Remoção de vírus

Olá Mr. Wolf... Bom dia!
Vem cá, como é que eu faço pra ficar um pouco mais imune dessas pragas?
Obrigada...

Segue o resultado do OTMoveIt3...
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12bc74e9-de98-11dd-af8a-000c6ef7bfcd}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6a93194e-de96-11dd-af89-000c6ef7bfcd}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0c857df-e7af-11dd-afa7-000c6ef7bfcd}\\ deleted successfully.
========== SERVICES/DRIVERS ==========
Service\Driver aq7oawft not found.
Service\Driver aq7oawft not found.
Service\Driver aq7oawft not found.
Service\Driver bzwrmjo deleted successfully.
Service\Driver aq7oawft not found.
Service\Driver kidvqse deleted successfully.
Service\Driver aq7oawft not found.
Service\Driver ktvnfhsxi deleted successfully.
Service\Driver aq7oawft not found.
Service\Driver tgzky deleted successfully.
========== FILES ==========
C:\Documents and Settings\Nanda\Dados de aplicativos\inst.exe moved successfully.
File/Folder C:\WINDOWS\system32\drivers\aq7oawft.sys not found.
File/Folder C:\WINDOWS\system32\02.tmp not found.
========== COMMANDS ==========
Error: Unable to interpret <[emtytemp]> in the current context!

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05172009_121149

log Rsit

Logfile of random's system information tool 1.06 (written by random/random)
Run by Nanda at 2009-05-17 12:29:59
Microsoft Windows XP Professional Service Pack 2
System drive C: has 2 GB (10%) free of 15 GB
Total RAM: 1280 MB (68% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:30:03, on 17/5/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe
C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe
C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe
C:\Documents and Settings\Nanda\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Nanda\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Nanda\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Nanda\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Documents and Settings\Nanda\Desktop\RSIT.exe
C:\Arquivos de programas\trend micro\Nanda.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O2 - BHO: G-Buster Browser Defense Unibanco - {C41A1C0E-EA6C-11D4-B1B8-444553540008} - C:\ARQUIV~1\GbPlugin\gbiehuni.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AutoLock] C:\Arquivos de programas\Justsoft WinPolicy\AutoLock.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1231535316093
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} (GbPluginObj Class) - https://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab
O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll
O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O20 - Winlogon Notify: GbPluginUni - C:\ARQUIV~1\GbPlugin\gbiehuni.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: WinPolicy AutoLock (AutoLock) - Unknown owner - \WPService.exe (file missing)
O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

--
End of file - 8262 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-01-09 304736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}]
Megaupload Toolbar - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL [2006-10-31 1803720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Arquivos de programas\Java\jre6\bin\ssv.dll [2009-01-09 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Auxiliar de Conexão do Windows Live - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41A1C0E-EA6C-11D4-B1B8-444553540000}]
GbIehObj Class - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll [2009-03-25 271152]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41A1C0E-EA6C-11D4-B1B8-444553540003}]
GbIehObj Class - C:\Arquivos de programas\GbPlugin\gbiehcef.dll [2009-03-27 264776]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41A1C0E-EA6C-11D4-B1B8-444553540008}]
GbIehObj Class - C:\ARQUIV~1\GbPlugin\gbiehuni.dll [2009-03-25 414624]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll [2009-01-09 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-01-09 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - Megaupload Toolbar - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL [2006-10-31 1803720]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"=C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe [2009-01-09 185872]
"SpywareTerminator"=C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe [2009-03-29 2233856]
"ISUSPM Startup"=C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe [2005-08-11 249856]
"ISUSScheduler"=C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe [2005-08-11 81920]
"AutoLock"=C:\Arquivos de programas\Justsoft WinPolicy\AutoLock.exe []
"avgnt"=C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb]
C:\Arquivos de programas\GbPlugin\gbieh.dll [2009-03-25 271152]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginCef]
C:\Arquivos de programas\GbPlugin\gbiehcef.dll [2009-03-27 264776]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginUni]
C:\ARQUIV~1\GbPlugin\gbiehuni.dll [2009-03-25 414624]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{E37CB5F0-51F5-4395-A808-5FA49E399F83}"=C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll [2009-03-25 271152]
"{E37CB5F0-51F5-4395-A808-5FA49E399003}"=C:\Arquivos de programas\GbPlugin\gbiehcef.dll [2009-03-27 264776]
"{E37CB5F0-51F5-4395-A808-5FA49E399008}"=C:\ARQUIV~1\GbPlugin\gbiehuni.dll [2009-03-25 414624]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"RestrictRun"=0
"NoDrives"=0
"NoViewOnDrive"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:mad:xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:mad:xpsp3res.dll,-20000"
"C:\Arquivos de programas\Pando Networks\Media Booster\PMB.exe"="C:\Arquivos de programas\Pando Networks\Media Booster\PMB.exe:*:Enabled:pando Media Booster"
"C:\Arquivos de programas\LimeWire\LimeWire.exe"="C:\Arquivos de programas\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Arquivos de programas\uTorrent\uTorrent.exe"="C:\Arquivos de programas\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"D:\CABAL Online (BRAZIL)2\launcher\update\ESTdnheadless.exe"="D:\CABAL Online (BRAZIL)2\launcher\update\ESTdnheadless.exe:*:Enabled:EST! download engine"
"C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe"="C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Arquivos de programas\SopCast\adv\SopAdver.exe"="C:\Arquivos de programas\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver"
"C:\Documents and Settings\All Users\Dados de aplicativos\NexonUS\NGM\NGM.exe"="C:\Documents and Settings\All Users\Dados de aplicativos\NexonUS\NGM\NGM.exe:*:Enabled:Nexon Game Manager"
"C:\Arquivos de programas\Internet Explorer\iexplore.exe"="C:\Arquivos de programas\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"
"C:\Arquivos de programas\Java\jre6\launch4j-tmp\JDownloader.exe"="C:\Arquivos de programas\Java\jre6\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\WINDOWS\system32\ftp.exe"="C:\WINDOWS\system32\ftp.exe:*:Enabled:programa de transferência de arquivos"
"C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe"="C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:mad:xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:mad:xpsp3res.dll,-20000"
"C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe"="C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"D:\Combat Arms\CombatArms.exe"="D:\Combat Arms\CombatArms.exe:*Enabled:CombatArms.exe"
"D:\Combat Arms\Engine.exe"="D:\Combat Arms\Engine.exe:*Enabled:Engine.exe"
"C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe"="C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

======List of files/folders created in the last 1 months======

2009-05-17 12:11:49 ----D---- C:\_OTMoveIt
2009-05-16 21:47:28 ----D---- C:\Arquivos de programas\Windows Live Safety Center
2009-05-16 13:39:03 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Avira
2009-05-16 13:39:03 ----D---- C:\Arquivos de programas\Avira
2009-05-16 13:21:38 ----D---- C:\rsit
2009-05-16 13:21:38 ----D---- C:\Arquivos de programas\trend micro
2009-05-16 13:04:46 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2009-05-16 11:46:45 ----A---- C:\report.txt
2009-05-11 18:33:28 ----HD---- C:\WINDOWS\system32\GroupPolicy
2009-05-03 22:22:02 ----A---- C:\WINDOWS\SYMGAMES.INI
2009-04-26 11:09:06 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\teamspeak2
2009-04-24 22:40:48 ----A---- C:\WINDOWS\casino1.ini
2009-04-22 11:45:00 ----D---- C:\Arquivos de programas\MSECache
2009-04-22 11:29:42 ----A---- C:\WINDOWS\MegaManager.INI
2009-04-22 11:20:09 ----D---- C:\Arquivos de programas\MegauploadToolbar
2009-04-22 11:20:08 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\MegauploadToolbar
2009-04-22 10:02:05 ----D---- C:\downloads
2009-04-22 10:02:05 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\GrabPro
2009-04-22 10:01:58 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\Orbit
2009-04-18 20:22:21 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\Corel
2009-04-18 19:00:23 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\InstallShield
2009-04-18 18:56:46 ----D---- C:\Arquivos de programas\Corel
2009-04-18 18:56:46 ----D---- C:\Arquivos de programas\Arquivos comuns\Corel
2009-04-18 16:13:54 ----A---- C:\WINDOWS\HEARTS.INI
2009-04-18 15:56:38 ----A---- C:\WINDOWS\EntPack.ini
2009-04-18 15:43:08 ----A---- C:\WINDOWS\EmSoft.ini

======List of files/folders modified in the last 1 months======

2009-05-17 12:19:22 ----D---- C:\WINDOWS\system32\CatRoot2
2009-05-17 12:19:19 ----D---- C:\WINDOWS\Temp
2009-05-17 12:18:22 ----AD---- C:\WINDOWS\system32\drivers
2009-05-17 12:17:46 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-05-17 12:16:12 ----RD---- C:\Arquivos de programas
2009-05-17 12:16:12 ----D---- C:\WINDOWS\system32
2009-05-17 12:13:11 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\GbPlugin
2009-05-17 11:19:18 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\Spyware Terminator
2009-05-17 11:18:59 ----D---- C:\WINDOWS
2009-05-16 21:51:51 ----D---- C:\WINDOWS\Prefetch
2009-05-16 13:39:19 ----HD---- C:\WINDOWS\inf
2009-05-16 13:38:37 ----SHD---- C:\WINDOWS\Installer
2009-05-16 13:38:36 ----D---- C:\WINDOWS\WinSxS
2009-05-16 13:38:34 ----D---- C:\Arquivos de programas\Arquivos comuns\Microsoft Shared
2009-05-16 13:16:33 ----SHD---- C:\System Volume Information
2009-05-16 13:16:33 ----D---- C:\WINDOWS\system32\Restore
2009-05-16 13:04:48 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-05-16 13:04:44 ----HD---- C:\WINDOWS\$hf_mig$
2009-05-16 12:01:03 ----D---- C:\WINDOWS\Debug
2009-05-16 11:48:08 ----D---- C:\WINDOWS\system32\config
2009-05-12 12:14:53 ----D---- C:\Arquivos de programas\Spyware Terminator
2009-05-09 11:08:20 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Spyware Terminator
2009-05-07 00:16:30 ----A---- C:\WINDOWS\system32\MRT.exe
2009-05-06 19:00:13 ----A---- C:\WINDOWS\NeroDigital.ini
2009-04-27 18:10:01 ----D---- C:\Arquivos de programas\GbPlugin
2009-04-26 23:33:08 ----D---- C:\Arquivos de programas\Foxit Software
2009-04-25 14:41:43 ----SD---- C:\Documents and Settings\Nanda\Dados de aplicativos\Microsoft
2009-04-22 11:45:23 ----RSD---- C:\WINDOWS\Fonts
2009-04-22 11:45:16 ----D---- C:\Arquivos de programas\Microsoft Office
2009-04-22 11:19:57 ----HD---- C:\Arquivos de programas\InstallShield Installation Information
2009-04-18 19:00:15 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-04-18 19:00:14 ----D---- C:\Arquivos de programas\Arquivos comuns\InstallShield
2009-04-18 18:59:53 ----D---- C:\Arquivos de programas\Arquivos comuns\DESIGNER
2009-04-18 18:56:46 ----D---- C:\Arquivos de programas\Arquivos comuns

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;AMD K7 Processor Driver; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2004-08-04 41472]
R1 avgio;avgio; \??\C:\Arquivos de programas\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-16 96104]
R1 ISODrive;ISO DVD/CD-ROM Device Driver; \??\C:\Arquivos de programas\UltraISO\drivers\ISODrive.sys []
R1 kbdhid;Keyboard HID Driver; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
R1 sp_rsdrv2;Spyware Terminator Driver 2; \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-02-13 28376]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-05-16 55640]
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-04-01 4816]
R3 FETNDIS;VIA PCI 10/100Mb Fast Ethernet Adapter NT Driver; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
R3 hidusb;Driver de classe HID da Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-10-28 9600]
R3 mouhid;Mouse HID Driver; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-10-28 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-03 1897408]
R3 pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [2009-03-19 47360]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2003-07-15 578368]
R3 usbccgp;Microsoft USB Generic Parent Driver; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2 Enabled Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S3 a6tuak6w;a6tuak6w; C:\WINDOWS\system32\drivers\a6tuak6w.sys []
S3 achxadc;achxadc; \??\C:\WINDOWS\system32\02.tmp []
S3 EagleNT;EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys []
S3 ucybbc;ucybbc; \??\C:\WINDOWS\system32\02.tmp []
S3 USBSTOR;USB Mass Storage Driver; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 whocq;whocq; \??\C:\WINDOWS\system32\02.tmp []
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S3 XDva224;XDva224; \??\C:\WINDOWS\system32\XDva224.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Scheduler; C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe [2009-05-16 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe [2009-03-02 185089]
R2 GbpSv;Gbp Service; C:\ARQUIV~1\GbPlugin\GbpSv.exe [2009-03-27 52808]
R2 JavaQuickStarterService;Java Quick Starter; C:\Arquivos de programas\Java\jre6\bin\jqs.exe [2009-01-09 152984]
R2 MDM;Machine Debug Manager; C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe [2007-12-03 869672]
R2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe [2002-09-20 45056]
R2 sp_rssrv;Spyware Terminator Realtime Shield Service; C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe [2009-03-29 540672]
S3 AutoLock;WinPolicy AutoLock; \WPService.exe []
S3 NMIndexingService;NMIndexingService; C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe [2007-12-13 447784]
S3 ose;Office Source Engine; C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WLSetupSvc;Windows Live Setup Service; C:\Arquivos de programas\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]
S3 WMPNetworkSvc;Serviço de Compartilhamento de Rede do Windows Media Player; C:\Arquivos de programas\Windows Media Player\WMPNetwk.exe [2006-11-02 914944]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]

-----------------EOF-----------------
 
Mr.Wolf disse:
Olá pessoal, boa tarde!


healer, não sabia que você possuía um dual boot no computador. Boa idéia a sua, pode tentar isso sim. Não sei se já tentou isso, mas caso não tenha tentado ainda, tente, e me diga depois. Se não der certo continuaremos fazendo a remoção por ferramentas.

O Avenger não rodou, provavelmente foi um bug da ferramenta. O que não nos impede de tentar com outras.
Clique para expandir...

Mr.Wolf, parece que deu certo mesmo. O GbPluguin não está mais na lista de processos. Qual ferramenta eu passo para você analisar se ele foi totalmente excluído?

Abraço!
 
Olá Mr.Wolf, boa tarde!!! Consegui fazer o segundo procedimento com o FindyKill e a opção clean. Instalei o Malwarebytes' Anti-Malware e segui os procedimentos indicados e então postarei aqui os logs para sua verificação e fico no aguardo de sua próxima resposta. Obrigadooooooooooooooo!!!


############################## [ FindyKill V4.728 ]

# User : Administrador (Administradores) # CARRIJO
# Update on 13/05/09 by Chiquitine29
# Start at: 15:09:02 | 17/5/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# AMD Athlon(tm) 64 X2 Dual Core Processor 4200+
# Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]

# A:\ # Unidade de disquete de 3 1/2 polegadas
# C:\ # Disco fixo local # 48,83 Go (20,92 Go free) # NTFS
# D:\ # Disco fixo local # 230,63 Go (82,48 Go free) [II] # NTFS
# E:\ # Disco fixo local # 111,78 Go (41,92 Go free) [III] # NTFS
# F:\ # Disco CD-ROM
# G:\ # Disco CD-ROM

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Google\Update\GoogleUpdate.exe
C:\Arquivos de programas\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Google\Update\GoogleUpdate.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Arquivos de programas\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Infected Files \ Folders ]

Deleted ! C:\WINDOWS\Prefetch\1029031.EXE-0DD9BEAD.pf
Deleted ! C:\WINDOWS\Prefetch\1402375.EXE-0A643546.pf
Deleted ! C:\WINDOWS\Prefetch\15895593.EXE-39A400C0.pf
Deleted ! C:\WINDOWS\Prefetch\16045093.EXE-05FB9D10.pf
Deleted ! C:\WINDOWS\Prefetch\16049765.EXE-3882908B.pf
Deleted ! C:\WINDOWS\Prefetch\16074937.EXE-2635D0E9.pf
Deleted ! C:\WINDOWS\Prefetch\16328468.EXE-10481D9E.pf
Deleted ! C:\WINDOWS\Prefetch\604078.EXE-0EED1BF5.pf
Deleted ! C:\WINDOWS\Prefetch\881843.EXE-09D87014.pf
Deleted ! C:\WINDOWS\Prefetch\893625.EXE-2EE92EA6.pf
Deleted ! C:\WINDOWS\Prefetch\FLEC006.EXE-0E733E26.pf
Deleted ! C:\WINDOWS\Prefetch\MDELK.EXE-1D176F91.pf
Deleted ! C:\WINDOWS\Prefetch\WINTEMS.EXE-2A563F9B.pf
Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf
Deleted ! C:\WINDOWS\system32\ban_list.txt
Deleted ! C:\WINDOWS\system32\mdelk.exe
Deleted ! C:\WINDOWS\system32\wintems.exe
Deleted ! C:\WINDOWS\system32\drivers\down
Deleted ! "C:\Documents and Settings\Administrador\Dados de aplicativos\drivers\srosa2.sys"
Deleted ! "C:\Documents and Settings\Administrador\Dados de aplicativos\drivers\wfsintwq.sys"
Deleted ! "C:\Documents and Settings\Administrador\Dados de aplicativos\drivers\winupgro.exe"
Deleted ! "C:\Documents and Settings\Administrador\Dados de aplicativos\m\data.oct"
Deleted ! "C:\Documents and Settings\Administrador\Dados de aplicativos\m\flec006.exe"
Deleted ! "C:\Documents and Settings\Administrador\Dados de aplicativos\m\list.oct"
Deleted ! "C:\Documents and Settings\Administrador\Dados de aplicativos\m\srvlist.oct"
Deleted ! "C:\Documents and Settings\Administrador\Dados de aplicativos\drivers\downld"
Deleted ! "C:\Documents and Settings\Administrador\Dados de aplicativos\drivers"
Deleted ! "C:\Documents and Settings\Administrador\Dados de aplicativos\m\shared"
Deleted ! "C:\Documents and Settings\Administrador\Dados de aplicativos\m"

################## [ Infected Temp Files ]


################## [ Registry / Infected keys ]

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sK9Ou0s
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\DateTime4
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\serial
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-1606980848-261903793-725345543-500\Software\FFC
Deleted ! HKEY_USERS\S-1-5-21-1606980848-261903793-725345543-500\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

################## [ Cleaning Removable drives ]


################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Ip6Fw -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# Safe boot mode restored !

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

File ... : C:\Documents and Settings\Administrador\Dados de aplicativos\drivers\winupgro.exe
CRC32 .. : a5072f40
MD5 .... : 6d3ff212e7d316c8522a568d4dc62b03

Deleted ! : C:\Arquivos de programas\DAEMON Tools Lite\daemon.exe
# Taille : 851968 # MD5 : 6D3FF212E7D316C8522A568D4DC62B03


################## [ Corrupted files # Re-Installation required ]

C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avadmin.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avconfig.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\guardgui.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\licmgr.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\preupd.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\update.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\wsctool.exe
C:\Arquivos de programas\Mozilla Firefox\uninstall\helper.exe
C:\WINDOWS\$NtServicePackUninstall$\sysinfo.exe
C:\WINDOWS\system32\dllcache\register.exe

################################### [ Cracks / Keygens / Serials ]

# -> Nothing found !

################## [ ! End of Report # FindyKill V4.728 ! ]
 
E agora este aqui é o do Malwarebytes' Anti-Malware. Vlw!!! Ah, e quanto ao antivirus??? reinstá-lo? ou aguardo seus procedimentos???

Malwarebytes' Anti-Malware 1.36
Versão do banco de dados: 2145
Windows 5.1.2600 Service Pack 3

17/5/2009 15:44:26
mbam-log-2009-05-17 (15-44-13).txt

Tipo de Verificação: Completa (C:\|)
Objetos verificados: 170917
Tempo decorrido: 12 minute(s), 57 second(s)

Processos da Memória infectados: 0
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 0
Valores do Registro infectados: 0
Ítens do Registro infectados: 2
Pastas infectadas: 0
Arquivos infectados: 15

Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)

Chaves do Registro infectadas:
(Nenhum ítem malicioso foi detectado)

Valores do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Ítens do Registro infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Pastas infectadas:
(Nenhum ítem malicioso foi detectado)

Arquivos infectados:
C:\System Volume Information\_restore{B5E92180-95DA-4129-A5CA-77E55F4E2419}\RP290\A0035678.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{B5E92180-95DA-4129-A5CA-77E55F4E2419}\RP291\A0035724.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{B5E92180-95DA-4129-A5CA-77E55F4E2419}\RP291\A0035774.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{B5E92180-95DA-4129-A5CA-77E55F4E2419}\RP291\A0035887.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{B5E92180-95DA-4129-A5CA-77E55F4E2419}\RP291\A0035909.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{B5E92180-95DA-4129-A5CA-77E55F4E2419}\RP291\A0035940.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{B5E92180-95DA-4129-A5CA-77E55F4E2419}\RP292\A0035944.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{B5E92180-95DA-4129-A5CA-77E55F4E2419}\RP293\A0036078.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{B5E92180-95DA-4129-A5CA-77E55F4E2419}\RP293\A0036197.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{B5E92180-95DA-4129-A5CA-77E55F4E2419}\RP293\A0036358.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{B5E92180-95DA-4129-A5CA-77E55F4E2419}\RP293\A0040408.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{B5E92180-95DA-4129-A5CA-77E55F4E2419}\RP293\A0040482.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{B5E92180-95DA-4129-A5CA-77E55F4E2419}\RP293\A0040506.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{B5E92180-95DA-4129-A5CA-77E55F4E2419}\RP294\A0041621.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{B5E92180-95DA-4129-A5CA-77E55F4E2419}\RP294\A0041655.exe (Trojan.Packed) -> No action taken.
 
Estranho que este arquivo o GbpSv.exe não sendo vírus e sim o plugin de segurança o avira e o spyboot não respondem e depois disso que fiz no que me recomendou ainda não consegui excluir a pasta.
 
Oi Mr.Wolf tdo bem?? Bom troquei entao as senhas dos meus programas e agora to entrando em meu orkut dinovo, uhullll \õ/ hauahauahaua....nao vivo sem orkut Mr :D obrigado por ter me respondido.

Bom passei o malwarebytes e aqui esta o log dele como pedido por vc

Mto obrigado por toda ajuda Mr.Wolf, mais uma vez né?? admiro mto nao só seu conhecimento nato e alto sobre esta parte de segurança mais por tbm disponibilizar um tempo msm sendo escasso para nos ajudar aki :) :)


Malwarebytes' Anti-Malware 1.36
Versão do banco de dados: 2145
Windows 5.1.2600 Service Pack 3

17/5/2009 14:58:31
mbam-log-2009-05-17 (14-58-31).txt

Tipo de Verificação: Completa (A:\|C:\|D:\|)
Objetos verificados: 1123850
Tempo decorrido: 58 minute(s), 23 second(s)

Processos da Memória infectados: 0
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 1
Valores do Registro infectados: 0
Ítens do Registro infectados: 1
Pastas infectadas: 0
Arquivos infectados: 13

Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)

Chaves do Registro infectadas:
HKEY_CLASSES_ROOT\CLSID\{c41a1c0e-ea6c-11d4-b1b8-444553540003} (Trojan.BHO) -> Quarantined and deleted successfully.

Valores do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Ítens do Registro infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.


Pastas infectadas:
(Nenhum ítem malicioso foi detectado)

Arquivos infectados:
C:\Arquivos de programas\GbPlugin\gbiehcef.dll (Trojan.BHO) -> Delete on reboot.
C:\WINDOWS\system32\ddmodemx.dll (Spyware.Look2Me) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\demrtp.dll (Spyware.Look2Me) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dkmsvinn.dLL (Spyware.Look2Me) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dkserial.dll (Spyware.Look2Me) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dLdxof.dll (Spyware.Look2Me) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ikseng.dll (Spyware.Look2Me) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iKsrecst.dll (Spyware.Look2Me) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ioengine.dll (Spyware.Look2Me) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ipetppui.dll (Spyware.Look2Me) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Ivetwh32.dll (Spyware.Look2Me) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\oxedlg.dll (Spyware.Look2Me) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pktorec.dll (Spyware.Look2Me) -> Quarantined and deleted successfully.


BJUSSSSSSSSSSSS BJINHOSSSSSSSSSS BJÕESSSSSSSSSSSSS

Mari :)
 
Olá pessoal, boa noite!



vimed, antes de mais nada, você não está executando o ComboFix do desktop. Por favor, delete-o, baixe-o novamente e salve-o no desktop.

Em questão de sua dúvida, pode rodar o ComboFix sim. O máximo que pode acontecer é o Avira, obviamente, detectar o ComboFix como vírus (falso-positivo) e interromper a executação da ferramenta. Porém, isso não irá afetar seu sistema, apenas impedir a ferramenta de rodar.

Portanto rode o ComboFix vimed, mesmo com o antivirus ativo.
__________________________________________


carolgsn, tanto a infecção em sua máquina quanto a de seu serviço (pelo Conficker) foram provenientes de mídia removível (no seu caso, pendrive). Proteger o computador contra infecção deste tipo não é difícil. Primeiramente deve partir do próprio usuário, ou seja, ter cautela antes de plugar qualquer pendrive de terceiros no computador (até mesmo um pendrive seu). Segundo, desabilite o recurso autorun do Windows (se não souber como fazer, me diga). Isso já é o bastante para previnir este tipo de infecção. O resto é por conta de seus programas de segurança (antivirus, anti-spyware(s), firewall...) e seus hábitos de navegação (que deve-se tomar um cuidado extremo também).

Siga a instrução abaixo amiga Carol:

Execute o OTMoveIt3 novamente. Cole este texto abaixo na janela e clique no botão MoveIt.

Código: 
:Services
a6tuak6w
achxadc
ucybbc
whocq

:Files
C:\WINDOWS\system32\drivers\a6tuak6w.sys
C:\WINDOWS\system32\02.tmp
C:\report.txt

:Commands
[emtytemp]
Poste o log do OTMoveIt3 que será gerado e um novo log do RSIT Carol.
__________________________________________


Amigo healer, pode postar um log do OTListIt2 mesmo como lhe passei anteriormente. Por ele poderei verificar se não há mais nada do GbPlugin aí.


__________________________________________


Urso, siga as instruções abaixo:

Clique com o botão direito do mouse em Meu Computador e selecione Propriedades. Clique na guia Restauração do Sistema e marque a opção "Desativar restauração do sistema" > OK. Mantenha o recurso desativado por enquanto.

- Faça o download do ComboFix e, antes de salvá-lo no desktop, renomeie-o como na imagem abaixo e então salve-o:

Combo.jpg


OBS: É importante renomeá-lo!

● Desative temporariamente o seu antivirus para não detectar a ferramenta como vírus;
● Duplo clique no ícone da ferramenta renomeada para iniciar o scan;
● Leia o contrato que aparecerá e clique em Sim para continuar;
● Abrirá uma janela do Console de Recuperação, clique em Sim para instalar. Se aparecer outra janela do Console, clique em OK > Sim;
● Aguarde enquanto o ComboFix faz o scan;
● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;
Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a varredura da ferramenta;
● Se quiser sair ou parar o ComboFix, tecle N;
● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;
● Será gerado um log em C:\ComboFix.txt.

Cole este log em sua próxima resposta Urso.
__________________________________________


Mariana SMS, abra o Malwarebytes e clique em Quarentena. Marque este item abaixo e clique no botão Restaurar:

C:\Arquivos de programas\GbPlugin\gbiehcef.dll
Clique para expandir...
Logo após isto, marque os outros itens e clique em Remover Tudo.

Por favor amiga Mariana, poste um novo log do HijackThis aqui.
 
Marcus FX disse:
Não, é necessário?
Clique para expandir...
É recomendado Marcus.

O scan mais "forte", digamos assim, do Avast, é o que é feito no boot. Muito melhor e mais profundo que o scan normal.
Se nunca fez um scan no boot com o Avast, aconselho-o a agendar um e fazer. :thumbs_up
 
Mr.Wolf disse:
Olá pessoal, boa noite!

Amigo healer, pode postar um log do OTListIt2 mesmo como lhe passei anteriormente. Por ele poderei verificar se não há mais nada do GbPlugin aí.
Clique para expandir...

Mr. Wolf, dessa vez ele criou apenas o OTListIt.txt, o Extra.txt não foi criado.

Segue em anexo...
 

Attachments

  • OTListIt.zip
    75.8 KB · Visitas: 33
Amigo healer, você fez um ótimo trabalho aí :)

Sobraram alguns poucos rastros do GbPlugin. Mas as entradas e os arquivos mais difíceis de remover, não estão mais aí. Vamos lá:

Execute o OTListIt2 novamente. Copie este texto abaixo dentro do code e cole na janela Custom Scans/Fixes da ferramenta:

Código: 
:OTLI
DRV - [2009/03/25 11:36:18 | 00,026,320 | ---- | M] (GAS Tecnologia) -- C:\Windows\system32\drivers\GbpKm.sys -- (GbpKm [Boot | Stopped])
O2 - BHO: (GbIehObj Class) - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\PROGRAM FILES (X86)\GBPLUGIN\gbieh.dll File not found
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} https://www14.bancobrasil.com.br/plugin/GbpDist.cab (GbpDistObj Class)
O28 - HKLM ShellExecuteHooks: {E37CB5F0-51F5-4395-A808-5FA49E399F83} - C:\PROGRAM FILES (X86)\GBPLUGIN\gbieh.dll File not found
[4 C:\Windows\System32\*.tmp files]
[2009/05/13 07:06:32 | 00,026,320 | ---- | C] (GAS Tecnologia) -- C:\Windows\System32\drivers\gbpkm.sys

:Files
C:\Windows\system32\drivers\GbpKm.sys

:Reg

:Services

:Commands
[purity]
[emptytemp]
Clique no botão Run Fix e aguarde até que seja gerado um novo log.

Poste-o em sua próxima resposta healer, por gentileza.
 
Mr.Wolf disse:
Amigo healer, você fez um ótimo trabalho aí :)

Sobraram alguns poucos rastros do GbPlugin. Mas as entradas e os arquivos mais difíceis de remover, não estão mais aí. Vamos lá:

Execute o OTListIt2 novamente. Copie este texto abaixo dentro do code e cole na janela Custom Scans/Fixes da ferramenta:

Código: 
:OTLI
DRV - [2009/03/25 11:36:18 | 00,026,320 | ---- | M] (GAS Tecnologia) -- C:\Windows\system32\drivers\GbpKm.sys -- (GbpKm [Boot | Stopped])
O2 - BHO: (GbIehObj Class) - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\PROGRAM FILES (X86)\GBPLUGIN\gbieh.dll File not found
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} https://www14.bancobrasil.com.br/plugin/GbpDist.cab (GbpDistObj Class)
O28 - HKLM ShellExecuteHooks: {E37CB5F0-51F5-4395-A808-5FA49E399F83} - C:\PROGRAM FILES (X86)\GBPLUGIN\gbieh.dll File not found
[4 C:\Windows\System32\*.tmp files]
[2009/05/13 07:06:32 | 00,026,320 | ---- | C] (GAS Tecnologia) -- C:\Windows\System32\drivers\gbpkm.sys

:Files
C:\Windows\system32\drivers\GbpKm.sys

:Reg

:Services

:Commands
[purity]
[emptytemp]
Clique no botão Run Fix e aguarde até que seja gerado um novo log.

Poste-o em sua próxima resposta healer, por gentileza.
Clique para expandir...

Feito Mr.Wolf, assim que a maquina reiniciou ele gero o Log abaixo:

========== OTLISTIT ==========

Service\Driver GbpKm deleted successfully.
C:\Windows\system32\drivers\GbpKm.sys moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41A1C0E-EA6C-11D4-B1B8-444553540000}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C41A1C0E-EA6C-11D4-B1B8-444553540000}\ deleted successfully.
Starting removal of ActiveX control {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931}
C:\Windows\Downloaded Program Files\gbpdist.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\\{E37CB5F0-51F5-4395-A808-5FA49E399F83} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E37CB5F0-51F5-4395-A808-5FA49E399F83}\ deleted successfully.
File C:\Windows\System32\*.tmp not found.
File C:\Windows\System32\drivers\gbpkm.sys not found.
========== FILES ==========
File\Folder C:\Windows\system32\drivers\GbpKm.sys not found.
========== REGISTRY ==========
========== SERVICES/DRIVERS ==========
========== COMMANDS ==========
File delete failed. C:\Users\Guto\AppData\Local\Temp\etilqs_cZksObkPo5I2b9aLFixj scheduled to be deleted on reboot.
File delete failed. C:\Users\Guto\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be deleted on reboot.
File delete failed. C:\Users\Guto\AppData\Local\Temp\~74DD.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
User's Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.

OTListIt2 by OldTimer - Version 2.0.15.6 log created on 05172009_192034

Files moved on Reboot...
File C:\Users\Guto\AppData\Local\Temp\etilqs_cZksObkPo5I2b9aLFixj not found!
C:\Users\Guto\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Guto\AppData\Local\Temp\~74DD.tmp moved successfully.

Registry entries deleted on Reboot...


Abraço
 
Caro amigo Wolf. seguinte, tu falou pra eu seguir as instruções mas não apareceu nada aqui pra mim então mais uma vez vou te mandar meu log, desculpe qualquer coisa, e desde já Obrigado.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:59, on 17/5/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\McAfee\Common Framework\UdaterUI.exe
C:\Arquivos de programas\DAEMON Tools\daemon.exe
C:\Arquivos de programas\Lexmark X5100 Series\lxbabmgr.exe
C:\Arquivos de programas\McAfee\Common Framework\McTray.exe
C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Lexmark X5100 Series\lxbabmon.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Arquivos de programas\BrOffice.org 2.3\program\soffice.exe
C:\Arquivos de programas\BrOffice.org 2.3\program\soffice.BIN
C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Arquivos de programas\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Arquivos de programas\Super_DVD_Creator_9.8\NMSAccessU.exe
C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\MSN Messenger\usnsvc.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\ARQUIV~1\MEGAUP~1\MEGAMA~1\MegaManager.exe
C:\Arquivos de programas\MSN Messenger\msnmsgr.exe
C:\Arquivos de programas\CyberLink\PowerDVD\PowerDVD.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 216.107.250.194 nprotect.lineage2.com
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Arquivos de programas\McAfee\VirusScan Enterprise\Scriptcl.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Arquivos de programas\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ShStatEXE] "C:\Arquivos de programas\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Arquivos de programas\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Arquivos de programas\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Arquivos de programas\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Arquivos de programas\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BrOffice.org 2.3.lnk = C:\Arquivos de programas\BrOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Baixar Link Utiizando Gerenciador Mega... - C:\Arquivos de programas\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{44176DE1-63BB-4E3F-A709-CC906FC77943}: NameServer = 10.1.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{44176DE1-63BB-4E3F-A709-CC906FC77943}: NameServer = 10.1.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{44176DE1-63BB-4E3F-A709-CC906FC77943}: NameServer = 10.1.1.1
O23 - Service: Adobe LM Service - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Arquivos de programas\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Arquivos de programas\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Arquivos de programas\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Arquivos de programas\Super_DVD_Creator_9.8\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe

--
End of file - 8336 bytes


e mais uma coisa tem uns arquivos que não aparecem nas minhas partições, mas se eu abro o nero e peço para criar um cd de dados ai vou em adicionar quando abro o C ou D aparece uns arquivos por isso dei um print e queria que desse uma olhada.
Obrigado mais uma vez.

http://www.4shared.com/file/105991724/33117f36/Untitled-1.html
 
Ok, healer. Pelo log do OTListIt2, não há mais nada referente ao GbPlugin em seu PC.

Pode deletar a ferramenta OTListIt2 e sua pasta em C:.

Poste apenas um log do HijackThis para uma última verificação amigo healer.

___________________________________


Amigo juuliocesarr, peço desculpas! Realmente em um post anterior (que respondi a você) lhe pedi que seguisse minhas instruções no spoiler e não escrevi nada mesmo. Desculpe o erro. Como minha semana foi muito corrida aqui acabei não percebendo este erro da minha parte.

Siga estas instruções Julio:

- Faça o download do USBFix e salve-o no desktop (área de trabalho):

● Desative temporariamente seu antivírus Avira e o TeaTimer do Spybot;
● Dê um duplo clique no ícone do programa e instale-o clicando em (Suivant > Aceite o contrato > Suivant > Suivant > Démarrer > Quitter);
● Dê um duplo clique no ícone do USBFix criado no desktop para executá-lo;
● Tecle a opção 2 e pressione Enter;
● Insira seu pen drive, MP3, MP4 ou qualquer outra mídia removível que possua na(s) porta(s) USB do PC e clique OK na mensagem. Seu desktop sumirá e aparecerá uma tela preta. Seu computador será reiniciado automaticamente. Se não possuir nenhuma mídia removível dê continuidade mesmo assim;
Mantenha a(s) mídia(s) no local. Não remova!
● Quando seu computador estiver reiniciando, seu desktop não será apresentado e aparecerá uma tela preta da ferramenta fazendo uma verificação final;
● Ao término Ao término, será aberto o bloco de notas para você com o log. O log também estará em C:\UsbFix.txt
● Feche o bloco de notas (clicando no X) para fechar o programa também.

OBS: Se após reiniciar o desktop ficar somente com o plano de fundo, sem ícones e barras, tecle Ctrl + Alt + Delete para rodar o gerenciador de tarefas. Clique em Arquivo > Executar nova tarefa, digite: explorer.exe e dê um OK.
 
Mr.Wolf disse:
Ok, healer. Pelo log do OTListIt2, não há mais nada referente ao GbPlugin em seu PC.

Pode deletar a ferramenta OTListIt2 e sua pasta em C:.

Poste apenas um log do HijackThis para uma última verificação amigo healer.
Clique para expandir...

Opa Mr.Wolf que bom então. Segue o Log do Hijackthis...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:57:45, on 17/05/2009
Platform: Unknown Windows (WinNT 6.01.3004)
MSIE: Internet Explorer v8.00 (8.00.7100.0000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\RocketDock\RocketDock.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files (x86)\Orbitdownloader\orbitcth.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [EVGAPrecision] "C:\Program Files (x86)\EVGA Precision\EVGAPrecisionWrapper.exe" /s
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files (x86)\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files (x86)\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis OS Selector Reinstall Service (AcronisOSSReinstallSvc) - Unknown owner - C:\Program Files (x86)\Common Files\Acronis\Acronis Disk Director\oss_reinstall_svc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\PROGRA~2\GbPlugin\GbpSv.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files (x86)\LogMeIn\x64\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files (x86)\LogMeIn\x64\LogMeIn.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7536 bytes

Abraço!
 
Mr.Wolf disse:
Olá pessoal, boa noite!

vimed, antes de mais nada, você não está executando o ComboFix do desktop. Por favor, delete-o, baixe-o novamente e salve-o no desktop.

Em questão de sua dúvida, pode rodar o ComboFix sim. O máximo que pode acontecer é o Avira, obviamente, detectar o ComboFix como vírus (falso-positivo) e interromper a executação da ferramenta. Porém, isso não irá afetar seu sistema, apenas impedir a ferramenta de rodar.

Portanto rode o ComboFix vimed, mesmo com o antivirus ativo.
Clique para expandir...

Oi Mr. Wolf!
Fiz tudo conforme orientado, mas na hora de rodar o Hijack, Deu o erro seguinte::cry::confused:

Ver anexo ComboFixlog.txt

Ver anexo hijackthis.txt

Tela HijackThis.jpg

Tela Internet.jpg

Grata + uma vez pelo empenho em ajudar!:wave::wave:
__________________________________________
 
Mr.Wolf eu fiz tudo q vc mandou mas quando o ComboFix terminou o scan ele ñ reiniciou... taí o log:

ComboFix 09-05-17.05 - usuario 18/05/2009 10:53.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.191.61 [GMT -3:00]
Executando de: c:\documents and settings\usuario\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\system\S-1-5-21-1482476501-1644491937-682003330-1013

.
(((((((((((((((( Arquivos/Ficheiros criados de 2009-04-18 to 2009-05-18 ))))))))))))))))))))))))))))
.

2009-05-16 13:45 . 2009-05-16 14:11 -------- d-----w C:\UsbFix
2009-05-14 12:50 . 2009-05-14 15:17 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy
2009-05-14 12:50 . 2009-05-14 21:08 -------- d-----w c:\arquivos de programas\Spybot - Search & Destroy
2009-05-13 15:21 . 2009-05-13 15:21 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Avira
2009-05-13 15:21 . 2009-05-13 15:21 -------- d-----w c:\arquivos de programas\Avira
2009-05-12 14:28 . 2009-05-12 14:28 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\SITEguard
2009-05-12 14:23 . 2009-05-12 14:23 -------- d-----w c:\arquivos de programas\Arquivos comuns\iS3
2009-05-12 14:23 . 2009-05-13 15:16 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\STOPzilla!
2009-05-11 13:23 . 2009-05-11 13:23 -------- d-----w c:\arquivos de programas\Trend Micro
2009-05-09 18:40 . 2009-05-09 18:40 1152 ----a-w c:\windows\system32\windrv.sys
2009-05-09 17:41 . 2009-05-09 18:39 -------- d-----w c:\documents and settings\usuario\Dados de aplicativos\GetRightToGo
2009-05-09 16:10 . 2008-04-13 22:20 221184 ----a-w c:\windows\system32\wmpns.dll
2009-05-09 15:59 . 2008-04-13 22:20 4255 ------w c:\windows\system32\drivers\adv01nt5.dll
2009-05-05 17:58 . 2009-05-05 17:58 -------- d-----w c:\windows\Sun
2009-05-02 13:21 . 2009-05-11 13:00 -------- d-----w c:\arquivos de programas\uTorrent
2009-05-02 13:21 . 2009-05-11 13:00 -------- d-----w c:\documents and settings\usuario\Dados de aplicativos\uTorrent
2009-05-01 17:42 . 2009-05-01 17:41 410984 ----a-w c:\windows\system32\deploytk.dll
2009-05-01 17:41 . 2009-05-01 17:41 -------- d-----w c:\arquivos de programas\Java
2009-04-29 22:58 . 2009-04-29 22:58 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\GoldWaveCDDB
2009-04-29 22:58 . 2009-04-29 22:58 -------- d-----w c:\documents and settings\usuario\Dados de aplicativos\GoldWaveCDDB
2009-04-22 13:34 . 2009-04-22 13:34 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\DVD Shrink
2009-04-22 13:33 . 2009-05-11 13:38 -------- d-----w c:\arquivos de programas\DVD Shrink
2009-04-18 17:00 . 2009-04-18 17:00 -------- d-----w c:\arquivos de programas\GoldWave

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-14 14:42 . 2001-10-28 15:07 49586 ----a-w c:\windows\system32\perfc016.dat
2009-05-14 14:42 . 2001-10-28 15:07 347294 ----a-w c:\windows\system32\perfh016.dat
2009-05-04 21:44 . 2009-02-15 17:11 -------- d-----w c:\arquivos de programas\DreaMule
2009-04-27 15:41 . 2009-04-08 15:07 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-04-20 13:11 . 2009-02-09 12:41 -------- d-----w c:\arquivos de programas\Arquivos comuns\Adobe
2009-04-16 20:39 . 2009-04-16 20:39 -------- d-----w c:\arquivos de programas\Windows Media Connect 2
2009-04-16 14:16 . 2009-04-16 14:15 -------- d-----w c:\arquivos de programas\Microsoft ActiveSync
2009-04-08 13:14 . 2009-02-03 15:42 -------- d-----w c:\arquivos de programas\eMule
2009-04-08 13:13 . 2009-02-02 23:22 -------- d-----w c:\arquivos de programas\Nero
2009-04-08 13:13 . 2009-02-03 16:00 -------- d-----w c:\arquivos de programas\Total Video Converter
2009-04-08 13:13 . 2009-02-03 13:49 -------- d-----w c:\arquivos de programas\The KMPlayer
2009-04-07 14:55 . 2009-03-31 13:09 -------- d-----w c:\arquivos de programas\XP Codec Pack
2009-03-06 14:20 . 2008-04-13 22:20 286208 ----a-w c:\windows\system32\pdh.dll
2009-02-25 23:20 . 2009-02-25 23:20 398 ----a-w C:\www5.exe
2009-02-25 23:08 . 2009-02-25 23:08 398 ----a-w C:\www_dialer.exe
2009-02-20 08:10 . 2008-04-13 22:20 668160 ----a-w c:\windows\system32\wininet.dll
2009-02-20 08:10 . 2008-04-13 22:20 81920 ----a-w c:\windows\system32\ieencode.dll
.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2008-12-03 3882312]
"eMuleAutoStart"="c:\arquivos de programas\eMule\emule.exe" [2009-02-22 5668864]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^usuario^Menu Iniciar^Programas^Inicializar^BrOffice.org 3.0.lnk]
path=c:\documents and settings\usuario\Menu Iniciar\Programas\Inicializar\BrOffice.org 3.0.lnk
backup=c:\windows\pss\BrOffice.org 3.0.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=
"c:\\Arquivos de programas\\eMule\\emule.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Arquivos de programas\\DreaMule\\emule.exe"=
"c:\arquivos de programas\Microsoft ActiveSync\rapimgr.exe"= c:\arquivos de programas\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\arquivos de programas\Microsoft ActiveSync\wcescomm.exe"= c:\arquivos de programas\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\arquivos de programas\Microsoft ActiveSync\WCESMgr.exe"= c:\arquivos de programas\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4611:TCP"= 4611:TCP:upgtzue
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [13/5/2009 12:22 108289]
S2 vzbqyqdm;Driver Monitor;c:\windows\system32\svchost.exe -k netsvcs [13/4/2008 19:21 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
vzbqyqdm

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C643131}]
c:\system\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe
.
- - - - ORFÃOS REMOVIDOS - - - -

Toolbar-SITEguard - (no file)


.
------- Scan Suplementar -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: {E050D8E8-0BA0-4591-86D8-70647C8E32C0} = 200.165.132.155 200.149.55.140
FF - ProfilePath - c:\documents and settings\usuario\Dados de aplicativos\Mozilla\Firefox\Profiles\hj3fgn3r.default\

---- FIREFOX POLICIES ----
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-05-18 10:55
Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vzbqyqdm]
"ServiceDll"="c:\windows\system32\uwhnk.dll"
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'explorer.exe'(2288)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Tempo para conclusão: 2009-05-18 10:58
ComboFix-quarantined-files.txt 2009-05-18 13:58

Pré-execução: 15 pasta(s) 38.692.118.528 bytes disponíveis
Pós execução: 14 pasta(s) 38.692.380.672 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

135 --- E O F --- 2009-05-13 15:34
 
Olá... Mr. Wolf, como vai?
Meu irmão joga muito o tal do CABAL, com este jogo, o computador fica mais vulnerável, ou não tem nada a ver?
A propósito, não sei desativar o autorun, se puder me ensinar...

O outro computador, que estava com o conficker, segui suas orientações, no ultimo post referente, e consegui acessar todos os sites e também já reativei a restauração do sis. Posso ficar despreocupada agora, em relação a virus?

Obrigada!!!!

Resutado do OTMoveIt3

========== SERVICES/DRIVERS ==========
Service\Driver a6tuak6w not found.
Service\Driver a6tuak6w not found.
Service\Driver a6tuak6w not found.
Service\Driver achxadc deleted successfully.
Service\Driver a6tuak6w not found.
Service\Driver ucybbc deleted successfully.
Service\Driver a6tuak6w not found.
Service\Driver whocq deleted successfully.
========== FILES ==========
File/Folder C:\WINDOWS\system32\drivers\a6tuak6w.sys not found.
File/Folder C:\WINDOWS\system32\02.tmp not found.
C:\report.txt moved successfully.
========== COMMANDS ==========
Error: Unable to interpret <[emtytemp]> in the current context!

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05182009_114640

o log do RSIT

Logfile of random's system information tool 1.06 (written by random/random)
Run by Nanda at 2009-05-18 11:48:52
Microsoft Windows XP Professional Service Pack 2
System drive C: has 1 GB (9%) free of 15 GB
Total RAM: 1280 MB (65% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:48:58, on 18/5/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe
C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe
C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe
C:\Arquivos de programas\Justsoft WinPolicy\WPService.exe
C:\Arquivos de programas\Justsoft WinPolicy\autolock.exe
C:\Documents and Settings\Nanda\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Nanda\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Nanda\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Nanda\Desktop\RSIT.exe
C:\Arquivos de programas\trend micro\Nanda.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O2 - BHO: G-Buster Browser Defense Unibanco - {C41A1C0E-EA6C-11D4-B1B8-444553540008} - C:\ARQUIV~1\GbPlugin\gbiehuni.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AutoLock] C:\Arquivos de programas\Justsoft WinPolicy\AutoLock.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [WinPolicy] WPLocker.exe
O4 - HKLM\..\RunServices: [WinPolicy] WPLocker.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1231535316093
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} (GbPluginObj Class) - https://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab
O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll
O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O20 - Winlogon Notify: GbPluginUni - C:\ARQUIV~1\GbPlugin\gbiehuni.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: WinPolicy AutoLock (AutoLock) - Unknown owner - C:\Arquivos de programas\Justsoft WinPolicy\WPService.exe
O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

--
End of file - 8421 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-01-09 304736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}]
Megaupload Toolbar - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL [2006-10-31 1803720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Arquivos de programas\Java\jre6\bin\ssv.dll [2009-01-09 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Auxiliar de Conexão do Windows Live - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41A1C0E-EA6C-11D4-B1B8-444553540000}]
GbIehObj Class - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll [2009-03-25 271152]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41A1C0E-EA6C-11D4-B1B8-444553540003}]
GbIehObj Class - C:\Arquivos de programas\GbPlugin\gbiehcef.dll [2009-03-27 264776]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41A1C0E-EA6C-11D4-B1B8-444553540008}]
GbIehObj Class - C:\ARQUIV~1\GbPlugin\gbiehuni.dll [2009-03-25 414624]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll [2009-01-09 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-01-09 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - Megaupload Toolbar - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL [2006-10-31 1803720]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"=C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe [2009-01-09 185872]
"SpywareTerminator"=C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe [2009-03-29 2233856]
"ISUSPM Startup"=C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe [2005-08-11 249856]
"ISUSScheduler"=C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe [2005-08-11 81920]
"AutoLock"=C:\Arquivos de programas\Justsoft WinPolicy\AutoLock.exe [2006-09-27 357985]
"avgnt"=C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"WinPolicy"=C:\WINDOWS\system32\WPLocker.exe [2006-09-27 420420]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb]
C:\Arquivos de programas\GbPlugin\gbieh.dll [2009-03-25 271152]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginCef]
C:\Arquivos de programas\GbPlugin\gbiehcef.dll [2009-03-27 264776]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginUni]
C:\ARQUIV~1\GbPlugin\gbiehuni.dll [2009-03-25 414624]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{E37CB5F0-51F5-4395-A808-5FA49E399F83}"=C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll [2009-03-25 271152]
"{E37CB5F0-51F5-4395-A808-5FA49E399003}"=C:\Arquivos de programas\GbPlugin\gbiehcef.dll [2009-03-27 264776]
"{E37CB5F0-51F5-4395-A808-5FA49E399008}"=C:\ARQUIV~1\GbPlugin\gbiehuni.dll [2009-03-25 414624]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"RestrictRun"=0
"NoDrives"=0
"NoViewOnDrive"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:mad:xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:mad:xpsp3res.dll,-20000"
"C:\Arquivos de programas\Pando Networks\Media Booster\PMB.exe"="C:\Arquivos de programas\Pando Networks\Media Booster\PMB.exe:*:Enabled:pando Media Booster"
"C:\Arquivos de programas\LimeWire\LimeWire.exe"="C:\Arquivos de programas\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Arquivos de programas\uTorrent\uTorrent.exe"="C:\Arquivos de programas\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"D:\CABAL Online (BRAZIL)2\launcher\update\ESTdnheadless.exe"="D:\CABAL Online (BRAZIL)2\launcher\update\ESTdnheadless.exe:*:Enabled:EST! download engine"
"C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe"="C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Arquivos de programas\SopCast\adv\SopAdver.exe"="C:\Arquivos de programas\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver"
"C:\Documents and Settings\All Users\Dados de aplicativos\NexonUS\NGM\NGM.exe"="C:\Documents and Settings\All Users\Dados de aplicativos\NexonUS\NGM\NGM.exe:*:Enabled:Nexon Game Manager"
"C:\Arquivos de programas\Internet Explorer\iexplore.exe"="C:\Arquivos de programas\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"
"C:\Arquivos de programas\Java\jre6\launch4j-tmp\JDownloader.exe"="C:\Arquivos de programas\Java\jre6\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\WINDOWS\system32\ftp.exe"="C:\WINDOWS\system32\ftp.exe:*:Enabled:programa de transferência de arquivos"
"C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe"="C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:mad:xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:mad:xpsp3res.dll,-20000"
"C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe"="C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"D:\Combat Arms\CombatArms.exe"="D:\Combat Arms\CombatArms.exe:*Enabled:CombatArms.exe"
"D:\Combat Arms\Engine.exe"="D:\Combat Arms\Engine.exe:*Enabled:Engine.exe"
"C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe"="C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

======List of files/folders created in the last 1 months======

2009-05-17 13:25:32 ----D---- C:\Arquivos de programas\Justsoft WinPolicy
2009-05-17 12:11:49 ----D---- C:\_OTMoveIt
2009-05-16 21:47:28 ----D---- C:\Arquivos de programas\Windows Live Safety Center
2009-05-16 13:39:03 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Avira
2009-05-16 13:39:03 ----D---- C:\Arquivos de programas\Avira
2009-05-16 13:21:38 ----D---- C:\rsit
2009-05-16 13:21:38 ----D---- C:\Arquivos de programas\trend micro
2009-05-16 13:04:46 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2009-05-11 18:33:28 ----HD---- C:\WINDOWS\system32\GroupPolicy
2009-05-03 22:22:02 ----A---- C:\WINDOWS\SYMGAMES.INI
2009-04-26 11:09:06 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\teamspeak2
2009-04-24 22:40:48 ----A---- C:\WINDOWS\casino1.ini
2009-04-22 11:45:00 ----D---- C:\Arquivos de programas\MSECache
2009-04-22 11:29:42 ----A---- C:\WINDOWS\MegaManager.INI
2009-04-22 11:20:09 ----D---- C:\Arquivos de programas\MegauploadToolbar
2009-04-22 11:20:08 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\MegauploadToolbar
2009-04-22 10:02:05 ----D---- C:\downloads
2009-04-22 10:02:05 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\GrabPro
2009-04-22 10:01:58 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\Orbit

======List of files/folders modified in the last 1 months======

2009-05-18 11:14:07 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\GbPlugin
2009-05-18 10:09:50 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\Spyware Terminator
2009-05-18 10:09:26 ----D---- C:\WINDOWS\system32\CatRoot2
2009-05-18 10:09:21 ----D---- C:\WINDOWS\Temp
2009-05-18 10:08:29 ----AD---- C:\WINDOWS\system32\drivers
2009-05-18 08:23:25 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-05-17 15:00:59 ----D---- C:\WINDOWS\system32
2009-05-17 14:08:33 ----D---- C:\WINDOWS\Prefetch
2009-05-17 13:25:32 ----RD---- C:\Arquivos de programas
2009-05-17 11:18:59 ----D---- C:\WINDOWS
2009-05-16 13:39:19 ----HD---- C:\WINDOWS\inf
2009-05-16 13:38:37 ----SHD---- C:\WINDOWS\Installer
2009-05-16 13:38:36 ----D---- C:\WINDOWS\WinSxS
2009-05-16 13:38:34 ----D---- C:\Arquivos de programas\Arquivos comuns\Microsoft Shared
2009-05-16 13:16:33 ----SHD---- C:\System Volume Information
2009-05-16 13:16:33 ----D---- C:\WINDOWS\system32\Restore
2009-05-16 13:04:48 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-05-16 13:04:44 ----HD---- C:\WINDOWS\$hf_mig$
2009-05-16 12:01:03 ----D---- C:\WINDOWS\Debug
2009-05-16 11:48:08 ----D---- C:\WINDOWS\system32\config
2009-05-12 12:14:53 ----D---- C:\Arquivos de programas\Spyware Terminator
2009-05-09 11:08:20 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Spyware Terminator
2009-05-07 00:16:30 ----A---- C:\WINDOWS\system32\MRT.exe
2009-05-06 19:00:13 ----A---- C:\WINDOWS\NeroDigital.ini
2009-04-27 18:10:01 ----D---- C:\Arquivos de programas\GbPlugin
2009-04-26 23:33:08 ----D---- C:\Arquivos de programas\Foxit Software
2009-04-25 14:41:43 ----SD---- C:\Documents and Settings\Nanda\Dados de aplicativos\Microsoft
2009-04-24 23:41:05 ----A---- C:\WINDOWS\EntPack.ini
2009-04-22 11:45:23 ----RSD---- C:\WINDOWS\Fonts
2009-04-22 11:45:16 ----D---- C:\Arquivos de programas\Microsoft Office
2009-04-22 11:19:57 ----HD---- C:\Arquivos de programas\InstallShield Installation Information
2009-04-21 22:10:04 ----A---- C:\WINDOWS\EmSoft.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;AMD K7 Processor Driver; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2004-08-04 41472]
R1 avgio;avgio; \??\C:\Arquivos de programas\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-16 96104]
R1 ISODrive;ISO DVD/CD-ROM Device Driver; \??\C:\Arquivos de programas\UltraISO\drivers\ISODrive.sys []
R1 kbdhid;Keyboard HID Driver; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
R1 sp_rsdrv2;Spyware Terminator Driver 2; \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-02-13 28376]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-05-16 55640]
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-04-01 4816]
R3 FETNDIS;VIA PCI 10/100Mb Fast Ethernet Adapter NT Driver; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
R3 hidusb;Driver de classe HID da Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-10-28 9600]
R3 mouhid;Mouse HID Driver; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-10-28 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-03 1897408]
R3 pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [2009-03-19 47360]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2003-07-15 578368]
R3 usbccgp;Microsoft USB Generic Parent Driver; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2 Enabled Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S3 ad63xink;ad63xink; C:\WINDOWS\system32\drivers\ad63xink.sys []
S3 EagleNT;EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys []
S3 USBSTOR;USB Mass Storage Driver; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S3 XDva224;XDva224; \??\C:\WINDOWS\system32\XDva224.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Scheduler; C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe [2009-05-16 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe [2009-03-02 185089]
R2 AutoLock;WinPolicy AutoLock; C:\Arquivos de programas\Justsoft WinPolicy\WPService.exe [2006-09-27 93132]
R2 GbpSv;Gbp Service; C:\ARQUIV~1\GbPlugin\GbpSv.exe [2009-03-27 52808]
R2 JavaQuickStarterService;Java Quick Starter; C:\Arquivos de programas\Java\jre6\bin\jqs.exe [2009-01-09 152984]
R2 MDM;Machine Debug Manager; C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe [2007-12-03 869672]
R2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe [2002-09-20 45056]
R2 sp_rssrv;Spyware Terminator Realtime Shield Service; C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe [2009-03-29 540672]
S3 NMIndexingService;NMIndexingService; C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe [2007-12-13 447784]
S3 ose;Office Source Engine; C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WLSetupSvc;Windows Live Setup Service; C:\Arquivos de programas\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]
S3 WMPNetworkSvc;Serviço de Compartilhamento de Rede do Windows Media Player; C:\Arquivos de programas\Windows Media Player\WMPNetwk.exe [2006-11-02 914944]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]

-----------------EOF-----------------
 
carolgsn disse:
Olá... Mr. Wolf, como vai?
Meu irmão joga muito o tal do CABAL, com este jogo, o computador fica mais vulnerável, ou não tem nada a ver?
A propósito, não sei desativar o autorun, se puder me ensinar...
Clique para expandir...
carolgsn, o jogo em si, atualizado, não tem risco (apesar de conter alguns bugs).

Agora, os dois patchs lançados pela Gamemaxx recentemente que é o Mundo Perdido e o Senhor da Guerra, ambos estão infectados por códigos maliciosos e o vírus Themida (que é muito perigoso, considerado o pior Spyware.Worm até hoje).
Tome muito cuidado e peça pra ele não baixar esses patchs que foram distribuidos separadamente. Foi uma sacanagem imensa da empresa, lançar os arquivos sem nem mesmo verificar, é por isso que desisti e desinstalei. O suporte é 0, e tá cada dia pior.
 
Mr.Wolf disse:
Olá pessoal, boa tarde a todos! Como sempre faço, responderei aos logs neste mesmo post para evitar flood no fórum. Irei por ordem de postagens...

Amigo Lost4Ever, siga a instrução no spoiler abaixo:

- Faça o download do BankerFix e salve-o no desktop;

● Desabilite o seu antivírus temporariamente para não detectar a ferramenta como vírus;
● Dê um duplo clique em bankerfix.exe;
● Surgirá uma mensagem dizendo que o mesmo será baixado via internet;
● Clique em OK > OK. Tecle Enter e aguarde o término do scan;
● Terminado o scan, leia a mensagem na tela e tecle Enter novamente.
● Será gerado um log em C:\LinhaDefensiva\relatorio.txt.

Cole este log em sua próxima resposta, juntamente com um novo log do HijackThis.

Delete a pasta C:\LinhaDefensiva após colar seu log aqui.

Abraços a todos
Clique para expandir...

Desculpe a demora Mr. Wolf estou sem internet nos finais de semana, fui ver hoje na segunda e já formataram o micro sem meu consentimento, uma pena, não é todo o dia que vejo um micro zuado como estava. Tinha pedido para ele testar para ver se estava ok e recomendei não entrar em banco por enquanto. Bem, fica para uma próxima vez, de qualquer forma muito obrigado. :)
 
Oi Mr.Wolf tdo bem??

Discurpa migo me isquici do log do Hijackthis hauahauahau.

Aqui esta Mr o novo log depois de ter feito o q vc me disse, fui na quarentena do malwarebytes e restaurei o negocio q vc pediu e depois exclui os outros. So por curiosidade Mr.Wolf esse arquivo q eu restaurei era importante e nao virus??

Mtoooo obrigada vc esta sendo d+++++ como sempre

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:02:22, on 18/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\Arquivos de programas\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Arquivos de programas\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\explorer.exe
C:\Arquivos de programas\MSN Messenger\msnmsgr.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Home\CONFIG~1\Temp\Rar$EX00.414\Hijack This.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.1.1309.35 72\swg.dll
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Arquivos de programas\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.d ll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [NitroPC] "C:\Arquivos de programas\NitroPC\NitroPC.exe" -minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Arquivos de programas\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Arquivos de programas\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: SafestMail - {B0494CB9-A494-4218-8558-798F8BBAF4B0} - www.sa4o.com (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {5727FF4C-EF4E-4d96-A96C-03AD91910448} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_ind.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/.../GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://imagem.caixa.gov.br/cab/gbpdist.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{672B438C-95CE-49DD-91FA-9A061C15DE76}: NameServer = 200.216.52.58 200.216.52.60
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Arquivos de programas\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe

--

End of file - 6888 bytes


BJUSSSSSSSSSSSSSSSSSS

Mari
 
Mr.Wolf disse:
Alessandro Monteiro, siga as instruções do spoiler abaixo:

- Faça o download do ComboFix e salve-o na área
de trabalho;

● Desative temporariamente o seu antivirus para não detectar a ferramenta como vírus;
● Duplo clique no ícone combofix.exe para iniciar o scan;
● Leia o contrato que aparecerá e clique em Sim para continuar;
● Abrirá uma janela do Console de Recuperação, clique em Sim para instalar. Se aparecer outra janela do Console,
clique em OK > Sim;
● Aguarde enquanto o ComboFix faz o scan;
● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;
Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a
varredura da ferramenta;
● Se quiser sair ou parar o ComboFix, tecle N;
● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;
● Será gerado um log em C:\ComboFix.txt.

Cole este log em sua próxima resposta.
__________________________________
Clique para expandir...


Mr.Wolf, desculpe a demora tambem...
tentei instalar o combofix.exe e em varias tentativas ele reinicia o pc e não continua a varredura e nem cria algum tipo de log, o que pode ser?
Obrigado
Abraços
Alessandro Monteiro
 
Olá pessoal, boa tarde a todos!


Amigo healer, tudo ok no log. O GbPlugin foi totalmente removido :)

As entradas no registro foram retiradas também e, como disse anteriormente, por sorte o plugin não havia criado permissões. Então não há mais com que se preocupar.
Só recomendo uma limpeza nos arquivos temporários e no registro do Windows healer. Pode ser com o software de sua preferência, caso tenha um. Se quiser uma sugestão, CCleaner é bem recomendado para tal.

Alguma coisa em que eu possa lhe ajudar ainda amigo healer?

_____________________________________________


vimed, este erro do HijackThis ocorreu pelo fato de que você possui Windows Vista. O HijackThis às vezes não consegue carregar todas as entradas "de primeira" neste OS, e lhe dá esta mensagem de erro. Erro normal da ferramenta. No Windows Seven este erro está ocorrendo com muitos usuários também. Só lhe peço que reporte à equipe (como mostra na mensagem de erro) sempre quando ocorrer. Assim poderemos verificar o porquê da ferramenta não conseguir carregar as entradas de primeira.

Quanto ao problema da Internet lenta, provavelmente não está sendo causada pelos vírus vimed. Pois estamos na reta final com seu caso, e se fosse um problema causado pelos vírus, já estaria sanado! Você disse anteriormente que ligou para seu provedor de Internet, não é isso vimed? O que eles disseram a você?
Siga a instrução do spoiler abaixo vimed:

Com o navegador Internet Explorer, acesse o Kaspersky Online Scanner e faça um scan seguindo o tutorial abaixo:

http://www.linhadefensiva.org/forum/index.php?showtopic=74159

Ao término do scan salve o log com a extensão .txt em seu computador e poste-o em sua próxima resposta.
_____________________________________________


karolz, siga as instruções do spoiler abaixo:

Selecione e copie este texto abaixo. Cole no Bloco de Notas de seu PC e salve-o no desktop como CFScript.txt

Código: 
File::
C:\www5.exe
C:\www_dialer.exe
Registry::
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"4611:TCP"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C643131}]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vzbqyqdm]
Driver::
vzbqyqdm
NetSvc::
vzbqyqdm
Folder::
C:\UsbFix
Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:

CFScript.gif


● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;
Não use o mouse nem o teclado quando o ComboFix estiver rodando;
● Quando terminar, será gerado um novo log que estará em C:\ComboFix.txt;
● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.

Na sua próxima resposta, cole o ComboFix.txt e um novo log do HijackThis.
_____________________________________________


carolgsn, leia o que nosso amigo victorm escreveu a você sobre o jogo Cabal. Ele está corretíssimo. Os dois patchs que ele disse estão infectados realmente, portanto, diga a seu irmão que não instale-os.
Quanto a sua pergunta, sim, o computador fica vulnerável a este jogo sim. Porém, se seu irmão é cauteloso e é um usuário cuidadoso, no sentido de manter o sistema atualizado, antivirus atualizado, possuir um firewall bom instalado, não haverá problemas. Entretanto, vejo que seu sistema está desatualizado amiga Carol, isto sim torna o PC muito mais vulnerável. Sugiro que instale o Service Pack 3 do Windows e atualize seu Internet Explorer para a versão 8.

Para desativar o autorun há diversas maneiras. A própria Microsoft lançou uma atualização que desativa por completo este recurso, a qual recomendo instalar. A atualização é esta. Ou caso não queira instalar a atualização faça o seguinte: Vá em Iniciar > Executar, digite gpedit.msc e dê um OK. Caminhe em: Configuração do Computador > Modelos Administrativos > Clique em Sistema. Ao lado direito do painel dê um duplo clique em "Desativar AutoExecutar". Coloque a opção Ativado e abaixo selecione Todas as Unidades > OK.

O outro computador, que estava com o conficker, segui suas orientações, no ultimo post referente, e consegui acessar todos os sites e também já reativei a restauração do sis. Posso ficar despreocupada agora, em relação a virus?
Clique para expandir...
Sim. Fique despreocupada.

Siga a instrução no spoiler abaixo Carol:

- Faça o download do ComboFix e salve-o na área de trabalho;

● Desative temporariamente o seu antivirus para não detectar a ferramenta como vírus;
● Duplo clique no ícone combofix.exe para iniciar o scan;
● Leia o contrato que aparecerá e clique em Sim para continuar;
● Abrirá uma janela do Console de Recuperação, clique em Sim para instalar. Se aparecer outra janela do Console, clique em OK > Sim;
● Aguarde enquanto o ComboFix faz o scan;
● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;
Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a varredura da ferramenta;
● Se quiser sair ou parar o ComboFix, tecle N;
● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;
● Será gerado um log em C:\ComboFix.txt.

Cole este log em sua próxima resposta.
_____________________________________________


Mariana SMS, o arquivo que pedi que restaurasse é um plugin (ActiveX) de segurança instalado por bancos online, quando são acessados. Portanto, neste caso, este arquivo é importante e legítmo. O Malwarebytes às vezes identifica alguns ActiveX e/ou arquivos no hosts como vírus e remove-os, sendo uma detecção e remoção errônea do programada chamada de falso-positivo. Já fiz o report deste falso-positivo no plugin GbPlugin para a equipe e iremos corrigí-lo na próxima atualização.

No mais, seu log está limpo amiga Mariana :)

Algum problema ainda?

_____________________________________________


Amigo Alessandro Monteiro, poste um novo log do HijackThis aqui, por gentileza.
 
Mr.Wolf disse:
Olá pessoal, boa tarde a todos!


Amigo healer, tudo ok no log. O GbPlugin foi totalmente removido :)

As entradas no registro foram retiradas também e, como disse anteriormente, por sorte o plugin não havia criado permissões. Então não há mais com que se preocupar.
Só recomendo uma limpeza nos arquivos temporários e no registro do Windows healer. Pode ser com o software de sua preferência, caso tenha um. Se quiser uma sugestão, CCleaner é bem recomendado para tal.

Alguma coisa em que eu possa lhe ajudar ainda amigo healer?
Clique para expandir...

Mais uma vez muito obrigado por toda sua ajuda, pra mim esse é o melhor tópico do fórum, meus parabéns a você.

Pode deixar que irei passar o CCleaner aqui e apagar meus arquivos temporários.

Grande abraço Mr.Wolf.
 
healer disse:
Mais uma vez muito obrigado por toda sua ajuda, pra mim esse é o melhor tópico do fórum, meus parabéns a você.

Pode deixar que irei passar o CCleaner aqui e apagar meus arquivos temporários.

Grande abraço Mr.Wolf.
Clique para expandir...
Obrigado amigo healer, fico feliz por gostar do tópico. Espero sempre que fiquem satisfeitos, e como já está ciente, fique a vontade para postar aqui, tanto para tirar dúvidas, resolver problemas, ou responder a perguntas e logs dos amigos também, caso queira, obviamente. :)

Qualquer problema é só postar healer :thumbs_up

Abraços amigo
 
Mr. Wolf ja fiz o q vc pediu e taí os logs:


ComboFix 09-05-18.02 - usuario 18/05/2009 18:22.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.191.90 [GMT -3:00]
Executando de: c:\documents and settings\usuario\Desktop\ComboFix.exe
Comandos utilizados :: c:\documents and settings\usuario\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
C:\www_dialer.exe
C:\www5.exe
.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\UsbFix
c:\usbfix\Tools\Files.cmd
c:\usbfix\Tools\Folders.cmd
c:\usbfix\Tools\fsum.exe
c:\usbfix\Tools\Hkcu_Po
c:\usbfix\Tools\Hkcu_Run
c:\usbfix\Tools\Hklm_Ifeo
c:\usbfix\Tools\Hklm_Logon
c:\usbfix\Tools\Hklm_Run
c:\usbfix\Tools\Hklm_Serv
c:\usbfix\Tools\Hku_Def
c:\usbfix\Tools\K_Proc
c:\usbfix\Tools\K_Root.cmd
c:\usbfix\Tools\Kill.exe
c:\usbfix\Tools\Kill_P.exe
c:\usbfix\Tools\Other.cmd
c:\usbfix\Tools\Rkt
c:\usbfix\Tools\sed.exe
c:\usbfix\Tools\ShellExecuteHooks
c:\usbfix\Tools\Startup
c:\usbfix\Tools\swreg.exe
c:\usbfix\Tools\Usb
c:\usbfix\Tools\Usb_F.vbs
c:\usbfix\Tools\UsbFix.ico
c:\usbfix\Tools\UsbFix.reg
c:\usbfix\Tools\UsbFix.vbs
c:\usbfix\Tools\UsbFix_Setup.ico
c:\usbfix\Tools\UsbReg.vbs
c:\usbfix\Uninstal.exe
c:\usbfix\UsbFix.cmd
C:\www_dialer.exe
C:\www5.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_VZBQYQDM
-------\Service_vzbqyqdm


(((((((((((((((( Arquivos/Ficheiros criados de 2009-04-18 to 2009-05-18 ))))))))))))))))))))))))))))
.

2009-05-14 12:50 . 2009-05-14 15:17 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy
2009-05-14 12:50 . 2009-05-14 21:08 -------- d-----w c:\arquivos de programas\Spybot - Search & Destroy
2009-05-13 15:21 . 2009-05-13 15:21 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Avira
2009-05-13 15:21 . 2009-05-13 15:21 -------- d-----w c:\arquivos de programas\Avira
2009-05-12 14:28 . 2009-05-12 14:28 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\SITEguard
2009-05-12 14:23 . 2009-05-12 14:23 -------- d-----w c:\arquivos de programas\Arquivos comuns\iS3
2009-05-12 14:23 . 2009-05-13 15:16 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\STOPzilla!
2009-05-11 13:23 . 2009-05-11 13:23 -------- d-----w c:\arquivos de programas\Trend Micro
2009-05-09 18:40 . 2009-05-09 18:40 1152 ----a-w c:\windows\system32\windrv.sys
2009-05-09 17:41 . 2009-05-09 18:39 -------- d-----w c:\documents and settings\usuario\Dados de aplicativos\GetRightToGo
2009-05-09 16:10 . 2008-04-13 22:20 221184 ----a-w c:\windows\system32\wmpns.dll
2009-05-09 15:59 . 2008-04-13 22:20 4255 ------w c:\windows\system32\drivers\adv01nt5.dll
2009-05-05 17:58 . 2009-05-05 17:58 -------- d-----w c:\windows\Sun
2009-05-02 13:21 . 2009-05-11 13:00 -------- d-----w c:\arquivos de programas\uTorrent
2009-05-02 13:21 . 2009-05-11 13:00 -------- d-----w c:\documents and settings\usuario\Dados de aplicativos\uTorrent
2009-05-01 17:42 . 2009-05-01 17:41 410984 ----a-w c:\windows\system32\deploytk.dll
2009-05-01 17:41 . 2009-05-01 17:41 -------- d-----w c:\arquivos de programas\Java
2009-04-29 22:58 . 2009-04-29 22:58 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\GoldWaveCDDB
2009-04-29 22:58 . 2009-04-29 22:58 -------- d-----w c:\documents and settings\usuario\Dados de aplicativos\GoldWaveCDDB
2009-04-22 13:34 . 2009-04-22 13:34 -------- d-----w c:\documents and settings\All Users\Dados de aplicativos\DVD Shrink
2009-04-22 13:33 . 2009-05-11 13:38 -------- d-----w c:\arquivos de programas\DVD Shrink

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-14 14:42 . 2001-10-28 15:07 49586 ----a-w c:\windows\system32\perfc016.dat
2009-05-14 14:42 . 2001-10-28 15:07 347294 ----a-w c:\windows\system32\perfh016.dat
2009-05-04 21:44 . 2009-02-15 17:11 -------- d-----w c:\arquivos de programas\DreaMule
2009-04-27 15:41 . 2009-04-08 15:07 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-04-20 13:11 . 2009-02-09 12:41 -------- d-----w c:\arquivos de programas\Arquivos comuns\Adobe
2009-04-18 17:00 . 2009-04-18 17:00 -------- d-----w c:\arquivos de programas\GoldWave
2009-04-16 20:39 . 2009-04-16 20:39 -------- d-----w c:\arquivos de programas\Windows Media Connect 2
2009-04-16 14:16 . 2009-04-16 14:15 -------- d-----w c:\arquivos de programas\Microsoft ActiveSync
2009-04-08 13:14 . 2009-02-03 15:42 -------- d-----w c:\arquivos de programas\eMule
2009-04-08 13:13 . 2009-02-02 23:22 -------- d-----w c:\arquivos de programas\Nero
2009-04-08 13:13 . 2009-02-03 16:00 -------- d-----w c:\arquivos de programas\Total Video Converter
2009-04-08 13:13 . 2009-02-03 13:49 -------- d-----w c:\arquivos de programas\The KMPlayer
2009-04-07 14:55 . 2009-03-31 13:09 -------- d-----w c:\arquivos de programas\XP Codec Pack
2009-03-06 14:20 . 2008-04-13 22:20 286208 ----a-w c:\windows\system32\pdh.dll
2009-02-20 08:10 . 2008-04-13 22:20 668160 ----a-w c:\windows\system32\wininet.dll
2009-02-20 08:10 . 2008-04-13 22:20 81920 ----a-w c:\windows\system32\ieencode.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-05-18_13.55.43 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-18 21:26 . 2009-05-18 21:26 16384 c:\windows\Temp\Perflib_Perfdata_1f8.dat
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe" [2008-12-03 3882312]
"eMuleAutoStart"="c:\arquivos de programas\eMule\emule.exe" [2009-02-22 5668864]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^usuario^Menu Iniciar^Programas^Inicializar^BrOffice.org 3.0.lnk]
path=c:\documents and settings\usuario\Menu Iniciar\Programas\Inicializar\BrOffice.org 3.0.lnk
backup=c:\windows\pss\BrOffice.org 3.0.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=
"c:\\Arquivos de programas\\eMule\\emule.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Arquivos de programas\\DreaMule\\emule.exe"=
"c:\arquivos de programas\Microsoft ActiveSync\rapimgr.exe"= c:\arquivos de programas\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\arquivos de programas\Microsoft ActiveSync\wcescomm.exe"= c:\arquivos de programas\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\arquivos de programas\Microsoft ActiveSync\WCESMgr.exe"= c:\arquivos de programas\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [13/5/2009 12:22 108289]
.
.
------- Scan Suplementar -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\usuario\Dados de aplicativos\Mozilla\Firefox\Profiles\hj3fgn3r.default\

---- FIREFOX POLICIES ----
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-05-18 18:28
Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'explorer.exe'(3796)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Outros Processos em Execução ------------------------
.
c:\arquivos de programas\Avira\AntiVir Desktop\avguard.exe
c:\arquivos de programas\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Tempo para conclusão: 2009-05-18 18:33 - Máquina reiniciou
ComboFix-quarantined-files.txt 2009-05-18 21:32
ComboFix2.txt 2009-05-18 13:58

Pré-execução: 15 pasta(s) 44.914.929.664 bytes disponíveis
Pós execução: 13 pasta(s) 44.827.095.040 bytes disponíveis

166 --- E O F --- 2009-05-13 15:34



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:34:05, on 18/5/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Arquivos de programas\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARQUIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARQUIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Criar Favorito Móvel... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARQUIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O17 - HKLM\System\CCS\Services\Tcpip\..\{E050D8E8-0BA0-4591-86D8-70647C8E32C0}: NameServer = 200.165.132.155 200.149.55.140
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

--
End of file - 5254 bytes
:thumbs_up
 
Você deve fazer login ou se registrar para responder aqui.

Users who are viewing this thread

Total: 2 (membros: 0, visitantes: 2)
Voltar
Topo