Process 0 50.00
Interrupts n/a 33.08 Hardware Interrupts
DPCs n/a 0.77 Deferred Procedure Calls
System 4
smss.exe 1028 Gerenciador de Sessão do Windows NT Microsoft Corporation
csrss.exe 1088 Client Server Runtime Process Microsoft Corporation
winlogon.exe 1120 Aplicativo de logon do Windows NT Microsoft Corporation
services.exe 1164 Aplicativo de serviços e controle Microsoft Corporation
ati2evxx.exe 1356 ATI External Event Utility EXE Module ATI Technologies Inc.
svchost.exe 1376 Generic Host Process for Win32 Services Microsoft Corporation
wlcomm.exe 3916 Windows Live Communications Platform Microsoft Corporation
svchost.exe 1468 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1604 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1716 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1856 Generic Host Process for Win32 Services Microsoft Corporation
spoolsv.exe 200 Spooler SubSystem App Microsoft Corporation
avp.exe 328 3.85 Kaspersky Anti-Virus Kaspersky Lab
InCDsrv.exe 380 incdsrv Nero AG
MDM.EXE 472 Machine Debug Manager Microsoft Corporation
RichVideo.exe 736 RichVideo Module
sp_rsser.exe 1536 Spyware Terminator Realtime Shield Service Crawler.com
alg.exe 3004 Application Layer Gateway Service Microsoft Corporation
lsass.exe 1176 LSA Shell (Export Version) Microsoft Corporation
ati2evxx.exe 1956 ATI External Event Utility EXE Module ATI Technologies Inc.
explorer.exe 1580 0.77 Windows Explorer Microsoft Corporation
SpywareTerminatorShield.Exe 1012 Spyware Terminator Realtime Shield Crawler.com
LWEMon.exe 1024 Logitech WingMan Event Monitor Logitech Inc.
avp.exe 1080 Kaspersky Anti-Virus Kaspersky Lab
everest.exe 1140 EVEREST Ultimate Edition Lavalys, Inc.
Core Temp.exe 1224 Core Temp
ctfmon.exe 1416 CTF Loader Microsoft Corporation
msnmsgr.exe 3080 Windows Live Messenger Microsoft Corporation
firefox.exe 1668 Firefox Mozilla Corporation
procexp.exe 1276 11.54 Sysinternals Process Explorer Sysinternals - www.sysinternals.com
MOM.exe 1044 Catalyst Control Center: Monitoring program Advanced Micro Devices Inc.
CCC.exe 2080 Catalyst Control Centre: Host application ATI Technologies Inc.
rundll32.exe 4048 Executa uma DLL como um aplicativo Microsoft Corporation
rundll32.exe 660 Executa uma DLL como um aplicativo Microsoft Corporation
rundll32.exe 3612 Executa uma DLL como um aplicativo Microsoft Corporation
rundll32.exe 2864 Executa uma DLL como um aplicativo Microsoft Corporation
rundll32.exe 2008 Executa uma DLL como um aplicativo Microsoft Corporation
rundll32.exe 3812 Executa uma DLL como um aplicativo Microsoft Corporation

4870's@over, está explicado o porque do problema. O negócio não é vírus, mas sim o "belo" Gerenciador de Tarefas do Windows. :no:

Veja só, o ProxessExplorer possui uma Regra em Interrupts. O que seria isso?

Regra em Interrupts é quando subtraímos o uso da CPU pelos programas com o valor real do uso. A Regra é feita da seguinte forma:

- Pegamos o uso indicado pelo ProcessExplorer - no caso 50.00 e subtraímos por 35.00 (que é a quantia da Regra em Interrupts)
- Então 50 - 35 = 15

Na verdade, o uso da CPU em seu sistema é 15% amigo 4870's@over. Não sei se compreendeu a explicação feita.

O ProcessExplorer é uma ferramenta totalmente mais qualificada e poderosa que um Gerenciadorzinho de tarefas do Windows.

Portanto, não é vírus. Mas ainda assim lhe pergunto amigo 4870's@over: Ainda quer fazer uma verificação mais à fundo no sistema ?

 

[8800's@over]

4870's@over, está explicado o porque do problema. O negócio não é vírus, mas sim o "belo" Gerenciador de Tarefas do Windows. :no:

Veja só, o ProxessExplorer possui uma Regra em Interrupts. O que seria isso?

Regra em Interrupts é quando subtraímos o uso da CPU pelos programas com o valor real do uso. A Regra é feita da seguinte forma:

- Pegamos o uso indicado pelo ProcessExplorer - no caso 50.00 e subtraímos por 35.00 (que é a quantia da Regra em Interrupts)
- Então 50 - 35 = 15

Na verdade, o uso da CPU em seu sistema é 15% amigo 4870's@over. Não sei se compreendeu a explicação feita.

O ProcessExplorer é uma ferramenta totalmente mais qualificada e poderosa que um Gerenciadorzinho de tarefas do Windows.

Portanto, não é vírus. Mas ainda assim lhe pergunto amigo 4870's@over: Ainda quer fazer uma verificação mais à fundo no sistema ?

Humm, mais isso me encomoda... as temps em Idle subiram cerca de ~9°c...

Antes de Ontem não estava assim, estava normal.

Por qual motivo isso aconteceu ?

 

[Mr.Wolf]

Humm, mais isso me encomoda... as temps em Idle subiram cerca de ~9°c...

Antes de Ontem não estava assim, estava normal.

Por qual motivo isso aconteceu ?

4870's@over, já verificou o hardware do computador? Fonte de alimentação, cooler, etc...?

 

[110]

Ola Mr.Wolf.
O meu problema não é com virus e sim proteção anti-hacker.
Tem um colega que é hacker,ele esta tentando hackiar o meu pc e alterar a senha do meu steam,então vocé sabe alguma maneira de dificultar isso?

 

[8800's@over]

4870's@over, já verificou o hardware do computador? Fonte de alimentação, cooler, etc...?

Já sim.

Temperaturas em Carga normais, ja tirei memoria pra limpar passei o MenTest pra verificar erros e tudo normal.

 

[Mr.Wolf]

Ola Mr.Wolf.
O meu problema não é com virus e sim proteção anti-hacker.
Tem um colega que é hacker,ele esta tentando hackiar o meu pc e alterar a senha do meu steam,então vocé sabe alguma maneira de dificultar isso?

110, o Steam abre portas no firewall não abre, ou estão enganado?

 

[8800's@over]

Já sim.

Temperaturas em Carga normais, ja tirei memoria pra limpar passei o MenTest pra verificar erros e tudo normal.

Olha só:

 

[8800's@over]

Olha só:

Quer diser que é o Tal de Interrupts que faz o uso da CPU ficar a mais de 35% neh ?

Haveria um jeito de elimina-lo ?

---------------------------------
Edit:

Até a VGA entrou nessa, o Uso da GPU dela em Idle fica na casa dos 8% e não cai de geito nenhum, coisa q não acontecia...

 

[Mr.Wolf]

É realmente estranho 4870's@over. Bom, não há outro meio, teremos que fazer um scan online aí para averiguar mais à fundo.

Com o navegador Internet Explorer, acesse o site da Eset Online Scanner abaixo:
http://www.eset.com/onlinescan/index.php

Marque a opção YES, I accept the Terms of Use, e depois disso clique no botão Start.

Na próxima tela poderá aparecer uma mensagem dizendo assim: Este site deseja instalar o seguinte complemento: 'OnlineScanner.cab' de Eset, spol. sr.o.'. Se você confia no site e no complemento e deseja instalá-lo, clique aqui... Então é clicar sobre essa mensagem para dar prosseguimento ao escaneamento.

Depois disso surgirá mais uma pequena mensagem confirmando se você deseja instalar o Controle ActiveX, clique então sobre esta opção Instalar Controle ActiveX.

Poderá surgir mais uma tela, na qual você deverá clicar no botão Instalar. Surgirá então mais uma tela, na qual você deverá clicar no botão Start. Um pouco mais à frente marque a opção Remove found threats e a opção Scan unwanted applications.

No final do escaneamento surgirá então uma tela como esta abaixo dizendo
se foram encontrados virus. Clique então na aba Details para ver a lista de virus e malwares que foram eliminados.

Após o término do escaneamento será gerado um relatório (log) que estará no seguinte local do seu computador:
C:\Arquivos de programas\EsetOnlineScanner\log.

Poste este relatório aqui 4870's@over.

Quer diser que é o Tal de Interrupts que faz o uso da CPU ficar a mais de 35% neh ?

Haveria um jeito de elimina-lo ?

Impossível 4870's@over, Este Interrupts faz parte do sistema já. Não há como eliminá-lo. Sem ele, digamos que os processamentos dos programas em seu computador não ocorrerão mais. Ou seja, você não conseguirá instalar, baixar, executar nada com nada em sua máquina. Todos os sistemas com Windows necessitam do Interrupts. Isto é normal.

 

[110]

110, o Steam abre portas no firewall não abre, ou estão enganado?

Abre um porta para o half life.

 

[lyraal]

Você instalou uma Barra que vem com Spyware Teminator? Desinstale pois ela tem spyware, hehe. Melhor desinstalar todo o programa e passar o Spybot.

 

[lyraal]

AVG identifica o Adobe Flash Player como malware
17/11/2008 07:24

O AVG não está indo bem com os falsos positivos nestes dias. Apenas alguns dias após ter problemas com versões do Windows XP por causa de uma atualização defeituosa, a empresa agora tem outro problema. A última atualização de sua suíte está classificando o quase onipresente Adobe Flash Player como um trojan.

A suíte permite que as pessoas optem por suprimir ou não o Flash, e pelo menos neste caso não desativa um arquivo crítico do sistema. Ainda assim, falsos positivos são algo que não só impedem que os usuários confiem em um antivírus, mas dificultam também a capacidade das pessoas em reagir adequadamente a um problema verdadeiro.

O AVG recentemente identificou o firewall ZoneAlarm e o arquivo user32.dll do Windows como malwares.

Fonte: Fórum do BABOO






Artigos Relacionados:

AVG remove arquivo crítico do Windows (11/11/2008 12:09)
A AVG disponibilizou uma atualização nesta semana que fez com que seus softwares antivírus classificassem o arquivo user32.dll como um vírus.

AVG: ZoneAlarm é malware (16/10/2008 08:43)
Programa identificava incorretamente o arquivo deinstalação do ZoneAlarm como Trojan Agent r.CX.

 

[vinicius_never]

ae galera tem como ta uma olhada no meu log ? :thumbs_up

 

[JosMilanga]

JosMilanga, delete a pasta C:\Avenger.

A unidade G: é do pen drive, como você disse, portanto teria que conectar seu pen drive ao computador para que possamos deletar a pasta. Por isso pergunto, seu pen drive contém alguma infecção JosMilanga?

o avira ta acusando ele de ter:
é um arquivo de autocad chamado acad.lsp
a msg é a seguinte:
contains recognition pattern of the ACAD/Bursted VBA virus

e acusa um outro tb:
G:\...\usbsysload.exe
contains recognition pattern of the DR/Delphi.Gen dropper

agora nao sei se é falso positivo ou nao.
ja o malwarebytes nao encontra nada.

quarta feira tive que colocar num pc e uma empresa de plotagem, provavelmente pegou alguma coisa por la :slap:







Edit: fui apagar a pasta avenger da D: e continua sem permissão =/

 

[juliozanatta]

juliozanatta

Na verdade, seu computador já foi infectado amigo. O autorun.inf é um vírus de pen drive. Se o Avast está alertando e se há entradas no msconfig, seu sistema já está contaminado, sem sombras de dúvidas. Possui algum pen drive aí juliozanatta? Por acaso os itens desmarcados no msconfig foram parecidos com: kamsoft, ckvo, kavo, etc. algum desses?


Teremos que desinfectar sua máquina amigo juliozanatta.

E outra coisa, desconecte-se imediatamente seu computador da rede. O autorun.inf é um worm que se espalha em rede, se já não espalhou.

juliozanatta, por gentileza, vá ao msconfig e marque todos os itens que você desmarcou lá, sem exceção. Em seguida faça um log do HijackThis e poste-o aqui.

- Baixe o HijackThis e extraia-o para uma pasta própria em C:.
- Execute o HijackThis e clique em Do a system scan and a save logfile.
- Será gerado um log no bloco de notas. Copie e cole-o aqui.

Valeu pela ajuda. Aqui o meu log. Como eu faco pra fazer aqui na msg essa caixa de "mostrar"??

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:29:53, on 17/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\Portrait Displays\Shared\DTSRVC.exe
C:\windows\system32\libusbd-nt.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\windows\System32\alg.exe
C:\windows\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Portrait Displays\forteManager\DTHtml.exe
C:\Program Files\RivaTuner v2.09\Tools\RivaTunerStatisticsServer\RivaTunerStatisticsServer.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Common Files\Portrait Displays\Shared\HookManager.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\windows\System32\svchost.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\windows\system32\wuauclt.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\JULIO-~1\LOCALS~1\Temp\Rar$EX00.047\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [DT LGE] C:\Program Files\Portrait Displays\forteManager\DTHtml.exe -startup_folder
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [RivaTunerStatisticsServer] "C:\Program Files\RivaTuner v2.09\Tools\RivaTunerStatisticsServer\RivaTunerStatisticsServer.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [C:\windows\system32\kdkli.exe] C:\windows\system32\kdkli.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Photosmart Premier Fast Start.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Transferir com FDM - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Transferir todos com FDM - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Transferir vídeo com FDM - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Transferência seleccionada pelo FDM - file://C:\Program Files\Free Download Manager\dlselected.htm
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqaio/downloads/sysinfo.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://ipgweb.cce.hp.com/rdqaio/downloads/msxml4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B3ABE74-54EB-45FD-827C-412E73550D1F}: NameServer = 85.255.112.189;85.255.112.113
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B3ABE74-54EB-45FD-827C-412E73550D1F}: NameServer = 85.255.112.189;85.255.112.113
O17 - HKLM\System\CS5\Services\Tcpip\..\{0B3ABE74-54EB-45FD-827C-412E73550D1F}: NameServer = 85.255.112.189;85.255.112.113
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Common Files\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\windows\system32\libusbd-nt.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 10435 bytes

 

[hotsauce2007]

segue wolf...


_____________________________________.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:20:51, on 17/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe
C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\Analog Devices\SoundMAX\smax4.exe
C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Arquivos de programas\trend micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Arquivos de programas\Save Flash\SaveFlash.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AVP] "C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE lebeca web camera driver
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMax] "C:\Arquivos de programas\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Estatísticas de protecção do Tráfego de Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD5/JSCDL/...jc.cab&File=jinstall-6u10-windows-i586-jc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54DF7F5B-C56A-44BB-95B2-F0B81F8A307F}: NameServer = 200.204.0.10 200.204.0.138
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Arquivos de programas\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 8159 bytes

 

[luisednardo]

Mr Wolf, me salva que esse log tá cheio de vírus!!!

Spoiler

Logfile of HijackThis v1.99.1
Scan saved at 23:25:17, on 17/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\Arquivos de programas\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Arquivos de programas\myBabylon_English\tbmyBa.dll
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll
O2 - BHO: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Arquivos de programas\myBabylon_English\tbmyBa.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll
O3 - Toolbar: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Arquivos de programas\myBabylon_English\tbmyBa.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\WINDOWS\sm56hlpr.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Babylon Client] C:\Arquivos de programas\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Arquivos de programas\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Arquivos de programas\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

 

[Vitao222]

Valeu pela ajuda. Aqui o meu log. Como eu faco pra fazer aqui na msg essa caixa de "mostrar"??

Você tem que colocar as tags [!spoiler] e [/spoiler]. Detalhe: sem o !, que eu coloquei apenas para que não formasse a caixinha aqui.

Exemplo:

Spoiler

seu log

Se tiver ainda dúvida, me quote e veja como tá o código dentro da minha mensagem. É bem simples.

 

[Mr.Wolf]

Pessoal, vou responder à alguns de vocês no mesmo tópico para não floodar o fórum ok. Vamos lá então.


vinicius_never seu log está limpo amigo.

Há algum problema no computador vinicius_never?


____________________________________________________

Postado originalmente por JosMilanga

o avira ta acusando ele de ter:
é um arquivo de autocad chamado acad.lsp
a msg é a seguinte:
contains recognition pattern of the ACAD/Bursted VBA virus

e acusa um outro tb:
G:\...\usbsysload.exe
contains recognition pattern of the DR/Delphi.Gen dropper

agora nao sei se é falso positivo ou nao.
ja o malwarebytes nao encontra nada.

JosMilanga, não é falso-positivo não. Trata-se de um worm verdadeiro mesmo. Faça um scan em seu pen drive com o PenClean.

JosMilanga, peço que poste um log do RSIT do D: de seu computador aqui, por gentileza.


________________________________________________



hotsauce2007, vamos tentar o seguinte (siga as instruções dentro do spoiler)

Spoiler

Vá em Iniciar > Executar, digite cmd e tecle Enter para abrir o prompt. Digite no prompt o comando abaixo (tendo atenção nos espaços os caracteres) e tecle Enter:

NET STOP WINMGMT /Y

Digite exit para fechar do ptompt.

Vá na pasta C:\windows\system32\wbem e apague a pasta "Repository".

Reinicie o computador e veja se o problema ainda ocorre hotsauce2007.

__________________________________________


luisednardo, siga as instruções do spoiler.

Spoiler

- Faça o download do AD-Fix e salve no desktop;

- Extraia o arquivo para o desktop e reinicie o computador em Modo de Segurança;
- Dê um duplo clique em AD-Fix.bat;
- Tecle 2 + Enter e aguarde. Ao término do scan dê um Enter e um log será apresentado à você. O log estará também em C:\ad-fix.txt.


- Faça o download do ComboFix e salve-o na área de trabalho;

● Desative temporariamente o seu antivirus para não detectar a ferramenta como vírus;
● Duplo clique no ícone combofix.exe para iniciar o scan;
● Leia o contrato que aparecerá e clique em Sim para continuar;
● Abrirá uma janela do Console de Recuperação, clique em Sim para instalar. Se aparecer outra janela do Console, clique em OK > Sim;
● Aguarde enquanto o ComboFix faz o scan;
● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;
● Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a varredura da ferramenta;
● Se quiser sair ou parar o ComboFix, tecle N;
● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;
● Será gerado um log em C:\ComboFix.txt.

Em sua próxima resposta luisednardo, cole os logs do AD-Fix e ComboFix.

 

[Mr.Wolf]

Amigo juliozanatta, seu log possui infecções graves. Você está infectado pelo Trojan DNS.Changer (famoso trojan, mais conhecido como WareOut), por um Keylogger e por um Backdoor de payload (ação) imediata. Recomendaria a instalação de um firewall imediatamente em seu sistema juliozanatta, e também que não acesse o Orkut, MSN, bancos online, enfim, lugares onde terá que colocar informações pessoais, pelo menos até removermos o Keylogger. Bom, como a ferramenta de remoção do WareOut (FixWareOut) foi removida do ar, teremos que utilizar o Malwarebytes para isso. Siga corretamente as instruções dentro do spoiler abaixo juliozanatta.

A partir do final da primeira etapa até o final da terceira, os procedimentos abaixo deverão ser feitos em Modo de Segurança na máquina juliozanatta. Então sugiro que imprima as instruções antes de entrar em Modo Seguro.
Caso não consiga entrar em Modo Seguro, faça em Modo Normal mesmo somente as duas primeiras etapas, não faça a terceira etapa com o EliTrIP - somente se não conseguir entrar em Modo Seguro no computador ok.

Spoiler

1ª Etapa

- Faça o download do KillBox crie uma pasta própria para a ferramenta em C: e salve-o dentro da pasta criada;

● Execute o KillBox e marque a opção Delete on Reboot;
● Selecione todo o texto aqui abaixo e copie-o (Ctrl + C):

C:\windows\system32\kdkli.exe

● Volte ao KillBox, clique no menu File > Paste from Clipboard;
● Clique no botão Single File;
● Clique no botão e ao ser perguntado Reboot Now? Confirme e reinicie seu computador em Modo de Segurança (segurando a tecla F8 na inicialização do sistema e escolhendo Modo Seguro);

● Execute o HijackThis e clique em Do a system scan only. Marque a entrada abaixo e clique no botão .

O4 - HKLM\..\Run: [C:\windows\system32\kdkli.exe] C:\windows\system32\kdkli.exe

● Será gerado um log do KillBox em C:\KillBox!\kb.txt.

Continue ainda em Modo de Segurança.


2ª Etapa

Ainda em Modo Seguro:

- Faça o download do Malwarebytes Anti-Malware e salve-o no desktop;

● Dê dois cliques no programa para iniciar a instalação. Selecione o idioma Português (Brasil);
● No meio da instalação, marque as opções "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em Concluir;
● Após a instalação execute o programa;
● Marque a opção Verificação Completa e depois clique em Verificar. Selecione sua unidade C: e clique no botão Iniciar Verificação;
● Quando o scan terminar, clique em OK e o log será automaticamente aberto para você;
● Se algo for detectado, verifique se todos os itens estão marcados e clique no botão Remover;
● O log pode ser consultado clicando em Logs do menu principal também;


3ª Etapa

Ainda em Modo Seguro:

- Com o navegador Internet Explorer, baixe a ferramenta do link abaixo (a página é um pouco estranha, mas é bem segura):

- EliTriIP > Para baixar, no final da página clique no botão Descargar EliTriip

- Salve-o no desktop;
- Desabilite, temporariamente, a proteção de seu antivirus;
- Execute a ferramenta EliTriIp, com um duplo-clique.
- Aceite as condições propostas e aguarde o término do scan;
- Aguarde o escaneamento exploratório, que pode demorar alguns minutos.
- Será gerado um log em C:\InfoSat.txt.

Reinicie seu computador em Modo Normal.

Para a sua próxima resposta amigo juliozanatta, preciso que poste os logs do Malwarebytes, KillBox, EliTrIP e um novo do HijackThis por gentileza.

Postador originalmente por juliozanatta

Valeu pela ajuda. Aqui o meu log. Como eu faco pra fazer aqui na msg essa caixa de "mostrar"??

juliozanatta, o nosso amigo victorm acima já explicou perfeitamente como fazer. Basta seguir a explicação dele. :thumbs_up


_____________________________________________


110, possui um firewall de terceiros na máquina? Ou seja, que não seja o do Windows. Se sim, qual amigo 110?



_______________________________________________

Postado originalmente por lyraal

AVG identifica o Adobe Flash Player como malware
17/11/2008 07:24

O AVG não está indo bem com os falsos positivos nestes dias. Apenas alguns dias após ter problemas com versões do Windows XP por causa de uma atualização defeituosa, a empresa agora tem outro problema. A última atualização de sua suíte está classificando o quase onipresente Adobe Flash Player como um trojan.

A suíte permite que as pessoas optem por suprimir ou não o Flash, e pelo menos neste caso não desativa um arquivo crítico do sistema. Ainda assim, falsos positivos são algo que não só impedem que os usuários confiem em um antivírus, mas dificultam também a capacidade das pessoas em reagir adequadamente a um problema verdadeiro.

O AVG recentemente identificou o firewall ZoneAlarm e o arquivo user32.dll do Windows como malwares.

Fonte: Fórum do BABOO

Artigos Relacionados:

AVG remove arquivo crítico do Windows (11/11/2008 12:09)
A AVG disponibilizou uma atualização nesta semana que fez com que seus softwares antivírus classificassem o arquivo user32.dll como um vírus.

AVG: ZoneAlarm é malware (16/10/2008 08:43)
Programa identificava incorretamente o arquivo deinstalação do ZoneAlarm como Trojan Agent r.CX.

Pois é amigo lyraal, a empresa Grisoft está mandando "bombas" em seus produtos antivirus ultimamente. Ao contrário do AVG Anti-Rootkit que é excelente e possui uma pouquíssima taxa de falsos-positivos, quase nenhum eu diria.

Quanto ao AVG detectar o Adobe Flash Player como infecção, isso já ocorreu também com o Malwarebytes. O mesmo já detectou o plugin da Adobe como Backdoor. Mas que já foi corrigido faz muito tempo. Qualquer antivirus está sujeito à falsos-positivos. Porém, os da AVG estão absurdos e perigosos.

O problema com o Zone Alarm ser detectado também já ocorreu com a Kaspersky. O antivirus já chegou a detectar o arquivo legítmo zlclient.exe do firewall da Zone Alarm como Keylogger antigamente.

O problema é que muitas pessoas, às vezes, acham que não é um falso-positivo (por confiar no antivirus, e afinal, um "possível" vírus estar em seu sistema), acabam realmente excluindo o arquivo legítmo do sistema. No caso, se excluirmos o user32.dll, trará dores de cabeça enormes aos usuários. Que somente através de uma reparação com o CD do XP é possível restaurar este arquivo novamente.

É difícil!

 

[luisednardo]

Pronto Mestre, seguem os logs

Spoiler

Ad-Fix v0.101e
by gchris


OPTION 2 (Fix) :

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Démarré à :

4:54:12,46 ter 18/11/2008
en mode sans échec


Executé depuis :

C:\Documents and Settings\Rob‚rio\Desktop\Ad-Fix


Os :

Microsoft Windows XP [versÆo 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Recherche de fichier manquant


»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Nettoyage du registre



»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Suppression des fichiers


»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Terminé à 4:58:24,56


Redémarrage effectué

Spoiler

ComboFix 08-11-16.05 - Robério 2008-11-18 5:13:01.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1046.18.634 [GMT -2:00]
Executando de: c:\documents and settings\Robério\Desktop\ComboFix.exe
* Criado um novo ponto de restauro

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\documents and settings\All Users\Dados de aplicativos\pdfppt2.dll
c:\windows\system32\ckvo.exe
c:\windows\system32\ckvo0.dll
C:\yannh.cmd

.
(((((((((((((((( Arquivos/Ficheiros criados de 2008-10-18 to 2008-11-18 ))))))))))))))))))))))))))))
.

2008-11-18 05:01 . 2008-11-18 05:01 <DIR> d-------- c:\windows\LastGood
2008-11-18 04:54 . 2007-02-09 10:26 184,320 --a------ c:\windows\system32\delnext.exe
2008-11-18 04:54 . 2004-05-05 09:40 16,384 --a------ c:\windows\system32\restart.exe
2008-11-17 23:24 . 2008-11-17 23:25 <DIR> d-------- C:\hijackthis
2008-11-17 23:23 . 2008-11-17 23:23 212,849 --a------ C:\hijackthis.zip
2008-11-17 23:18 . 2008-11-17 23:18 106,174 -r-hs---- c:\windows\system32\kamsoft.exe
2008-11-17 23:18 . 2008-11-18 05:00 85,504 -r-hs---- c:\windows\system32\gasretyw0.dll
2008-11-17 23:11 . 2001-09-05 23:27 18,176 --a------ c:\windows\system32\drivers\sermouse.sys
2008-11-17 23:11 . 2001-09-05 23:27 18,176 --a--c--- c:\windows\system32\dllcache\sermouse.sys
2008-11-12 19:51 . 2008-11-12 19:51 85,504 --a------ c:\windows\system32\ckvo0.VIR002
2008-11-12 18:51 . 2008-10-24 09:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 18:44 . 2008-11-12 18:44 85,504 --a------ c:\windows\system32\ckvo0.VIR000
2008-11-12 13:03 . 2008-11-12 13:03 85,504 --a------ c:\windows\system32\ckvo0.VIR001
2008-11-10 17:53 . 2008-11-10 17:53 2,306,113 --a------ c:\windows\system32\GPhotos.scr
2008-11-10 11:44 . 2008-11-11 03:08 <DIR> d-------- c:\documents and settings\Robério\Dados de aplicativos\Babylon
2008-11-10 11:44 . 2008-11-13 15:55 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Babylon
2008-11-10 11:44 . 2008-11-10 11:44 <DIR> d-------- c:\arquivos de programas\myBabylon_English
2008-11-10 11:44 . 2008-11-10 11:44 <DIR> d-------- c:\arquivos de programas\Conduit
2008-11-10 11:44 . 2008-11-10 11:44 <DIR> d-------- c:\arquivos de programas\Babylon
2008-11-09 12:37 . 2008-11-09 12:37 85,504 --a------ c:\windows\system32\ckvo0.VIR
2008-11-08 17:18 . 2008-11-07 07:21 109,879 -r-hs---- C:\sq.com
2008-11-01 22:07 . 2008-11-01 22:07 244 --ah----- C:\sqmnoopt03.sqm
2008-11-01 22:07 . 2008-11-01 22:07 232 --ah----- C:\sqmdata03.sqm
2008-11-01 22:07 . 2008-11-01 22:07 172 --ah----- C:\sqmnoopt04.sqm
2008-11-01 22:07 . 2008-11-01 22:07 172 --ah----- C:\sqmdata04.sqm
2008-11-01 21:47 . 2008-11-01 21:47 244 --ah----- C:\sqmnoopt02.sqm
2008-11-01 21:47 . 2008-11-01 21:47 232 --ah----- C:\sqmdata02.sqm
2008-10-28 12:50 . 2008-10-28 12:50 <DIR> d-------- c:\documents and settings\Robério\Dados de aplicativos\ArcSoft
2008-10-28 11:57 . 2008-11-01 22:29 739 --a------ c:\windows\STImgBrowser.INI
2008-10-28 11:53 . 1995-07-31 13:44 212,480 --a------ c:\windows\PCDLIB32.DLL
2008-10-28 11:53 . 2001-11-02 15:06 163,840 --a------ c:\windows\system32\PhotoImpression Screen Saver.scr
2008-10-28 11:52 . 2008-10-28 11:52 <DIR> d-------- c:\arquivos de programas\ArcSoft
2008-10-28 11:51 . 2008-10-28 11:51 <DIR> d-------- c:\arquivos de programas\directx
2008-10-24 13:49 . 2008-10-24 13:49 56,579 --a------ C:\Apresentação4.pdf
2008-10-24 13:47 . 2008-10-24 13:47 <DIR> d-------- c:\windows\system32\psconv
2008-10-24 13:47 . 2008-10-24 13:47 <DIR> d-------- c:\arquivos de programas\psconvert
2008-10-24 13:47 . 2001-10-29 01:42 116,224 --a------ c:\windows\system32\pdfmonnt.dll
2008-10-24 13:47 . 2008-10-24 13:47 164 --a------ c:\windows\system32\psconv.ini
2008-10-24 12:59 . 1998-06-24 00:00 609,584 --a------ c:\windows\system32\COMCTL32.OCX
2008-10-24 12:48 . 2008-10-24 12:50 34 --a------ C:\pdfinfo.ini

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-08 11:29 --------- d-----w c:\arquivos de programas\Arquivos comuns\Adobe
2008-11-02 00:29 --------- d-----w c:\arquivos de programas\DivX
2008-10-28 13:52 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information
2008-10-28 13:50 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 20:25 --------- d-----w c:\documents and settings\Robério\Dados de aplicativos\Ahead
2008-10-17 21:54 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\NCH Swift Sound
2008-10-17 21:54 --------- d-----w c:\arquivos de programas\NCH Swift Sound
2008-10-17 21:46 --------- d-----w c:\documents and settings\Robério\Dados de aplicativos\NCH Swift Sound
2008-10-17 21:39 --------- d-----w c:\arquivos de programas\NCH Software
2008-10-16 16:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 16:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 16:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 16:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 16:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 16:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 16:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 16:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-12 18:46 --------- d-----w c:\arquivos de programas\Google
2008-10-06 18:10 --------- d-----w c:\documents and settings\Robério\Dados de aplicativos\DivX
2008-10-06 18:04 --------- d-----w c:\arquivos de programas\IZArc
2008-10-06 13:15 --------- d-----w c:\arquivos de programas\Real Alternative
2008-10-06 12:58 --------- d-----w c:\arquivos de programas\SMPlayer
2008-10-05 19:58 --------- d-----w c:\arquivos de programas\MSXML 4.0
2008-10-05 02:47 --------- d-----w c:\documents and settings\Robério\Dados de aplicativos\Media Player Classic
2008-10-04 19:28 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\SlySoft
2008-10-04 19:28 --------- d-----w c:\arquivos de programas\SlySoft
2008-10-04 19:27 --------- d-----w c:\arquivos de programas\Elaborate Bytes
2008-10-04 19:24 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Nero
2008-10-04 19:24 --------- d-----w c:\arquivos de programas\Nero
2008-10-04 19:24 --------- d-----w c:\arquivos de programas\Arquivos comuns\Ahead
2008-10-04 19:19 --------- d-----w c:\arquivos de programas\Windows Media Connect 2
2008-10-04 19:13 --------- d-----w c:\arquivos de programas\MSN Messenger
2008-10-04 19:10 --------- d-----w c:\documents and settings\Robério\Dados de aplicativos\InstallShield
2008-10-04 19:10 --------- d-----w c:\arquivos de programas\Realtek
2008-10-04 18:59 --------- d-----w c:\arquivos de programas\Mobile Partner
2008-10-04 18:57 --------- d-----w c:\arquivos de programas\Intel
2008-10-04 18:44 --------- d-----w c:\arquivos de programas\microsoft frontpage
2008-10-04 18:43 --------- d-----w c:\arquivos de programas\Serviços on-line
2008-10-04 18:42 --------- d-----w c:\arquivos de programas\Arquivos comuns\Serviços
2008-09-30 18:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:15 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll
.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}"= "c:\arquivos de programas\myBabylon_English\tbmyBa.dll" [2008-08-20 1780248]

[HKEY_CLASSES_ROOT\clsid\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]
2008-08-20 23:03 1780248 --a------ c:\arquivos de programas\myBabylon_English\tbmyBa.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}"= "c:\arquivos de programas\myBabylon_English\tbmyBa.dll" [2008-08-20 1780248]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}"= "c:\arquivos de programas\myBabylon_English\tbmyBa.dll" [2008-08-20 1780248]

[HKEY_CLASSES_ROOT\clsid\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"AnyDVD"="c:\arquivos de programas\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-05-13 2091968]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
"swg"="c:\arquivos de programas\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-10-06 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]
"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SMSERIAL"="c:\windows\sm56hlpr.exe" [2006-04-05 565248]
"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"Babylon Client"="c:\arquivos de programas\Babylon\Babylon-Pro\Babylon.exe" [2008-09-28 3565280]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2008-05-09 c:\windows\system32\advpack.dll]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=
"c:\\Arquivos de programas\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - C:\yannh.cmd
\Shell\explore\Command - C:\yannh.cmd
\Shell\open\Command - C:\yannh.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{432d60b8-a477-11dd-8a5e-001d7dfcbda6}]
\Shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86ac2e70-9259-11dd-8a13-001d7dfcbda6}]
\Shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{87915025-9658-11dd-8a24-001d7dfcbda6}]
\Shell\AutoRun\command - F:\yew.bat
\Shell\explore\Command - F:\yew.bat
\Shell\open\Command - F:\yew.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8eced66-aa24-11dd-8a7a-001d7dfcbda6}]
\Shell\AutoRun\command - F:\sq.com
\Shell\explore\Command - F:\sq.com
\Shell\open\Command - F:\sq.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c74aa0b4-af7d-11dd-8a94-001d7dfcbda6}]
\Shell\AutoRun\command - F:\sq.com
\Shell\explore\Command - F:\sq.com
\Shell\open\Command - F:\sq.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c7eb7e16-9b74-11dd-8a36-001d7dfcbda6}]
\Shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da3b9e31-939f-11dd-8a18-001d7dfcbda6}]
\Shell\AutoRun\command - F:\sq.com
\Shell\explore\Command - F:\sq.com
\Shell\open\Command - F:\sq.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb9974c3-9229-11dd-8a0c-806d6172696f}]
\Shell\AutoRun\command - E:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa54211c-924d-11dd-8a12-001d7dfcbda6}]
\Shell\AutoRun\command - F:\yew.bat
\Shell\explore\Command - F:\yew.bat
\Shell\open\Command - F:\yew.bat

*Newly Created Service* - PROCEXP90
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-18 05:35:27
Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************
.
Tempo para conclusão: 2008-11-18 5:46:30
ComboFix-quarantined-files.txt 2008-11-18 07:45:36

Pré-execução: 11 pasta(s) 145.349.181.440 bytes disponíveis
Pós execução: 11 pasta(s) 146,034,466,816 bytes disponíveis

200 --- E O F --- 2008-11-13 01:08:02