Remoção de vírus

[Mr.Wolf]

Boa tarde pessoal


Jonathan, siga abaixo:

Spoiler

Copie e cole este texto abaixo no Bloco de Notas. Salve como CFScript.txt no desktop

Driver::
File::
c:\windows\system32\XP-EDE20155.EXE
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"XP-EDE20155"=-
DirLook::
c:\users\Jonathan\AppData\Local\temp
c:\users\Public\AppData\Local\temp
c:\users\Jeniffer\AppData\Local\temp
c:\users\Default\AppData\Local\temp
c:\users\Clarety\AppData\Local\temp

Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:

● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;
● Não use o mouse nem o teclado quando o ComboFix estiver rodando;
● Quando terminar, será gerado um novo log que estará em C:\ComboFix.txt;
● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.

Na sua próxima resposta, cole o ComboFix.txt e um novo log do HijackThis.

_____________________________


BrenoxD, tanto no MSN quanto no Meebo, é necessário inserir informações pessoais, assim como em qualquer outro Web Messenger. E este worm captura as senhas digitadas no teclado. Portanto, o malware poderá roubá-las em qualquer local — se já não o fez.

No entanto, como não trata-se de um kernel worm, você pode utilizar o Teclado Virtual (TV) do Windows para acessar suas contas (colocando o e-mail e a senha através do TV). Embora ainda assim não seja recomendável, como seu trabalho requer o uso do MSN, não há como evitar. Para ativar o TV, basta ir em Iniciar > Executar e digitar "osk" (sem aspas).

OBS Geral: É seguro usar o TV só quando um malware não estiver em nível de kernel. Isto é, se a infecção for por keyloggers, screenloggers, trojans bankers, kernel worms, kernel scarewares, o TV torna-se inseguro, pois estes malwares conseguem capturar também, os cliques do mouse.

Siga abaixo amigo BrenoxD:

Spoiler

1ª Etapa

- Faça o download do OTM e salve no desktop;

● Dê um duplo clique no ícone do programa (OTM.exe) para executá-lo;
● Selecione e copie todo este conteúdo aqui abaixo:

:Processes
explorer.exe
msnmls.exe

:Files
C:\WINDOWS\system32\runouce.exe
D:\explorer.exe
C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explorer.exe
C:\LinhaDefensiva
C:\Arquivos de programas\AxBx
C:\MSNCleaner
C:\MSN Virus Removal Log 19_04_2010 23_02_11.txt
C:\a.txt
C:\WINDOWS\msnmls.exe
C:\WINDOWS\gdrv.sys

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Runonce"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

:Services
gdrv

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

● Cole o que você copiou no programa (no espaço em branco da janela);
● Clique no botão MoveIt;
● Se aparecer uma mensagem para reiniciar o computador, reinicie-o;
● Na sua proxima resposta, copie e cole o todo o conteúdo que está em Results;
● Se o computador reiniciou, vá na pasta C:\_OTM\MovedFiles e abra o arquivo com a extensão .log presente dentro da pasta.

Copie e cole todo o conteúdo desse arquivo.


2ª Etapa

Faça o download do ComboFix e salve no desktop:
OBS: Para que a ferramenta seja executada é necessário que esteja no desktop (área de trabalho)

- Desative, temporariamente, o antivírus;
- Feche todas as janelas abertas;
- Vá em Iniciar > Executar, digite: "%userprofile%\desktop\combofix.exe" /killall e clique em OK como na imagem:

● Se o ComboFix encontrar algum tipo de emulador de CD (como o DAEMON Tools, Alcohol, etc) aparecerá uma mensagem dizendo que precisa ser desabilitado. Clique em OK e aguarde o PC reiniciar.

● Leia o contrato que aparecerá e clique em Sim para continuar;
● Abrirá uma janela do Console de Recuperação, clique em Não para não instalar;
● Aguarde enquanto o ComboFix faz o Autoscan;
● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;
● Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a varredura da ferramenta;
● Se quiser sair ou parar o ComboFix, tecle N;
● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;
● Será gerado um log em C:\ComboFix.txt.

Cole este log em sua próxima resposta, juntamente com o log do OTM.

Pode anexá-los, se preferir.

______________________________________


Rodrimack, não havia necessidade alguma de rodar o ComboFix. Inclusive, a ferramenta removeu um arquivo legítimo do sistema. Não execute-o toda hora!

Os objetos ocultos identificados pelo seu Avira são inofensivos.

Um objeto oculto refere-se a uma entrada de registo, arquivo ou pasta que é invisível para o sistema operacional. Com certeza, isso inclui rootkits que são usados para esconder outros malwares ou a si mesmos, aliás, rootkits são ficheiros ocultos. Mas tenha em mente que nem todos os objetos ocultos são perigosos, porque, na maioria das vezes, são programas legais e benéficos que escondem seus próprios arquivos e entradas do registro.

O Avira scaneia estes arquivos ocultos, por isso eles podem aparecer no log.

No seu caso, os objetos ocultos que o Avira encontrou são da SecuROM. Uma aplicação segura. Mas, se quiser removê-la do sistema, dê uma olhada neste tutorial. Todavia, para tirar o peso da consicência, utilize o Avira Anti-Rootkit ou, se desejar, poste um log do GMER para análise.

 

[Rodrimack]

Boa tarde pessoal


Jonathan, siga abaixo:

Spoiler

Copie e cole este texto abaixo no Bloco de Notas. Salve como CFScript.txt no desktop

Driver::
File::
c:\windows\system32\XP-EDE20155.EXE
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"XP-EDE20155"=-
DirLook::
c:\users\Jonathan\AppData\Local\temp
c:\users\Public\AppData\Local\temp
c:\users\Jeniffer\AppData\Local\temp
c:\users\Default\AppData\Local\temp
c:\users\Clarety\AppData\Local\temp

Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:

● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;
● Não use o mouse nem o teclado quando o ComboFix estiver rodando;
● Quando terminar, será gerado um novo log que estará em C:\ComboFix.txt;
● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.

Na sua próxima resposta, cole o ComboFix.txt e um novo log do HijackThis.

_____________________________


BrenoxD, tanto no MSN quanto no Meebo, é necessário inserir informações pessoais, assim como em qualquer outro Web Messenger. E este worm captura as senhas digitadas no teclado. Portanto, o malware poderá roubá-las em qualquer local — se já não o fez.

No entanto, como não trata-se de um kernel worm, você pode utilizar o Teclado Virtual (TV) do Windows para acessar suas contas (colocando o e-mail e a senha através do TV). Embora ainda assim não seja recomendável, como seu trabalho requer o uso do MSN, não há como evitar. Para ativar o TV, basta ir em Iniciar > Executar e digitar "osk" (sem aspas).

OBS Geral: É seguro usar o TV só quando um malware não estiver em nível de kernel. Isto é, se a infecção for por keyloggers, screenloggers, trojans bankers, kernel worms, kernel scarewares, o TV torna-se inseguro, pois estes malwares conseguem capturar também, os cliques do mouse.

Siga abaixo amigo BrenoxD:

Spoiler

1ª Etapa

- Faça o download do OTM e salve no desktop;

● Dê um duplo clique no ícone do programa (OTM.exe) para executá-lo;
● Selecione e copie todo este conteúdo aqui abaixo:

:Processes
explorer.exe
msnmls.exe

:Files
C:\WINDOWS\system32\runouce.exe
D:\explorer.exe
C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL explorer.exe
C:\LinhaDefensiva
C:\Arquivos de programas\AxBx
C:\MSNCleaner
C:\MSN Virus Removal Log 19_04_2010 23_02_11.txt
C:\a.txt
C:\WINDOWS\msnmls.exe
C:\WINDOWS\gdrv.sys

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Runonce"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

:Services
gdrv

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

● Cole o que você copiou no programa (no espaço em branco da janela);
● Clique no botão MoveIt;
● Se aparecer uma mensagem para reiniciar o computador, reinicie-o;
● Na sua proxima resposta, copie e cole o todo o conteúdo que está em Results;
● Se o computador reiniciou, vá na pasta C:\_OTM\MovedFiles e abra o arquivo com a extensão .log presente dentro da pasta.

Copie e cole todo o conteúdo desse arquivo.


2ª Etapa

Faça o download do ComboFix e salve no desktop:
OBS: Para que a ferramenta seja executada é necessário que esteja no desktop (área de trabalho)

- Desative, temporariamente, o antivírus;
- Feche todas as janelas abertas;
- Vá em Iniciar > Executar, digite: "%userprofile%\desktop\combofix.exe" /killall e clique em OK como na imagem:

● Se o ComboFix encontrar algum tipo de emulador de CD (como o DAEMON Tools, Alcohol, etc) aparecerá uma mensagem dizendo que precisa ser desabilitado. Clique em OK e aguarde o PC reiniciar.

● Leia o contrato que aparecerá e clique em Sim para continuar;
● Abrirá uma janela do Console de Recuperação, clique em Não para não instalar;
● Aguarde enquanto o ComboFix faz o Autoscan;
● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;
● Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a varredura da ferramenta;
● Se quiser sair ou parar o ComboFix, tecle N;
● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;
● Será gerado um log em C:\ComboFix.txt.

Cole este log em sua próxima resposta, juntamente com o log do OTM.

Pode anexá-los, se preferir.

______________________________________


Rodrimack, não havia necessidade alguma de rodar o ComboFix. Inclusive, a ferramenta removeu um arquivo legítimo do sistema. Não execute-o toda hora!

Os objetos ocultos identificados pelo seu Avira são inofensivos.

Um objeto oculto refere-se a uma entrada de registo, arquivo ou pasta que é invisível para o sistema operacional. Com certeza, isso inclui rootkits que são usados para esconder outros malwares ou a si mesmos, aliás, rootkits são ficheiros ocultos. Mas tenha em mente que nem todos os objetos ocultos são perigosos, porque, na maioria das vezes, são programas legais e benéficos que escondem seus próprios arquivos e entradas do registro.

O Avira scaneia estes arquivos ocultos, por isso eles podem aparecer no log.

No seu caso, os objetos ocultos que o Avira encontrou são da SecuROM. Uma aplicação segura. Mas, se quiser removê-la do sistema, dê uma olhada neste tutorial. Todavia, para tirar o peso da consicência, utilize o Avira Anti-Rootkit ou, se desejar, poste um log do GMER para análise.

Mr.Wolf Boa Tarde!

Sim eu sabia sobre os rootkits e sei que alguns aplicativos ficam ocultos mas não tinha certeza se era vírus ou não, como meu pc estava lento e eu fiquei na duvida e na ansia de resolver meu problema eu executei o combofix e fiz essa cagada. O PC ficou mais rápido dps do Combofix mas pode ser somente coincidencia. Esse arquivo era muito importante que eu removi? Vou remover o SecureRom e postar o log do GMER. Realmente não sou expert em vírus e fui usar o combofix sem necessidade. Por fim meu pc não está bom, tem dois anos que uso sem formatar então talvez nesse pensamento eu pensei que isso poderia ser vírus já que o Avira mostrou entrada ocultas. Rodei tmb o rootkit da Sophos e mostrou várias entradas ocultas do system restore então aliado a + isso pensei que o vírus estava usando da minha restauração do sistema ou algo o tipo.

 

[Jonathan]

Jonathan, siga abaixo:

Spoiler

Copie e cole este texto abaixo no Bloco de Notas. Salve como CFScript.txt no desktop

Driver::
File::
c:\windows\system32\XP-EDE20155.EXE
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"XP-EDE20155"=-
DirLook::
c:\users\Jonathan\AppData\Local\temp
c:\users\Public\AppData\Local\temp
c:\users\Jeniffer\AppData\Local\temp
c:\users\Default\AppData\Local\temp
c:\users\Clarety\AppData\Local\temp

Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:

● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;
● Não use o mouse nem o teclado quando o ComboFix estiver rodando;
● Quando terminar, será gerado um novo log que estará em C:\ComboFix.txt;
● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.

Na sua próxima resposta, cole o ComboFix.txt e um novo log do HijackThis.

Olá, Mr.Wolf, fiz o procedimento e segue o log do ComboFix e do HijackThis.

Spoiler

ComboFix 10-04-19.08 - Jonathan 21/04/2010 22:10:52.5.2 - x86
Microsoft Windows 7 Ultimate 6.1.7600.0.1252.55.1033.18.3326.2358 [GMT -3:00]
Executando de: c:\users\Jonathan\Desktop\ComboFix.exe
Comandos utilizados :: c:\users\Jonathan\Desktop\CFScript.txt

FILE ::
"c:\windows\system32\XP-EDE20155.EXE"
.

(((((((((((((((( Arquivos/Ficheiros criados de 2010-03-22 to 2010-04-22 ))))))))))))))))))))))))))))
.

2010-04-22 01:17 . 2010-04-22 01:17 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-04-22 01:17 . 2010-04-22 01:17 -------- d-----w- c:\users\Jeniffer\AppData\Local\temp
2010-04-22 01:17 . 2010-04-22 01:17 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-04-22 01:17 . 2010-04-22 01:17 -------- d-----w- c:\users\Clarety\AppData\Local\temp
2010-04-20 23:42 . 2010-04-20 23:42 -------- d-----w- c:\users\Jeniffer\AppData\Roaming\skypePM
2010-04-20 23:41 . 2010-04-21 01:30 -------- d-----w- c:\users\Jeniffer\AppData\Roaming\Skype
2010-04-20 19:44 . 2010-04-22 01:18 -------- d-----w- c:\users\Jonathan\AppData\Local\temp
2010-04-16 21:34 . 2010-04-06 08:12 114360 ----a-w- c:\users\Jonathan\AppData\Roaming\Mozilla\Firefox\Profiles\0u334xjn.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll
2010-04-14 15:26 . 2010-02-27 12:07 3954568 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-04-14 15:26 . 2010-02-27 12:07 3899280 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-04-14 15:26 . 2010-03-08 21:33 427520 ----a-w- c:\windows\system32\vbscript.dll
2010-04-14 15:26 . 2010-02-27 07:32 221696 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-04-14 15:26 . 2010-02-27 07:32 95744 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2010-04-14 15:26 . 2010-02-27 07:32 123392 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-04-14 15:22 . 2009-12-29 06:55 172032 ----a-w- c:\windows\system32\wintrust.dll
2010-04-14 15:22 . 2010-01-09 06:52 132608 ----a-w- c:\windows\system32\cabview.dll
2010-04-12 02:20 . 2010-04-12 02:20 -------- d-----w- c:\program files\Trend Micro
2010-04-11 19:02 . 2010-04-11 19:01 -------- d---a-w- c:\program files\IncaBall Screen Saver
2010-04-11 19:02 . 2010-04-11 19:01 237568 ----a-w- c:\windows\IncaBallCave.scr
2010-04-06 23:26 . 2010-04-06 23:26 160328 ----a-w- c:\programdata\Microsoft\Windows Defender\LocalCopy\{03C58966-B3A7-1914-00D2-D77CC09031E0}-AdminTool.exe
2010-04-03 03:05 . 2010-04-03 03:05 -------- d-----w- c:\program files\GameTop.com
2010-04-03 03:01 . 2010-04-03 03:01 10 ----a-w- c:\windows\popcinfo.dat
2010-04-03 02:51 . 2010-04-03 02:51 -------- d-----w- c:\users\Jonathan\AppData\Roaming\Zylom
2010-04-03 02:51 . 2010-04-03 02:51 -------- d-----w- c:\programdata\Zylom
2010-04-03 02:51 . 2009-10-26 18:45 102400 ----a-w- c:\programdata\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
2010-04-03 02:51 . 2006-09-26 15:03 161976 ----a-w- c:\programdata\Zylom\ZylomGamesPlayer\zylomgamesplayer.dll
2010-04-03 02:51 . 2010-04-03 02:51 -------- d-----w- c:\program files\Zylom Games
2010-03-31 12:10 . 2010-02-23 07:56 977920 ----a-w- c:\windows\system32\wininet.dll
2010-03-30 11:07 . 2010-03-30 11:07 -------- d-----w- c:\program files\Common Files\Skype
2010-03-27 16:58 . 2009-08-17 17:56 462848 ------w- c:\programdata\HP\Installer\Temp\hpzswp01.exe
2010-03-27 16:58 . 2009-07-31 22:02 1639224 ------w- c:\programdata\HP\Installer\Temp\hpzscr01.EXE
2010-03-27 16:58 . 2009-07-31 22:02 1710392 ------w- c:\programdata\HP\Installer\Temp\hpzmsi01.exe
2010-03-26 13:55 . 2010-03-26 13:55 -------- d-----w- c:\users\Jonathan\AppData\Local\HP
2010-03-26 13:54 . 2010-03-26 13:55 -------- d-----w- c:\users\Jonathan\AppData\Roaming\HP
2010-03-26 13:54 . 2010-03-26 13:54 -------- d-----w- c:\programdata\WEBREG
2010-03-26 13:51 . 2010-03-26 13:51 -------- d-----w- c:\programdata\HP Product Assistant
2010-03-26 13:50 . 2010-03-26 13:50 -------- d-----w- c:\program files\Common Files\Hewlett-Packard
2010-03-26 13:50 . 2010-03-26 13:50 -------- d-----w- c:\program files\Common Files\HP
2010-03-26 13:49 . 2010-03-26 13:52 -------- d-----w- c:\program files\HP
2010-03-26 13:48 . 2010-03-26 13:54 229484 ----a-w- c:\windows\hpoins19.dat
2010-03-26 13:48 . 2009-10-20 04:30 13898 ------w- c:\windows\hpomdl19.dat
2010-03-26 13:48 . 2010-03-26 13:54 -------- d-----w- c:\programdata\HP
2010-03-26 13:48 . 2009-07-08 10:51 452408 ----a-w- c:\windows\system32\hpzids01.dll
2010-03-24 14:56 . 2010-03-24 14:59 -------- d-----w- c:\users\Jonathan\AppData\Roaming\Crispy Plotter
2010-03-24 14:56 . 2010-03-24 14:56 -------- d-----w- c:\program files\Crispy Plotter

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-22 01:18 . 2009-12-29 01:04 -------- d-----w- c:\users\Jonathan\AppData\Roaming\Skype
2010-04-22 00:58 . 2010-01-05 18:59 -------- d-----w- c:\program files\Common Files\Akamai
2010-04-22 00:08 . 2009-12-02 14:01 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-04-21 23:58 . 2009-12-29 01:06 -------- d-----w- c:\users\Jonathan\AppData\Roaming\skypePM
2010-04-21 14:24 . 2009-12-02 12:41 654272 ----a-w- c:\windows\system32\prfh0416.dat
2010-04-21 14:24 . 2009-12-02 12:41 124724 ----a-w- c:\windows\system32\prfc0416.dat
2010-04-21 00:33 . 2009-12-20 22:23 -------- d-----w- c:\users\Jonathan\AppData\Roaming\Winamp
2010-04-18 23:51 . 2009-12-07 20:37 -------- d-----w- c:\users\Jonathan\AppData\Roaming\U3
2010-04-14 21:15 . 2009-12-04 00:55 -------- d-----w- c:\programdata\Microsoft Help
2010-04-14 15:17 . 2010-02-05 22:11 -------- d-----w- c:\program files\Shareaza
2010-04-14 01:42 . 2009-12-19 19:23 85280 ----a-w- c:\users\Jeniffer\AppData\Local\GDIPFONTCACHEV1.DAT
2010-04-13 17:56 . 2010-02-05 22:11 -------- d-----w- c:\users\Jeniffer\AppData\Roaming\Shareaza
2010-03-28 20:51 . 2009-12-12 13:08 85280 ----a-w- c:\users\Clarety\AppData\Local\GDIPFONTCACHEV1.DAT
2010-03-28 02:31 . 2009-12-02 12:46 85280 ----a-w- c:\users\Jonathan\AppData\Local\GDIPFONTCACHEV1.DAT
2010-03-28 02:28 . 2009-12-04 15:05 -------- d-----w- c:\program files\Common Files\Adobe
2010-03-24 14:40 . 2009-12-12 20:53 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-03-24 14:40 . 2009-12-12 20:53 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-03-22 22:34 . 2010-03-22 22:34 -------- d-----w- c:\program files\Archim
2010-03-20 00:50 . 2010-03-10 00:25 -------- d-----w- c:\users\Clarety\AppData\Roaming\Winamp
2010-03-18 14:25 . 2010-03-18 14:25 -------- d-----w- c:\users\Jonathan\AppData\Roaming\Shareaza
2010-03-17 13:23 . 2010-03-17 13:23 -------- d-----w- c:\program files\EmissaoRecibo
2010-03-16 12:53 . 2010-03-16 12:53 -------- d-----w- c:\users\Jonathan\AppData\Roaming\Vono
2010-03-16 12:52 . 2010-03-16 12:52 -------- d-----w- c:\program files\Vono
2010-03-05 14:52 . 2010-03-05 14:52 -------- d-----w- c:\program files\voip
2010-03-05 14:52 . 2009-12-02 12:33 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-26 13:39 . 2010-02-26 13:39 -------- d-----w- c:\users\Jonathan\AppData\Roaming\SmarThru4
2010-02-26 13:39 . 2010-02-26 13:38 -------- d-----w- c:\program files\SmarThru 4
2010-02-26 13:38 . 2010-02-26 13:38 -------- d-----w- c:\program files\Common Files\SRC Shared
2010-02-26 13:38 . 2010-02-26 13:38 -------- d-----w- c:\program files\Readiris10
2010-02-26 13:38 . 2009-12-02 12:33 -------- d-----w- c:\program files\Common Files\InstallShield
2010-02-24 13:16 . 2009-12-02 12:32 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-22 02:36 . 2009-12-02 12:32 -------- d-----w- c:\programdata\Creative
2010-02-03 02:19 . 2010-02-03 02:19 270336 ----a-w- c:\programdata\UOL\lib\plugins\g729.dll
2010-02-03 02:05 . 2010-02-03 02:05 167936 ----a-w- c:\programdata\UOL\lib\fotoblog-1.0.0.3.dll
2010-02-02 07:45 . 2010-02-23 20:11 2048 ----a-w- c:\windows\system32\tzres.dll
2010-01-22 17:18 . 2010-01-22 17:18 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\users\Clarety\AppData\Local\temp ----

2010-04-21 23:50 . 2010-04-21 23:50 1448 ----a-w- c:\users\Clarety\AppData\Local\temp\wmplog02.sqm
2010-04-21 23:50 . 2010-04-21 23:50 406 ----a-w- c:\users\Clarety\AppData\Local\temp\wmsetup.log
2010-04-21 23:38 . 2010-04-21 23:38 2439 ----a-w- c:\users\Clarety\AppData\Local\temp\MessengerCache\+5n2FKTr25V4pxfjyKnSbbMxVvxc=
2010-04-21 23:37 . 2010-04-21 23:37 1404 ----a-w- c:\users\Clarety\AppData\Local\temp\wmplog01.sqm
2010-04-21 23:34 . 2010-04-21 23:34 1285 ----atw- c:\users\Clarety\AppData\Local\temp\MARCDF9.tmp
2010-04-21 23:34 . 2010-04-21 23:34 1313 ----atw- c:\users\Clarety\AppData\Local\temp\MARCDB9.tmp
2010-04-21 13:25 . 2010-04-21 13:25 25779 ----a-w- c:\users\Clarety\AppData\Local\temp\MessengerCache\uwJZUYKqkP6tBbMR0PadVcued6Q=
2010-04-21 13:01 . 2010-04-21 13:01 1404 ----a-w- c:\users\Clarety\AppData\Local\temp\wmplog00.sqm
2010-04-21 12:45 . 2010-04-21 23:39 802 ----a-w- c:\users\Clarety\AppData\Local\temp\jusched.log
2010-04-21 12:40 . 2010-04-21 12:40 1285 ----atw- c:\users\Clarety\AppData\Local\temp\MAREB1A.tmp
2010-04-21 12:40 . 2010-04-21 12:40 1313 ----atw- c:\users\Clarety\AppData\Local\temp\MAREADA.tmp
2010-04-21 00:08 . 2010-04-21 23:35 8456 ----a-w- c:\users\Clarety\AppData\Local\temp\RedboxLog.txt
2010-04-21 00:08 . 2010-04-21 23:35 936 ----a-w- c:\users\Clarety\AppData\Local\temp\hpqddusr.log
2010-04-21 00:08 . 2010-04-21 00:08 1285 ----atw- c:\users\Clarety\AppData\Local\temp\MAR7A72.tmp
2010-04-21 00:08 . 2010-04-21 00:08 0 ----a-w- c:\users\Clarety\AppData\Local\temp\FXSAPIDebugLogFile.txt
2010-04-21 00:08 . 2010-04-21 00:08 1313 ----atw- c:\users\Clarety\AppData\Local\temp\MAR761D.tmp
2010-04-21 00:08 . 2010-04-21 23:34 2883 ----a-w- c:\users\Clarety\AppData\Local\temp\AdobeARM.log

---- Directory of c:\users\Default\AppData\Local\temp ----


---- Directory of c:\users\Jeniffer\AppData\Local\temp ----

2010-04-21 23:22 . 2010-04-21 23:22 19576 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\b+rGotNDc9E18PVD2FAgYY03WD4M=
2010-04-21 23:08 . 2010-04-21 23:08 28975 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\0eerFNH2G6VJlmLVJYnNVjj5Crc=
2010-04-21 23:04 . 2010-04-21 23:04 2179 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\2FtAc+pyN8PPSeZH3Ew4SUD2F2FwU8=
2010-04-21 22:44 . 2010-04-21 22:44 2996 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\Nj6s+AgGpPkTJEPzk2F+0dFhGEHg=
2010-04-21 22:42 . 2010-04-21 22:42 2209 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\SSmW2FXitgTlsQyAoAqBvl+oskW8=
2010-04-21 22:11 . 2010-04-21 22:11 29049 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\nOxQb6xuHHOl9ap+BpieCL3tVMY=
2010-04-21 22:07 . 2010-04-21 22:07 2626 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\G0qcQATGOewpAFlZKFl9qkIelus=
2010-04-21 21:49 . 2010-04-21 21:49 2617 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\n71UbrmrMkNN64NLWitZGdBq2Fdg=
2010-04-21 21:42 . 2010-04-21 21:42 2417 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\t2FVuqDxtWm8JO7UTyeJCU8IfHpU=
2010-04-21 20:02 . 2010-04-21 21:26 2439 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\+5n2FKTr25V4pxfjyKnSbbMxVvxc=
2010-04-21 17:52 . 2010-04-21 17:52 2301 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\FVcZI2F6V24dkuBcM+u3voyMi9Ms=
2010-04-21 17:12 . 2010-04-21 17:12 2973 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\8Zdr2LItBB0eX0MNyaSAAxnuaD4=
2010-04-21 16:36 . 2010-04-21 16:36 2256 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\zdhP2gAmTmGhDrQrv6hsOwXR6Qk=
2010-04-21 15:46 . 2010-04-21 15:46 26901 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\DwFTlWJSOMXSkbqPlanrtZtzRMQ=
2010-04-21 15:37 . 2010-04-21 22:59 2503 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\0mIWn9JVQ6yXv9Y7glVHcYIY350=
2010-04-21 15:34 . 2010-04-21 15:34 291 ----a-w- c:\users\Jeniffer\AppData\Local\temp\java_install_reg.log
2010-04-21 15:27 . 2010-04-21 23:15 25471 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\57E3Afj9XnPLLl2ov2FRrg8CVUtk=
2010-04-21 14:58 . 2010-04-21 21:49 2899 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\bbtmsLEWzch5nS2FgNAbXmhr+5ug=
2010-04-21 14:58 . 2010-04-21 14:58 28940 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\bqvjqiWaTMtd01UNlrwuBk2Frfq4=
2010-04-21 14:57 . 2010-04-21 21:20 1973 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\YNr94fQ9yD0Ut7UtYgUflj5gNYk=
2010-04-21 14:57 . 2010-04-21 14:57 5390 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\RZW585t5UbA8LqXWQVoT8nYbOYA=
2010-04-21 14:56 . 2010-04-21 14:56 2050 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\4IEINTObZdMwBZuN8rsqytDoBVg=
2010-04-21 14:55 . 2010-04-21 23:01 27535 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\ITKMVbk8e2FO4VSSWBMKtgTtgwis=
2010-04-21 14:37 . 2010-04-21 21:15 11464 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\2qFdhoFucxgqOXrI8l4SxYzIOO4=
2010-04-21 14:37 . 2010-04-21 14:37 16953 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\Ily5JE++O+7V2FVY677QYVVcUY3o=
2010-04-21 14:32 . 2010-04-21 22:50 2565 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\+CTRfhzFdUyefCOUHxxndLb46j4=
2010-04-21 14:18 . 2010-04-21 14:18 28544 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\Fao4KZBlybIcGoJ5B2syXixC9qg=
2010-04-21 14:15 . 2010-04-21 14:15 3062 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\03P5sjyb1Gm9yR8PNMC2yh9CmUE=
2010-04-21 13:58 . 2010-04-21 13:58 1285 ----atw- c:\users\Jeniffer\AppData\Local\temp\MARFF26.tmp
2010-04-21 13:58 . 2010-04-21 13:58 1313 ----atw- c:\users\Jeniffer\AppData\Local\temp\MARFF16.tmp
2010-04-21 01:28 . 2010-04-21 01:28 429 ----a-w- c:\users\Jeniffer\AppData\Local\temp\StructuredQuery.log
2010-04-21 01:27 . 2010-04-21 01:29 22928168 ----a-w- c:\users\Jeniffer\AppData\Local\temp\SkypeSetup.exe
2010-04-21 01:06 . 2010-04-21 21:00 22057 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\Ob+lew1sL2W1vAt62FhIJcWbtAZI=
2010-04-21 00:56 . 2010-04-21 22:18 2336 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\ayDdv2FFnQTx1RSKgcg7x18wPelE=
2010-04-21 00:05 . 2010-04-21 14:50 2174 ----a-w- c:\users\Jeniffer\AppData\Local\temp\MessengerCache\zeEj4zCHiovNiNCt1CjRZ8vYQGo=
2010-04-20 23:46 . 2010-04-21 15:34 1423 ----a-w- c:\users\Jeniffer\AppData\Local\temp\jusched.log
2010-04-20 23:41 . 2010-04-21 13:58 5662 ----a-w- c:\users\Jeniffer\AppData\Local\temp\RedboxLog.txt
2010-04-20 23:41 . 2010-04-21 13:58 624 ----a-w- c:\users\Jeniffer\AppData\Local\temp\hpqddusr.log
2010-04-20 23:41 . 2010-04-20 23:41 1285 ----atw- c:\users\Jeniffer\AppData\Local\temp\MARE776.tmp
2010-04-20 23:41 . 2010-04-20 23:41 1313 ----atw- c:\users\Jeniffer\AppData\Local\temp\MARE746.tmp
2010-04-20 23:41 . 2010-04-20 23:41 0 ----a-w- c:\users\Jeniffer\AppData\Local\temp\FXSAPIDebugLogFile.txt
2010-04-20 23:41 . 2010-04-21 15:16 2691 ----a-w- c:\users\Jeniffer\AppData\Local\temp\AdobeARM.log

---- Directory of c:\users\Jonathan\AppData\Local\temp ----

2010-04-22 01:10 . 2010-04-22 01:10 53248 ----a-w- c:\users\Jonathan\AppData\Local\temp\catchme.dll
2010-04-22 01:04 . 2010-04-22 01:04 429 ----a-w- c:\users\Jonathan\AppData\Local\temp\StructuredQuery.log
2010-04-21 23:58 . 2010-04-21 23:58 1285 ----atw- c:\users\Jonathan\AppData\Local\temp\MAR6A5.tmp
2010-04-21 23:58 . 2010-04-21 23:58 1313 ----atw- c:\users\Jonathan\AppData\Local\temp\MAR5CA.tmp
2010-04-21 00:19 . 2010-04-21 00:19 790 ----a-w- c:\users\Jonathan\AppData\Local\temp\java_install_reg.log
2010-04-20 19:51 . 2010-04-22 00:03 796 ----a-w- c:\users\Jonathan\AppData\Local\temp\jusched.log
2010-04-20 19:46 . 2010-04-21 23:58 5662 ----a-w- c:\users\Jonathan\AppData\Local\temp\RedboxLog.txt
2010-04-20 19:46 . 2010-04-21 23:58 624 ----a-w- c:\users\Jonathan\AppData\Local\temp\hpqddusr.log
2010-04-20 19:46 . 2010-04-20 19:46 1285 ----atw- c:\users\Jonathan\AppData\Local\temp\MARB184.tmp
2010-04-20 19:46 . 2010-04-20 19:46 1313 ----atw- c:\users\Jonathan\AppData\Local\temp\MARB099.tmp
2010-04-20 19:46 . 2010-04-22 00:44 3462 ----a-w- c:\users\Jonathan\AppData\Local\temp\AdobeARM.log
2010-04-20 19:44 . 2010-04-20 19:44 0 ----a-w- c:\users\Jonathan\AppData\Local\temp\FXSAPIDebugLogFile.txt

---- Directory of c:\users\Public\AppData\Local\temp ----



((((((((((((((((((((((((((((( SnapShot_2010-04-20_13.24.33 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-02 12:43 . 2010-04-21 23:59 31496 c:\windows\System32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 04:55 . 2010-04-21 23:59 39260 c:\windows\System32\wdi\BootPerformanceDiagnostics_SystemData.bin
- 2009-07-14 04:55 . 2010-04-20 12:59 39260 c:\windows\System32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2009-12-02 12:08 . 2010-04-22 01:04 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-12-02 12:08 . 2010-04-20 13:00 16384 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-12-02 12:08 . 2010-04-20 13:00 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-12-02 12:08 . 2010-04-22 01:04 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:41 . 2010-04-20 13:00 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:41 . 2010-04-22 01:04 16384 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-12-02 12:16 . 2010-04-20 13:13 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-12-02 12:16 . 2010-04-21 23:58 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-12-02 12:16 . 2010-04-21 23:58 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-12-02 12:16 . 2010-04-20 13:13 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-12-02 12:16 . 2010-04-21 23:58 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-12-02 12:16 . 2010-04-20 13:13 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-12-02 12:16 . 2010-04-20 13:14 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-12-02 12:16 . 2010-04-21 23:58 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-12-02 15:14 . 2010-04-22 01:09 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Temporary Internet Files\Content.IE5\index.dat
- 2009-12-02 15:14 . 2010-04-20 13:03 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Temporary Internet Files\Content.IE5\index.dat
- 2009-12-02 15:14 . 2010-04-20 13:03 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\History\History.IE5\index.dat
+ 2009-12-02 15:14 . 2010-04-22 01:09 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\History\History.IE5\index.dat
+ 2009-12-02 15:14 . 2010-04-22 01:09 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Cookies\index.dat
- 2009-12-02 15:14 . 2010-04-20 13:03 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Temp\Cookies\index.dat
- 2009-12-02 12:16 . 2010-04-20 13:14 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-12-02 12:16 . 2010-04-22 01:09 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-12-02 12:16 . 2010-04-20 13:14 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-12-02 12:16 . 2010-04-21 23:58 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-01-10 13:27 . 2010-04-21 23:36 4400 c:\windows\System32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1200526638-4209332710-2338039383-1004_UserData.bin
+ 2010-01-09 11:47 . 2010-04-21 13:59 3428 c:\windows\System32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1200526638-4209332710-2338039383-1003_UserData.bin
+ 2010-04-21 23:57 . 2010-04-21 23:57 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2010-04-20 13:13 . 2010-04-20 13:13 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2010-04-20 13:13 . 2010-04-20 13:13 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2010-04-21 23:57 . 2010-04-21 23:57 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-07-14 02:05 . 2010-04-20 03:07 606992 c:\windows\System32\perfh009.dat
+ 2009-07-14 02:05 . 2010-04-21 14:24 606992 c:\windows\System32\perfh009.dat
- 2009-07-14 02:05 . 2010-04-20 03:07 103370 c:\windows\System32\perfc009.dat
+ 2009-07-14 02:05 . 2010-04-21 14:24 103370 c:\windows\System32\perfc009.dat
- 2009-12-02 12:18 . 2010-04-19 16:40 245760 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
+ 2009-12-02 12:18 . 2010-04-22 01:04 245760 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
+ 2010-04-21 01:30 . 2010-04-21 01:30 371272 c:\windows\Installer\{D103C4BA-F905-437A-8049-DB24763BBE36}\SkypeIcon.exe
- 2010-03-30 11:07 . 2010-03-30 11:07 371272 c:\windows\Installer\{D103C4BA-F905-437A-8049-DB24763BBE36}\SkypeIcon.exe
- 2009-07-14 02:03 . 2010-04-19 17:49 6815744 c:\windows\System32\SMI\Store\Machine\SCHEMA.DAT
+ 2009-07-14 02:03 . 2010-04-22 00:08 6815744 c:\windows\System32\SMI\Store\Machine\SCHEMA.DAT
+ 2010-04-21 01:29 . 2010-04-21 01:29 19844096 c:\windows\Installer\13afcb4.msi
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-01-25 3883840]
"7 Taskbar Tweaker"="c:\users\Jonathan\Downloads\7_Taskbar_Tweaker\7 Taskbar Tweaker.exe" [2009-10-28 68608]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-04-06 26102056]
".IAP{0000.0000.0000.0001}"="c:\program files\Vono\Softfone Vono\System\Vono.exe" [2010-03-16 2135713]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"P17RunE"="P17RunE.dll" [2008-03-28 14848]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-03-24 282792]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2009-10-10 614400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-01-22 149280]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-12-18 39424]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528]

c:\users\Jonathan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Mozilla Thunderbird.lnk - c:\program files\Mozilla Thunderbird\thunderbird.exe [2009-12-2 8319560]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-20 270336]
PhoneMidServerUI.lnk - c:\program files\voip\voip platform\Bin\PhoneMIdServerUI.exe [2010-3-5 315497]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

R2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files\Avira\AntiVir Desktop\avmailc.exe [2010-04-19 337064]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files\Avira\AntiVir Desktop\AVWEBGRD.EXE [2010-04-19 405672]
R2 Vono_Manager;Vono Manager;c:\program files\Vono\Softfone Vono\System\Vono Manager.exe [2010-03-16 102400]
R3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [2009-12-02 79360]
R3 WatAdminSvc;Serviço de Tecnologias de Ativação do Windows;c:\windows\system32\Wat\WatAdminSvc.exe [2010-02-24 1343400]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 20992]
S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-03-24 135336]
S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys [2008-01-24 5120]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
------- Scan Suplementar -------
.
IE: E&xportar para o Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: SmarThru4 Capturar seleção - c:\program files\SmarThru 4\WebCapture.dll2.htm
IE: SmarThru4 Capture Selection - c:\program files\SmarThru 4\WebCapture.dll2.htm
IE: SmarThru4 Salvar como HTML - c:\program files\SmarThru 4\WebCapture.dll1.htm
IE: SmarThru4 Salvar texto selecionado - c:\program files\SmarThru 4\WebCapture.dll.htm
IE: SmarThru4 Save as HTML - c:\program files\SmarThru 4\WebCapture.dll1.htm
IE: SmarThru4 Save Selected Text - c:\program files\SmarThru 4\WebCapture.dll.htm
IE: SmarThru4 Web Capture - c:\program files\SmarThru 4\WebCapture.dll
LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - c:\users\Jonathan\AppData\Roaming\Mozilla\Firefox\Profiles\0u334xjn.default\
FF - prefs.js: browser.startup.homepage - www.uol.com.br
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\users\Jonathan\AppData\Roaming\Mozilla\Firefox\Profiles\0u334xjn.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E886D}\components\GbMzhCef.dll
FF - component: c:\users\Jonathan\AppData\Roaming\Mozilla\Firefox\Profiles\0u334xjn.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E8874}\components\GbMzhAbn.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: c:\programdata\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Tempo para conclusão: 2010-04-21 22:20:25
ComboFix-quarantined-files.txt 2010-04-22 01:20
ComboFix2.txt 2010-04-20 19:44
ComboFix3.txt 2010-04-20 13:26
ComboFix4.txt 2010-04-12 20:37

Pré-execução: 97.922.703.360 bytes disponíveis
Pós execução: 97.932.398.592 bytes disponíveis

- - End Of File - - 5A52B0B7B545EEACF165CCFB418A2EE7

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:23:35, on 21/04/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\Samsung\PanelMgr\SSMMgr.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Users\Jonathan\Downloads\7_Taskbar_Tweaker\7 Taskbar Tweaker.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Vono\Softfone Vono\System\Vono.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\voip\voip platform\Bin\PhoneMIdServerUI.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [P17RunE] RunDll32 P17RunE.dll,RunDLLEntry
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [7 Taskbar Tweaker] "C:\Users\Jonathan\Downloads\7_Taskbar_Tweaker\7 Taskbar Tweaker.exe" -hidewnd -hidetray
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [.IAP{0000.0000.0000.0001}] "C:\Program Files\Vono\Softfone Vono\System\Vono.exe" /quiet
O4 - Startup: Mozilla Thunderbird.lnk = C:\Program Files\Mozilla Thunderbird\thunderbird.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: PhoneMidServerUI.lnk = ?
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: SmarThru4 Capturar seleção - C:\Program Files\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Capture Selection - C:\Program Files\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Salvar como HTML - C:\Program Files\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: SmarThru4 Salvar texto selecionado - C:\Program Files\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Save as HTML - C:\Program Files\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: SmarThru4 Save Selected Text - C:\Program Files\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Web Capture - C:\Program Files\SmarThru 4\WebCapture.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Capturar seleção - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Capturar seleção - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Salvar como HTML - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Salvar como HTML - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Salvar texto selecionado - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Salvar texto selecionado - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Program Files\SmarThru 4\WebCapture.dll (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15110/CTPID.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\Windows\SYSTEM32\slserv.exe
O23 - Service: Vono Manager (Vono_Manager) - - C:\Program Files\Vono\Softfone Vono\System\Vono Manager.exe

--
End of file - 8465 bytes

 

[Megadeeth]

Faaaala Mestre tdo na paz irmao???? faiz um tempinho bão q eu ñ posto por aki mais agora to na facul e trampando e ai o hr complica neh!!!!!!!

Mais Mestre gostaria de tirar algumas duvidas com vc!!!!!

Eu to usando akele Vmware sabe??? faiz um tempinho jah e to querendo baixar alguns virus nele pra ver como eh nunca fiz isso.Eh seguro msm?????

E outra to querendo tbm analisar o virus.Eu ñ tenho a minima noçao de como analisar um virus nem sei se vou conseguir um virus tranquilo pq se for akeles dificeis eu vou deixa queto hauahauehaua!!!!!

Vc q manja tdo poderia me dizer um dakeles kit basico pra analisar um virus assim??? bem basico msm sem dificuldade.Soh pra mim ter uma noçao.

Mto obrigado Mestre

Um abraçao e tdo de bom

 

[Mr.Wolf]

Boa tarde pessoal


Rodrimack, o ComboFix agora 'otimiza' o sistema, por isso está mais rápido. Porém, se executado sem necessidade pode causar um efeito contrário. Não estou dizendo que você não deve executá-lo, amigo Rodrimack, embora não seja aconselhado usá-lo sem supervisão, vai da consciência de cada usuário. Muitos acham que é "besteira" quando eu digo isso, mas é só ler atentamente este texto abaixo:

http://www.bleepingcomputer.com/forums/topic273628.html

Nele, é explicado os motivos da não recomendação da ferramenta sem orientação. Apesar de estar em Inglês, é de fácil entendimento. Destaco o seguinte trecho da explicação:

... CF does make some alterations to your system if you run it. Even if you had no malware removed and run the uninstall command, some things may be different now on your system. I can tell you that one thing is that all your restore points will be flushed out and a new one created. There is a good reason to do that when you have a severe infection--but if you aren't infected you might need those restore points.

"O ComboFix faz algumas alterações em seu sistema se você executa-o. Mesmo que você não tenha removido o malware e executa o comando de desinstalação, algumas coisas podem estar diferentes agora em seu sistema. Posso lhe dizer que uma das coisa é que todos os seus pontos de restauração serão excluídos e um novo ponto será criado. Há uma ótima razão para ele fazer isto quando você tem uma infecção grave - mas se você não está infectado, pode precisar desses pontos de restauração."

Quanto ao arquivo removido, ele é usado, geralmente, pela restauração do sistema. No entanto, se seu PC não demonstrou nenhuma anomalia, não se preocupe. Se fosse para dar algum problema, daria logo após o PC reiniciar.

De qualquer forma, fique a vontade para postar os logs do GMER e do Sophos, se quiser, Rodrimack.

______________________________________


Jonathan, seus logs estão limpos.

Vá em Iniciar > Executar, digite Combofix /Uninstall e dê um OK para desinstalá-lo. Se restar alguma pasta ou log dele em C:, delete.

Algum problema ainda amigo?

______________________________________


Megadeeth, se o VMware estiver configurado e atualizado corretamente, sim, é seguro. O ideal é deixar configurado como Bridge, ao invés de NAT.

Um kit básico para análise de um malware, seria mais ou menos isso:

Ferramentas da SysInternals - analisam o estado do sistema e podem informar, até mesmo remover, os códigos maliciosos
Ferramentas da Foundstone da McAfee - analisam o comportamento do sistema com o vírus/malware em execução
Ferramentas IDA Pro - para obter o código assembly do malware
TCPDump - para coletar o tráfego de rede gerado pelo malware (em casos de worms, trojans downloader, backdoors e rootkits)
RegShot - analisa todas as modificações feitas pelo malware no registro do Windows
InstallWatch ou SpyMe Tools - analisam as modificações feitas pelo malware no sistema, como: criação de pastas, arquivos, modificação em arquivos legítimos (somente .exe), etc

Este kit é bem básico mesmo. As ferramentas que fabricantes de anti-malwares utilizam são muito mais avançadas. Na Malwarebytes e com o ComboFix, por exemplo, usamos ferramentas próprias, isto é, criadas pela equipe, logo, não estão disponíveis para download na web.

Todavia, como você está começando a fazer isso, recomendaria apenas o RegShot e o InstallWatch, para ver as mudanças ocorrentes no registro e no sistema. Além disso, ambas são de simples manuseio também.

 

[Brenow-Kenpachi]

Opa Mr Wolf desculpa a demora pra responder,mas acabei conseguindo resolver o problema,baixando um outro programa anti-malware chamado SegMo,por fim troquei de senha e meu msn esta funcionando normalmente.

Muito obrigado pela ajuda Mr Wolf!

abraço

 

[Megadeeth]

Megadeeth, se o VMware estiver configurado e atualizado corretamente, sim, é seguro. O ideal é deixar configurado como Bridge, ao invés de NAT.

Um kit básico para análise de um malware, seria mais ou menos isso:

Ferramentas da SysInternals - analisam o estado do sistema e podem informar, até mesmo remover, os códigos maliciosos
Ferramentas da Foundstone da McAfee - analisam o comportamento do sistema com o vírus/malware em execução
Ferramentas IDA Pro - para obter o código assembly do malware
TCPDump - para coletar o tráfego de rede gerado pelo malware (em casos de worms, trojans downloader, backdoors e rootkits)
RegShot - analisa todas as modificações feitas pelo malware no registro do Windows
InstallWatch ou SpyMe Tools - analisam as modificações feitas pelo malware no sistema, como: criação de pastas, arquivos, modificação em arquivos legítimos (somente .exe), etc

Este kit é bem básico mesmo. As ferramentas que fabricantes de anti-malwares utilizam são muito mais avançadas. Na Malwarebytes e com o ComboFix, por exemplo, usamos ferramentas próprias, isto é, criadas pela equipe, logo, não estão disponíveis para download na web.

Todavia, como você está começando a fazer isso, recomendaria apenas o RegShot e o InstallWatch, para ver as mudanças ocorrentes no registro e no sistema. Além disso, ambas são de simples manuseio também.

Uauuuuuuu

Vlw Mestre

Ajudou d+!!!! hj na hr q chegar em ksa vou dar uma conferida nessas ferramentas ae q vc me passou.

Eu axo q meu vmware ta como nat vou ve se consigo coloca em brodge como vc falo.Se eu n conseguir vc pode me ajudar??? por favor

To ansioso pra testa um virus nunca fiz e nem sei como vou acha um,me diz um lugar cheio de virus ae Mestre Wolf??? hauahaua

Mto obrigado mesmo Mestre.Vou usar la e depois posto aki q qdeu

Um abraçao e tdo de bom contigo irmaozao !!!!!!!!

 

[Rodrimack]

Boa tarde pessoal


Rodrimack, o ComboFix agora 'otimiza' o sistema, por isso está mais rápido. Porém, se executado sem necessidade pode causar um efeito contrário. Não estou dizendo que você não deve executá-lo, amigo Rodrimack, embora não seja aconselhado usá-lo sem supervisão, vai da consciência de cada usuário. Muitos acham que é "besteira" quando eu digo isso, mas é só ler atentamente este texto abaixo:

http://www.bleepingcomputer.com/forums/topic273628.html

Nele, é explicado os motivos da não recomendação da ferramenta sem orientação. Apesar de estar em Inglês, é de fácil entendimento. Destaco o seguinte trecho da explicação:


"O ComboFix faz algumas alterações em seu sistema se você executa-o. Mesmo que você não tenha removido o malware e executa o comando de desinstalação, algumas coisas podem estar diferentes agora em seu sistema. Posso lhe dizer que uma das coisa é que todos os seus pontos de restauração serão excluídos e um novo ponto será criado. Há uma ótima razão para ele fazer isto quando você tem uma infecção grave - mas se você não está infectado, pode precisar desses pontos de restauração."

Quanto ao arquivo removido, ele é usado, geralmente, pela restauração do sistema. No entanto, se seu PC não demonstrou nenhuma anomalia, não se preocupe. Se fosse para dar algum problema, daria logo após o PC reiniciar.

De qualquer forma, fique a vontade para postar os logs do GMER e do Sophos, se quiser, Rodrimack.

Boa Noite!

Mr.Wolf pelo que entendi se o PC não estiver infectado por algum vírus utilizando o combofix vai apagar algum arquivo de sistema ou algo do tipo?

 

[Jonathan]

Jonathan, seus logs estão limpos.

Vá em Iniciar > Executar, digite Combofix /Uninstall e dê um OK para desinstalá-lo. Se restar alguma pasta ou log dele em C:, delete.

Algum problema ainda amigo?

Mr.Wolf. Muito obrigado, sem problemas, agora está tudo ok.

Abraço

 

[Megadeeth]

Faaala Mestre blz???

Siguinte eu consegui por o bridge no meu vmware e ontem de madruga com mtoooooooo custo consegui baixar um virus hauahHAUAHAU!!!!!!!!! parece q quando a gnt quer pegar um virus eh dificil e qndo a gnt nao quer o virus instala de tdos os jeitos neh???

Mais tem um problema eu coloquei o virus la no vmware mais ele ta bloqueando tdo,nem na pasta onde ele ta eu consigo entrar.Mais dai usei o regshot e o installwatch como vc disse e vi algumas mudanças q o virus feiz no registro.Eh legal d+++ saber o q ele mudou.

Ñ tem um jeito de neltralizar esse virus ñ??? hauahau brincar com virus eh mtoo mais dificil do q eu pensava viu O.O ^^

Soh quero agradecer denovo as dicas das ferramentas Mr.Obrigado por compartilhar seu grande conhecimento com n00bs como eu

To curtindo mtooo esse negocio de analisar virus.Axo q nunca vou chegar ao seu nivel de conhecimento mais vou buscar o maximo de mim neh??

Um abraçao Mestreee Wolf e bom fds des de jah

 

[lukox]

Vou postar os Log aqui para para você Mr.Wolf, não consegui Anexar eles :s

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-21 21:32:44
Windows 5.1.2600 Service Pack 3
Running: s7oe4e1d.exe; Driver: C:\DOCUME~1\User\CONFIG~1\Temp\kxtdapob.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF506BC08]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF506BAC4]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xF506C078]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF506BFA2]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF506B69A]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF506BB9E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF506B5DA]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF506B63E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF506BCBE]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xF506C146]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF506BC7E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF506BDFE]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xF507850A]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xF507832E]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xF5078468]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject

---- Kernel code sections - GMER 1.0.15 ----

PAGE ntoskrnl.exe!ObInsertObject 8056503A 5 Bytes JMP F507597E \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntoskrnl.exe!NtCreateSection 805652B3 7 Bytes JMP F5078332 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntoskrnl.exe!SeAuditingFileEventsWithContext + 3D 805683FA 7 Bytes JMP 84F52320
PAGE ntoskrnl.exe!ZwCreateProcessEx 8057FC60 7 Bytes JMP F507850E \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntoskrnl.exe!ObMakeTemporaryObject 8059F84D 5 Bytes JMP F50744AA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntoskrnl.exe!ZwLoadDriver 805A3AF1 7 Bytes JMP F507846C \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)

---- User code sections - GMER 1.0.15 ----

.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] kernel32.dll!LoadResource 7C80A045 7 Bytes JMP 28001E20 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] kernel32.dll!FindResourceExW 7C80AD18 7 Bytes JMP 28001C60 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] kernel32.dll!FindResourceW 7C80BC5E 7 Bytes JMP 28001BE0 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] kernel32.dll!SizeofResource 7C80BCF9 7 Bytes JMP 28001EE0 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] kernel32.dll!FindResourceA 7C80BF19 7 Bytes JMP 28001CF0 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] kernel32.dll!LockResource 7C80CD27 5 Bytes JMP 28001F50 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] kernel32.dll!CreateEventA 7C83089D 5 Bytes JMP 28001840 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] kernel32.dll!FindResourceExA 7C835F90 7 Bytes JMP 28001D80 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] ADVAPI32.dll!CryptDeriveKey 77F69FDD 7 Bytes JMP 28001000 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] ADVAPI32.dll!CryptDecrypt 77F6A109 7 Bytes JMP 28001060 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] USER32.dll!GetWindowLongW 7E3688A6 7 Bytes JMP 28006A70 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] USER32.dll!PeekMessageW 7E36929B 5 Bytes JMP 28004630 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] USER32.dll!SetWindowPlacement 7E36DE46 5 Bytes JMP 28005E10 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] USER32.dll!CreateDialogParamW 7E36EA3B 5 Bytes JMP 28006090 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] USER32.dll!LoadImageW 7E377B97 5 Bytes JMP 280066E0 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 28003C60 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] USER32.dll!SetWindowRgn 7E37E528 7 Bytes JMP 28005F50 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] USER32.dll!LoadIconW 7E37E8BC 5 Bytes JMP 280068D0 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 28006280 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] USER32.dll!TrackPopupMenuEx 7E3BCF62 5 Bytes JMP 28004F10 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] WS2_32.dll!closesocket 71A73E2B 5 Bytes JMP 2800B8C0 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] WS2_32.dll!send 71A74C27 5 Bytes JMP 2800B4A0 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] WS2_32.dll!WSARecv 71A74CB5 5 Bytes JMP 2800B280 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] WS2_32.dll!recv 71A7676F 5 Bytes JMP 2800B0E0 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] WS2_32.dll!WSASend 71A768FA 5 Bytes JMP 2800B680 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] SHELL32.dll!Shell_NotifyIconW 7CA2A52F 5 Bytes JMP 280033B0 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] ole32.dll!CoInitializeEx 774DEF7B 5 Bytes JMP 28002260 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] ole32.dll!CoCreateInstance 774E057E 5 Bytes JMP 28002600 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] ole32.dll!CoRegisterClassObject 774F7E90 5 Bytes JMP 28002360 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] WININET.dll!HttpOpenRequestA 630187BC 5 Bytes JMP 28009F00 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] WININET.dll!InternetReadFile 6301AC9D 5 Bytes JMP 2800A090 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] WININET.dll!InternetCloseHandle 63020A61 5 Bytes JMP 2800A240 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe[1860] WININET.dll!HttpSendRequestA 6302E822 5 Bytes JMP 2800A170 C:\Arquivos de programas\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Arquivos de programas\Teamspeak2_RC2\TeamSpeak.exe[5464] kernel32.dll!LoadLibraryExW 7C801AF5 6 Bytes JMP 5F070F5A
.text C:\Arquivos de programas\Teamspeak2_RC2\TeamSpeak.exe[5464] kernel32.dll!CreateMutexA 7C80E9CF 6 Bytes JMP 5F040F5A
.text C:\Arquivos de programas\Tibia\Tibia.exe[6120] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 10044AD0 c:\windows\elf_key.dll

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[680] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00380002
IAT C:\WINDOWS\system32\services.exe[680] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00380000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----

Logfile of random's system information tool 1.06 (written by random/random)
Run by User at 2010-04-24 07:40:16
Microsoft Windows XP Professional Service Pack 3
System drive C: has 67 GB (87%) free of 76 GB
Total RAM: 479 MB (14% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:40:36, on 24/4/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe
C:\ARQUIV~1\ALWILS~1\Avast5\avastUI.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Tibia\Tibia.exe
C:\Arquivos de programas\Teamspeak2_RC2\TeamSpeak.exe
C:\Arquivos de programas\Asprate\Tibia MULTI-ip changer.exe
C:\Documents and Settings\User\Desktop\RSIT.exe
C:\Arquivos de programas\Trend Micro\HijackThis\User.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60347
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60347
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: DVDVideoSoft Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Arquivos de programas\DVDVideoSoft\tbDVDV.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7FE393D6-2A55-4BCF-9588-78A89F9A49FF} - c:\windows\system32\lbycdxv.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: DVDVideoSoft Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Arquivos de programas\DVDVideoSoft\tbDVDV.dll
O3 - Toolbar: DVDVideoSoft Toolbar - {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - C:\Arquivos de programas\DVDVideoSoft\tbDVDV.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avast5] C:\ARQUIV~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKCU\..\Run: [ccleaner] "C:\Arquivos de programas\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Arquivos de programas\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Arquivos de programas\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CBE0016-319E-45D1-BF51-CDB4AFB448F8}: NameServer = 200.204.0.10 200.204.0.138
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: c:\windows\elf_key.dll
O20 - Winlogon Notify: LogonInit - logonInit.dll (file missing)
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

--
End of file - 6323 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\User_Feed_Synchronization-{3524EB50-70AB-4CE6-9F32-9D03C5F05BEB}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-26 2210608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7FE393D6-2A55-4BCF-9588-78A89F9A49FF}]
c:\windows\system32\lbycdxv.dll [2001-10-28 109568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Auxiliar de Conexão do Windows Live - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll [2010-03-20 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2010-03-20 79648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}]
DVDVideoSoft Toolbar - C:\Arquivos de programas\DVDVideoSoft\tbDVDV.dll [2009-12-31 2349080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - DVDVideoSoft Toolbar - C:\Arquivos de programas\DVDVideoSoft\tbDVDV.dll [2009-12-31 2349080]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe [2010-02-18 248040]
"avast5"=C:\ARQUIV~1\ALWILS~1\Avast5\avastUI.exe [2010-04-14 2790472]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"=C:\Arquivos de programas\CCleaner\ccleaner.exe [2008-10-23 1336560]
"msnmsgr"=C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe [2006-09-13 139264]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-26 31016]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883840]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe [2006-01-12 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
C:\WINDOWS\sm56hlpr.exe [2004-06-14 569344]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Discador iG.lnk]
C:\ARQUIV~1\iG\Discador.exe [2008-12-15 480768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="c:\windows\elf_key.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LogonInit]
C:\Arquivos de programas\Arquivos comuns\logonInit.dll [2010-04-16 27958]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-26 2210608]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"C:\Arquivos de programas\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Arquivos de programas\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Arquivos de programas\Microsoft Office\Office12\GROOVE.EXE"="C:\Arquivos de programas\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Arquivos de programas\Microsoft Office\Office12\ONENOTE.EXE"="C:\Arquivos de programas\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe"="C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe"="C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Arquivos de programas\Messenger\msmsgs.exe"="C:\Arquivos de programas\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Arquivos de programas\Magebot\server.exe"="C:\Arquivos de programas\Magebot\server.exe:*:Enabled:server"
"C:\Arquivos de programas\Tibia\Tibia.exe"="C:\Arquivos de programas\Tibia\Tibia.exe:*:Enabled:Tibia Player"
"C:\Arquivos de programas\ElfBot NG\navserv.exe"="C:\Arquivos de programas\ElfBot NG\navserv.exe:*:Enabled:navserv"
"C:\Arquivos de programas\tibia 8.54\Tibia\Tibia.exe"="C:\Arquivos de programas\tibia 8.54\Tibia\Tibia.exe:*:Enabled:Tibia Player"
"C:\Arquivos de programas\Ventrilo\Ventrilo.exe"="C:\Arquivos de programas\Ventrilo\Ventrilo.exe:*:Enabled:Ventrilo.exe"
"C:\Arquivos de programas\mb 8.54\Magebot\server.exe"="C:\Arquivos de programas\mb 8.54\Magebot\server.exe:*:Enabled:server"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\Arquivos de programas\tibia 8.4\Tibia\Tibia.exe"="C:\Arquivos de programas\tibia 8.4\Tibia\Tibia.exe:*:Enabled:Tibia Player"
"C:\Arquivos de programas\tibia 8.55\Tibia\Tibia.exe"="C:\Arquivos de programas\tibia 8.55\Tibia\Tibia.exe:*:Enabled:Tibia Player"
"C:\Arquivos de programas\tibia 8.41\Tibia\Tibia.exe"="C:\Arquivos de programas\tibia 8.41\Tibia\Tibia.exe:*:Enabled:Tibia Player"
"C:\Arquivos de programas\Mozilla Firefox\firefox.exe"="C:\Arquivos de programas\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\WINDOWS\explorer.exe"="C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe"="C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe"="C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

======List of files/folders created in the last 1 months======

2010-04-24 07:40:16 ----D---- C:\rsit
2010-04-24 07:24:05 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-04-23 22:06:29 ----A---- C:\pipeteam3432.txt
2010-04-22 13:18:38 ----A---- C:\WINDOWS\system32\SPORDER.DLL
2010-04-22 13:18:38 ----A---- C:\WINDOWS\system32\PrxerNsp.dll
2010-04-22 13:18:38 ----A---- C:\WINDOWS\system32\PrxerDrv.dll
2010-04-22 13:18:37 ----D---- C:\Arquivos de programas\Proxifier
2010-04-22 13:09:02 ----D---- C:\proxy
2010-04-21 22:11:33 ----AD---- C:\Documents and Settings\All Users\Dados de aplicativos\TEMP
2010-04-21 16:53:23 ----A---- C:\pipechat5984.txt
2010-04-21 15:20:23 ----A---- C:\pipechat4624.txt
2010-04-20 12:39:03 ----D---- C:\Documents and Settings\User\Dados de aplicativos\Malwarebytes
2010-04-20 12:38:43 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Malwarebytes
2010-04-20 12:38:40 ----D---- C:\Arquivos de programas\Malwarebytes' Anti-Malware
2010-04-19 13:22:57 ----D---- C:\Arquivos de programas\Telefonica
2010-04-19 13:22:16 ----A---- C:\WINDOWS\system32\msxml4r.dll
2010-04-19 13:22:16 ----A---- C:\WINDOWS\system32\msxml4a.dll
2010-04-19 13:22:16 ----A---- C:\WINDOWS\system32\msxml4.dll
2010-04-19 13:22:16 ----A---- C:\WINDOWS\system32\msxml3a.dll
2010-04-18 20:16:52 ----A---- C:\pipechat4284.txt
2010-04-16 16:50:18 ----A---- C:\WINDOWS\system32\aswBoot.exe
2010-04-16 16:50:05 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Alwil Software
2010-04-16 15:14:51 ----A---- C:\Arquivos de programas\Arquivos comuns\logonInit.dll
2010-04-16 13:53:24 ----D---- C:\Arquivos de programas\AVG
2010-04-16 13:52:45 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\avg9
2010-04-15 14:05:09 ----A---- C:\pipeteam2080.txt
2010-04-15 13:41:40 ----A---- C:\pipeteam3600.txt
2010-04-15 00:27:32 ----A---- C:\pipechat2380.txt
2010-04-14 12:32:25 ----A---- C:\Arquivos de programas\Arquivos comuns\userInit.dll
2010-04-12 13:02:46 ----A---- C:\pipeteam3388.txt
2010-04-11 00:50:24 ----SHD---- C:\RECYCLER
2010-04-11 00:47:05 ----A---- C:\ComboFix.txt
2010-04-10 00:06:02 ----A---- C:\mbr.exe
2010-04-08 22:20:54 ----A---- C:\RootRepeal report 04-08-10 (22-20-54).txt
2010-04-08 21:39:12 ----D---- C:\WINDOWS\temp
2010-04-07 23:19:09 ----A---- C:\Boot.bak
2010-04-07 23:18:47 ----RASHD---- C:\cmdcons
2010-04-07 23:09:37 ----A---- C:\WINDOWS\zip.exe
2010-04-07 23:09:37 ----A---- C:\WINDOWS\SWXCACLS.exe
2010-04-07 23:09:37 ----A---- C:\WINDOWS\SWSC.exe
2010-04-07 23:09:37 ----A---- C:\WINDOWS\SWREG.exe
2010-04-07 23:09:37 ----A---- C:\WINDOWS\sed.exe
2010-04-07 23:09:37 ----A---- C:\WINDOWS\PEV.exe
2010-04-07 23:09:37 ----A---- C:\WINDOWS\NIRCMD.exe
2010-04-07 23:09:37 ----A---- C:\WINDOWS\MBR.exe
2010-04-07 23:09:37 ----A---- C:\WINDOWS\grep.exe
2010-04-07 23:08:43 ----D---- C:\WINDOWS\ERDNT
2010-04-07 23:05:01 ----D---- C:\Qoobox
2010-04-07 20:36:21 ----A---- C:\TB.txt
2010-04-05 00:56:14 ----A---- C:\pipeteam9256.txt
2010-04-04 16:00:31 ----A---- C:\pipeteam5512.txt
2010-04-03 12:49:48 ----A---- C:\pipeteam508.txt
2010-04-03 00:10:06 ----A---- C:\pipeteam1024.txt
2010-04-02 11:19:46 ----A---- C:\pipeteam1812.txt
2010-03-28 18:43:50 ----A---- C:\pipeteam3804.txt
2010-03-27 22:05:34 ----D---- C:\Documents and Settings\User\Dados de aplicativos\Tibiacast

======List of files/folders modified in the last 1 months======

2010-04-24 07:40:33 ----D---- C:\WINDOWS\Prefetch
2010-04-24 07:25:26 ----D---- C:\WINDOWS\system32
2010-04-24 07:25:05 ----D---- C:\Arquivos de programas\Mozilla Firefox
2010-04-24 07:24:28 ----D---- C:\WINDOWS
2010-04-24 07:24:18 ----SHD---- C:\System Volume Information
2010-04-24 07:24:18 ----D---- C:\WINDOWS\system32\Restore
2010-04-23 23:35:36 ----D---- C:\Documents and Settings\User\Dados de aplicativos\teamspeak2
2010-04-23 20:10:20 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-04-23 14:00:03 ----D---- C:\Arquivos de programas\Asprate
2010-04-23 12:37:53 ----D---- C:\Documents and Settings\User\Dados de aplicativos\Tibia
2010-04-22 13:18:37 ----RD---- C:\Arquivos de programas
2010-04-21 22:11:14 ----A---- C:\WINDOWS\elf_key.dll
2010-04-21 22:11:13 ----A---- C:\WINDOWS\elfbot_key.txt
2010-04-20 12:38:49 ----D---- C:\WINDOWS\system32\drivers
2010-04-20 11:52:07 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-04-19 13:28:00 ----SD---- C:\Documents and Settings\User\Dados de aplicativos\Microsoft
2010-04-19 13:27:43 ----HD---- C:\WINDOWS\inf
2010-04-17 13:03:27 ----D---- C:\Arquivos de programas\ElfBot NG
2010-04-17 12:40:55 ----A---- C:\WINDOWS\NeroDigital.ini
2010-04-16 16:51:13 ----SHD---- C:\WINDOWS\Installer
2010-04-16 16:51:11 ----D---- C:\WINDOWS\WinSxS
2010-04-16 16:50:05 ----D---- C:\Arquivos de programas\Alwil Software
2010-04-16 15:14:51 ----D---- C:\Arquivos de programas\Arquivos comuns
2010-04-16 15:14:46 ----D---- C:\Arquivos de programas\Elfbot 8.54
2010-04-13 00:04:02 ----D---- C:\Arquivos de programas\Teamspeak2_RC2
2010-04-12 22:46:17 ----D---- C:\Arquivos de programas\Magebot
2010-04-11 00:44:00 ----A---- C:\WINDOWS\system.ini
2010-04-11 00:40:44 ----D---- C:\WINDOWS\AppPatch
2010-04-08 00:06:15 ----D---- C:\Documents and Settings\User\Dados de aplicativos\LimeWire
2010-04-07 23:50:57 ----D---- C:\WINDOWS\system32\config
2010-04-07 23:49:03 ----SD---- C:\WINDOWS\Tasks
2010-04-07 23:48:35 ----D---- C:\Arquivos de programas\Internet Explorer
2010-04-07 23:19:11 ----RASH---- C:\boot.ini
2010-03-27 22:04:32 ----D---- C:\Arquivos de programas\Tibiacast

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2010-04-14 28880]
R1 AmdK7;AMD K7 Processor Driver; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2008-04-13 41856]
R1 aswSP;aswSP; C:\WINDOWS\system32\drivers\aswSP.sys [2010-04-14 162768]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2010-04-14 46672]
R1 WS2IFSL;Ambiente de suporte a provedores de serviços não-IFS do Windows Socket 2.0; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-10-28 12032]
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\drivers\aswFsBlk.sys [2010-04-14 19024]
R2 aswMon2;aswMon2; C:\WINDOWS\system32\drivers\aswMon2.sys [2010-04-14 100432]
R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2010-04-14 23376]
R3 FETNDIS;VIA PCI 10/100Mb Fast Ethernet Adapter NT Driver; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
R3 HidUsb;Driver de classe HID da Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 MODEMCSA;Dispositivo de filtro de fluxo unimodem; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]
R3 mouhid;Mouse HID Driver; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-09-05 12288]
R3 S3SavageNB;S3SavageNB; C:\WINDOWS\system32\DRIVERS\s3gnbm.sys [2008-04-13 166912]
R3 smserial;smserial; C:\WINDOWS\system32\DRIVERS\smserial.sys [2004-06-14 923570]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2 Enabled Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 VIAudio;Vinyl AC'97 Audio Controller (WDM); C:\WINDOWS\system32\drivers\vinyl97.sys [2005-08-03 202112]
S3 catchme;catchme; \??\C:\DOCUME~1\User\CONFIG~1\Temp\catchme.sys []
S3 USBSTOR;USB Mass Storage Driver; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 avast! Antivirus;avast! Antivirus; C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe [2010-04-14 40384]
R2 JavaQuickStarterService;Java Quick Starter; C:\Arquivos de programas\Java\jre6\bin\jqs.exe [2010-03-20 153376]
R2 jofaiffg; de fragmento de código de áudioHelper; C:\WINDOWS\System32\svchost.exe [2008-04-13 14336]
R3 avast! Web Scanner;avast! Web Scanner; C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe [2010-04-14 40384]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 avast! Mail Scanner;avast! Mail Scanner; C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe [2010-04-14 40384]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Arquivos de programas\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-26 65824]
S3 NBService;NBService; C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe [2006-09-12 724992]
S3 odserv;Microsoft Office Diagnostics Service; C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 WMPNetworkSvc;Serviço de Compartilhamento de Rede do Windows Media Player; C:\Arquivos de programas\Windows Media Player\WMPNetwk.exe [2006-11-02 914944]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-13 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880]

-----------------EOF-----------------

 

[carolgsn]

Olá Mr. Wolf... Como vai?

Passei um tempo sem vir aqui... Nossa, ficou boa a mudança heim?!
Estou precisando muitoooo de sua ajuda, vc pode analisar este log pra mim?
Muito Obrigada...

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:02:40, on 24/4/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.com.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: Shell=
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Arquivos de programas\GbPlugin\gbieh.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O15 - Trusted Zone: www.bancobrasil.com.br
O15 - Trusted Zone: www.bb.com.br
O15 - Trusted Zone: www14.bancobrasil.com.br
O15 - Trusted Zone: www2.bancobrasil.com.br
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1271467976062
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll
O23 - Service: Avira AntiVir Programador (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5848 bytes

 

[Vicalvi]

Mr.Wolf, tudo bem?

Então é o seguinte, de alguma forma pegaram o e-mail da minha mãe (hotmail) para ser usado de spam para outras pessoas, eu fiz o scan do Avira Premium versão 10 e não detectou nada no computador dela. Como eu faço para que parem de usar o e-mail dela para ficar enviando spam?

Abraço e aguardo retorno, obrigado.

 

[Mchawk]

Salve Wolf! Como vai, rapaz?


É o seguinte: A minha mãe tem um notebook com o Vista 32. De um tempo pra cá, o Internet Explorer parou de funcionar (o programa abre mas não detecta as configurações de rede). Como o Firefox continuou funcionando normalmente, ignoramos o problema. Só que agora o Firefox também deixou de funcionar. Estou desconfiado que ela pegou algum "service denial" no micrinho dela. Quando tu puderes, pode analisar o log pra mim, por favor?

Spoiler

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:12:53, on 25/04/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\System32\s3trayp.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Power Manager\PM.exe
C:\Windows\BisonCam\BisonHK.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\IELowutil.exe
C:\_BI\HiJackThis.exe
C:\Windows\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = fmp09:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (filesize 75128 bytes, MD5 5CF6190CD875DA6B35256FEE573E7908)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (filesize 546320 bytes, MD5 CEE1BE1DA21300208D07FBEAE9EA2B51)
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Program Files\GbPlugin\gbiehcef.dll (filesize 293928 bytes, MD5 7FD0D908D7961303415B46EC0D2696CA)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (filesize 41760 bytes, MD5 385BD69743EA92E76CDF07B3345A25D5)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (filesize 546320 bytes, MD5 CEE1BE1DA21300208D07FBEAE9EA2B51)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] X:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exeC:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe -chkautorun (filesize 204800 bytes, MD5 429DCC83E9A09DA34EFA393288C79A50)
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe (filesize 4669440 bytes, MD5 A659F31AC25418738351E5BDF4C85780)
O4 - HKLM\..\Run: [PowerManager] C:\Program Files\Power Manager\PM.exeC:\Program Files\Power Manager\PM.exe
O4 - HKLM\..\Run: [BisonHK] C:\Windows\BisonCam\BisonHK.exeC:\Windows\BisonCam\BisonHK.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" (filesize 248040 bytes, MD5 52DB6CDAC5BC7A1FC884E97C41C91213)
O4 - HKLM\..\Run: [Skytel] Skytel.exe (filesize 1826816 bytes, MD5 D373E15EB5E2E463EF01CF7BD8D7A1DF)
O4 - HKLM\..\RunOnce: [NCInstallQueue] rundll32 netman.dll,ProcessQueue
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exeC:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [] (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVIÇO DE REDE')
O4 - HKUS\S-1-5-20\..\RunOnce: [] (User 'SERVIÇO DE REDE')
O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE (filesize 65588 bytes, MD5 29B21505AC83084AE5DDDB4DEBDD72EB)
O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (filesize 154640 bytes, MD5 E0444668BBA2DDF1CC43466997D8DBF0)
O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (filesize 154640 bytes, MD5 E0444668BBA2DDF1CC43466997D8DBF0)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://imagem.caixa.gov.br/cab/gbpdist.cab
O20 - Winlogon Notify: GbPluginCef - C:\Program Files\GbPlugin\gbiehCef.dllC:\Program Files\GbPlugin\gbiehCef.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll (filesize 1324032 bytes, MD5 4504819D18FAC09B6108D8728467E5B2)
O23 - Service: Agendador do LiveUpdate automático (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exeC:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exeC:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Gbp Service (GbpSv) - - C:\PROGRA~1\GbPlugin\GbpSv.exeC:\PROGRA~1\GbPlugin\GbpSv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXEC:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exeC:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exeC:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exeC:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exeC:\Windows\system32\IoctlSvc.exe

--
End of file - 7093 bytes

Se possível, também gostaria que tu analisasse o log do meu sistema, pois estou experimentando um antivírus bem incomum: eu. Desde dezembro do ano passado, quando eu troquei meu P4 por um I5, eu estou usando o computador sem antivírus, mas também redobrei o cuidado com a navegação e com os downloads.

Spoiler

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:33:36, on 25/4/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Arquivos do Ricardo\Utilitários\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\ARQUIVOS DO RICARDO\UTILITáRIOS\FRAPS\FRAPS.EXE
C:\Arquivos do Ricardo\Utilitários\HWMonitor\HWMonitor.exe
C:\Arquivos do Ricardo\Utilitários\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Arquivos do Ricardo\Utilitários\GPU-Z\GPU-Z.0.3.8.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Arquivos do Ricardo\Utilitários\Mozilla Firefox\firefox.exe
C:\Arquivos do Ricardo\Utilitários\HijackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (filesize 75200 bytes, MD5 E5EF96D01F3B696817DB909B732D9BB2)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (filesize 408448 bytes, MD5 B7899C3E21B299D7A3C0DA96CAE340BD)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll (filesize 41760 bytes, MD5 385BD69743EA92E76CDF07B3345A25D5)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (filesize 79648 bytes, MD5 4E2BB6D2677B42AD04BE18A6E9817B68)
O4 - HKLM\..\Run: [StartCCC] "C:\Arquivos do Ricardo\Utilitários\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun (filesize 98304 bytes, MD5 A42DBD6A193BF3C790C9C9A1EF216770)
O4 - HKLM\..\Run: [HDAudDeck] C:\Arquivos de programas\VIA\VIAudioi\HDADeck\HDeck.exe 1 (filesize 33665024 bytes, MD5 EDE6D7E1F809AA1CAD2D7EFA87785172)
O4 - HKCU\..\Run: [Fraps] C:\ARQUIVOS DO RICARDO\UTILITáRIOS\FRAPS\FRAPS.EXEC:\ARQUIVOS DO RICARDO\UTILITáRIOS\FRAPS\FRAPS.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: CPUID HWMonitor.lnk = ?
O4 - Startup: GPU-Z.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (filesize 558080 bytes, MD5 AAC1D4EE39DF138C5D30AC5883E3B59F)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (filesize 558080 bytes, MD5 AAC1D4EE39DF138C5D30AC5883E3B59F)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (filesize 1695232 bytes, MD5 EFF5E5CCA31672BD00AF87D170590AFB)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (filesize 1695232 bytes, MD5 EFF5E5CCA31672BD00AF87D170590AFB)
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll (filesize 1025536 bytes, MD5 A8F47171A4BBEDC364F9EE00F5744DD4)
O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll (filesize 1025536 bytes, MD5 A8F47171A4BBEDC364F9EE00F5744DD4)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exeC:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exeC:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exeC:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exeC:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 5147 bytes

Muitíssimo obrigado, Wolf! Tenha uma boua semana, véi!
:yes:

 

[Tiagoquiroga]

hijack

Ola wolf aí vai o log do hijaack

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:51:19, on 25/04/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Users\Tiago\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pesbrasil.org/comunidade/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: 210.249.144.166 we9stun.winning-eleven.net
O1 - Hosts: 217.112.88.118 pes6gate-ec.winning-eleven.net
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [NitroPC] "D:\INSTALS\NOVOS\Path\NitroPC.exe" -minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVIÇO DE REDE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVIÇO DE REDE')
O4 - Global Startup: Atualizador de licenças ESET.lnk = ?
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Serviço de estado do ASP.NET (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7895 bytes

 

[rodrigooab]

Me parece que estou com um trojan banker no meu PC, segue o log do HijackThis:

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:40:11, on 26/04/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe
C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe
C:\ARQUIV~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\clipsrv.exe
C:\Arquivos de programas\ngsrv\epsng_certd.exe
C:\Arquivos de programas\Symantec AntiVirus\DefWatch.exe
C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbguard.exe
C:\Arquivos de programas\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\ngsrv\ngslotd.exe
C:\Arquivos de programas\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Symantec AntiVirus\SavRoam.exe
C:\Arquivos de programas\Babylon\Babylon-Pro\Babylon.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Symantec AntiVirus\Rtvscan.exe
C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbserver.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://br.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 66.192.19.53:80
R3 - URLSearchHook: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Arquivos de programas\myBabylon_English\tbmyBa.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_15\bin\ssv.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - C:\Arquivos de programas\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Arquivos de programas\myBabylon_English\tbmyBa.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O2 - BHO: G-Buster Browser Defense Banco Real - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O2 - BHO: G-Buster Browser Defense Unibanco - {C41A1C0E-EA6C-11D4-B1B8-444553540008} - C:\ARQUIV~1\GbPlugin\gbiehuni.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Arquivos de programas\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - C:\Arquivos de programas\myBabylon_English\tbmyBa.dll
O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\ARQUIV~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [epsng_certd] C:\Arquivos de programas\ngsrv\epsng_certd.exe -r
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Arquivos de programas\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Arquivos de programas\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Arquivos de programas\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Arquivos de programas\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_15\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_15\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Arquivos de programas\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Arquivos de programas\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1238007160953
O16 - DPF: {6F7864F9-DB33-11D3-8166-0060B0F885E6} (VSPTA Class) - https://certificacao.unibanco.com.br/VSApps/vspta3.cab
O16 - DPF: {9EC30204-384D-11D3-9CA3-00A024F0AF03} (ValidaUsuario Class) - https://cpne.bradesco.com.br/certifexp.cab
O16 - DPF: {A2CD4A80-DDA5-11D3-8DAC-0000B45FF7C8} (Controlador Class) - https://ic400.interchange.com.br/icnet/Componentes/ICWCLI.CAB
O16 - DPF: {B3D3825B-2120-4B0E-8C45-80ECC1D3E70D} (GeraCert Class) - https://cpne.bradesco.com.br/CA.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugin/Cab/GbPluginABN.cab
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} (GbPluginObj Class) - https://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1F90C07-0CF9-4154-97A8-00B3CE36FB4D}: NameServer = 201.10.128.3,201.10.120.3
O20 - Winlogon Notify: a4sec - C:\WINDOWS\system32\1227788041\f4.dll (file missing)
O20 - Winlogon Notify: GbPluginAbn - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O20 - Winlogon Notify: GbPluginBb - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll
O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehCef.dll
O20 - Winlogon Notify: GbPluginUni - C:\ARQUIV~1\GbPlugin\gbiehuni.dll
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Arquivos de programas\Symantec AntiVirus\DefWatch.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - Firebird Project - C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - Firebird Project - C:\Arquivos de programas\Firebird\Firebird_2_1\bin\fbserver.exe
O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARQUIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: ngSlotDaemon (ngSlotD) - Feitian Technologies Co.,Ltd. - C:\Arquivos de programas\ngsrv\ngslotd.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Arquivos de programas\CDBurnerXP\NMSAccessU.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Arquivos de programas\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Arquivos de programas\Symantec AntiVirus\Rtvscan.exe

--
End of file - 12626 bytes

 

[Spartacus]

Mr. Wolf
O PC está normal, sem nenhum problema até agora.
Suas orientações foram essenciais para eu reestabelecer a segurança neste micro e nem sei como elaborar melhores elogios para dizer o quanto estou grato! Precisando, não hesite em me chamar. ^^
Das ferramentas utilizadas só mantive o Malware mesmo, eu o atualizo e o uso eventualmente, mas manterei os outros em mente para futuras eventualidades.

Desculpe a demora para resposta, como o fórum ficou fora do ar vários dias, não o acompanhei sempre para ver se já tinha voltando, só o fiz agora..

Grande abraço.

 

[Mr.Wolf]

Olá pessoal, boa tarde a todos! Vou responder neste mesmo post para não floodar ok.



Rodrimack, quase isso. Explicando por cima, o que ocorre é o seguinte:

Como qualquer outro software de segurança, o ComboFix também possui um banco de dados, onde se encontram as vacinas, e os scripts brutos no caso do CF (ComboFix), para a remoção dos malwares. Porém, diferentemente das demais ferramentas, o CF segue rigorosamente as linhas de seu banco de dados. Se seu PC não estiver infectado ou, a infecção presente no sistema não estiver no BD (banco de dados) do CF, a ferramenta ficará "cega", e, por conta própria, removerá arquivos que ele considera inseguros, além dos pontos de restauração que você pode vir a precisar futuramente. E neste caso, os arquivos, na maioria das vezes, são legítimos. Você teve a sorte de ter sido um arquivo não tão importante, mas, suponhamos que fosse um arquivo crucial ao OS, a situação ficaria crítica.

Lógico, o BD do CF é enorme, possui scripts para mais de 2 bilhões de malwares e viroses. Mas ele não é um antivirus. É importante lembrar que o CF não remove tudo de primeira. Sempre é necessário um script para terminar a remoção dos malwares.

Por decisão do criador, sUBs, o BD do CF é particular. Somente o criador e as equipes que ajudam a mantê-lo, ASAP e UNITE, têm acesso total ao BD dele, bem como ao material completo. Inclusive, a ASAP e a UNITE, são as organizações responsáveis pela maioria das ferramentas de segurança hoje existentes, dentre eles, o Malwarebytes. No entanto, vários integrantes de ambas as organizações trabalham também na Kaspersky Labs, ALWIL (empresa do Avast!), e na Symantec. Portanto, profissionais extremamente competentes.

Do mesmo jeito que o CF pode salvar seu sistema, ele pode lhe trazer problemas, e não queira conhecê-los!

_________________________________________


lukox, siga abaixo:

Spoiler

- Faça o download do Avenger e salve-o no desktop;

● Extraia o conteúdo do zip para o desktop;
● Selecione e copie o texto aqui abaixo:

Files to delete:
c:\windows\system32\lbycdxv.dll
C:\Arquivos de programas\Arquivos comuns\logonInit.dll 
C:\Arquivos de programas\Arquivos comuns\userInit.dll
C:\ComboFix.txt
C:\mbr.exe
C:\RootRepeal report 04-08-10 (22-20-54).txt
C:\Qoobox
C:\TB.txt

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7FE393D6-2A55-4BCF-9588-78A89F9A49FF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LogonInit

● Execute o programa Avenger, dando dois cliques em avenger.exe;
● Clique no menu Load Script > Paste from Clipboard;
● Clique no botão Execute > Yes > OK;
● Seu computador será reiniciado;
● Será gerado um log em C:\avenger.txt

Cole este log em sua próxima resposta, juntamente com um novo do RSIT.

_________________________________________


Olá, carolgsn, tudo certinho e você?

Primeiramente, vá em Iniciar > Executar, digite system.ini e dê um OK. Poste aqui o conteúdo que se abrirá no Bloco de Notas.

Siga abaixo:

Spoiler

1ª Etapa

- Faça o download do Win32kDiag e salve no desktop.

- Vá em Iniciar > Executar, digite este comando abaixo e dê um OK:

"%userprofile%\desktop\win32kdiag.exe" -f -r

- Abrirá uma janela do prompt. Quando aparecer a mensagem: "Finished! Press any key to exit..." tecle Enter para fechar a janela.
- O log Win32kDiag.txt será criado no desktop.

Poste este log em sua próxima resposta.


2ª Etapa

- Faça o download do RSIT e salve no seu desktop;

● Dê dois cliques em RSIT.exe para executar o programa;
● Na janela que abrir clique no botão Continue para que a ferramenta comece a rodar;
● Quando a ferramenta terminar de rodar, abrirá um log automaticamente no bloco de notas contendo o resultado do scan. Cole o resultado desse log (log.txt) na sua próxima resposta;
● Cole também o conteúdo do arquivo info.txt que estará em C:\rsit\info.txt.

_________________________________________


Opa meu amigo healer, tudo jóia e você?

healer, se o e-mail de sua mãe foi capturado por bots da web, vai ser bem díficil parar o envio de spams. Mas, uma pergunta essencial: Sua mãe está enviando os spams, ou apenas recebendo-os?

A princípio, peça à ela que altere imediatamente a senha do e-mail, de preferência em seu PC (pois o dela pode estar comprometido por algum worm, que o Avira não tenha detectado).

Um spammer também pode estar usando a conta de e-mail da sua mãe para realizar uma técnica conhecida como E-mail Spoofing. O Spoofing é uma técnica utilizada para práticas de spam e phishing, com o intuito de ocultar a origem do e-mail. Hoje em dia os spammers usufruem bastante desta técnica para enviar e-mails forjando o destinatário.

Porém, antes de mais nada, faça a alteração da senha e verifique se resultou positivamente.

_________________________________________


Grande Mchawk, tudo bem amigo e você?

Leia o spoiler.

Spoiler

Mchawk, há uma configuração de proxy no log. Caso não tenha sido sua mãe que o configurou, pode ser este, o problema de os navegadores não reconhecerem as configurações de rede. Faça isto:

Abra o IE e clique em Ferramentas > Opções da Internet > Conexões > Botão Configurações, veja se há alguma configuração de proxy lá.

Agora abra o Firefox e clique em Ferramentas > Opções > Avançado > Aba Rede > Botão Configurar conexão, veja se há alguma configuração de proxy.

Se houver em ambos, ou apenas em um dos navegadores, delete a configuração e veja se eles voltam a reconhecer a rede.

Vá em Iniciar > Executar, digite cmd e dê um OK. Digite o comando abaixo e tecle Enter:

proxycfg -d > C:\proxy.txt

Um log proxy.txt será criado na unidade C:. Poste-o em sua próxima resposta.

Quanto ao log de seu PC, está limpo. Porém, existem sete entradas ocultas nele.

Siga abaixo:

Realize o procedimento abaixo no seu computador e no da sua mãe.

Faça o download do OTL e salve-o no desktop;

● Dê um duplo clique em OTL.exe para executá-lo;
● Marque as opções: Scan All Users e Minimal Output. No item "File Age" coloque a opção 90 Days;
● Clique no botão

e aguarde o scan;
● Dois logs serão abertos no Bloco de Notas:

- OTL.Txt <- este será aberto
- Extras.Txt <- este estará minimizado

Eles também estarão salvos no desktop. Cole-os em sua próxima resposta.

Se possível, também gostaria que tu analisasse o log do meu sistema, pois estou experimentando um antivírus bem incomum: eu. Desde dezembro do ano passado, quando eu troquei meu P4 por um I5, eu estou usando o computador sem antivírus, mas também redobrei o cuidado com a navegação e com os downloads.

Eu já passei dois anos sem antivirus na máquina, Mchawk, na época em que eu cursava minha pós-graduação em Segurança da Informação. E, por sorte, durante os dois anos, nunca peguei qualquer tipo de malware. Como você sabe, a melhor proteção é o próprio usuário. No entanto, lembre-se, hoje os tempos mudaram. A Internet está muito mais perigosa e vulnerável que antes, escusar o uso de um antivirus atualmente, é algo inconsciente. Se nem os antivirus estão sendo capazes de evitar as contaminações, quem dirá o usuário sozinho.

_________________________________________


Tiagoquiroga, nada de anormal no log.

Qual é exatamente o problema?

_________________________________________


rodrigooab, siga abaixo:

Spoiler

- Faça o download do ComboFix e salve-o na área de trabalho;

● Desative temporariamente o seu antivirus para não detectar a ferramenta como vírus;
● Duplo clique no ícone combofix.exe para iniciar o scan;
● Se o ComboFix encontrar algum tipo de emulador de CD (como o DAEMON Tools, Alcohol, etc) aparecerá uma mensagem dizendo que precisa ser desabilitado. Clique em OK e aguarde o PC reiniciar.

● Leia o contrato que aparecerá e clique em Sim para continuar;
● Abrirá uma janela do Console de Recuperação, clique em Não;
● Aguarde enquanto o ComboFix faz o autoscan;
● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;
● Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a varredura da ferramenta;
● Se quiser sair ou parar o ComboFix, tecle N;
● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;
● Será gerado um log em C:\ComboFix.txt.

Cole este log em sua próxima resposta.

 

[carolgsn]

Salve Mr. Wolf... td joinha sim...
Parabéns pela dedicação...
Mr. Wolf... Esse pc é de uma tia minha e tem um certo alguem entranto em conteúdo pornográfico... Por iso que tá essa requema (faz 1 mes que o pc foi formatado...) Instalei o ccproxy para bloqueio... dizem que é muito bom...

Segue os relatorios...
Obrigada de novo!

Primeiro - System.ini

Spoiler

; for 16-bit app support

[drivers]
wave=mmdrv.dll
timer=timer.drv

[mci]
[driver32]
[386enh]
woafont=app850.FON
EGA80WOA.FON=EGA80850.FON
EGA40WOA.FON=EGA40850.FON
CGA80WOA.FON=CGA80850.FON
CGA40WOA.FON=CGA40850.FON

Segundo - win32kdiag (Para que serve esse?)

Spoiler

Running from: C:\Documents and Settings\CidinhaAlencar\desktop\win32kdiag.exe

Log file at : C:\Documents and Settings\CidinhaAlencar\Desktop\Win32kDiag.txt

Removing all found mount points.

Attempting to reset file permissions.

WARNING: Could not get backup privileges!

Searching 'C:\WINDOWS'...

Finished!

E por fim, o Rsit
log.txt

Spoiler

Logfile of random's system information tool 1.06 (written by random/random)
Run by CidinhaAlencar at 2010-04-26 18:25:54
Microsoft Windows XP Professional Service Pack 3
System drive C: has 26 GB (73%) free of 35 GB
Total RAM: 1247 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:25:57, on 26/4/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\CCProxy\CCProxy.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Documents and Settings\CidinhaAlencar\Desktop\RSIT.exe
C:\Arquivos de programas\Trend Micro\HijackThis\CidinhaAlencar.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.com.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.123:2121;http=192.168.0.123:3128;https=192.168.0.123:3128;socks=192.168.0.123:1080
F2 - REG:system.ini: Shell=
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Arquivos de programas\GbPlugin\gbieh.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CCProxy] C:\CCProxy\CCProxy.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O15 - Trusted Zone: www.bancobrasil.com.br
O15 - Trusted Zone: www.bb.com.br
O15 - Trusted Zone: www14.bancobrasil.com.br
O15 - Trusted Zone: www2.bancobrasil.com.br
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1271467976062
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE6EC8FF-9965-478E-9614-240478F2525A}: NameServer = 200.225.197.34,200.225.197.37
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll
O23 - Service: Avira AntiVir Programador (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6333 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AWC AutoSweep.job
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1264430792.job
C:\WINDOWS\tasks\User_Feed_Synchronization-{AF33A137-14A7-4547-B35B-6AED88FF33DF}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
Skype add-on (mastermind) - C:\Arquivos de programas\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2009-03-16 1088296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Auxiliar de Conexão do Windows Live - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41A1C0E-EA6C-11D4-B1B8-444553540000}]
GbIehObj Class - C:\Arquivos de programas\GbPlugin\gbieh.dll [2010-02-18 323360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll [2010-04-24 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2010-04-24 79648]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"=C:\WINDOWS\SiSUSBrg.exe [2002-07-12 106496]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2004-07-27 68096]
"avgnt"=C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"SunJavaUpdateSched"=C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe [2010-02-18 248040]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-13 15360]
"CCProxy"=C:\CCProxy\CCProxy.exe [2009-10-30 1044480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb]
C:\Arquivos de programas\GbPlugin\gbieh.dll [2010-02-18 323360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{E37CB5F0-51F5-4395-A808-5FA49E399F83}"=C:\Arquivos de programas\GbPlugin\gbieh.dll [2010-02-18 323360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoResolveSearch"=
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"C:\Arquivos de programas\InterVideo\DVD7\WinDVD.exe"="C:\Arquivos de programas\InterVideo\DVD7\WinDVD.exe:*:Enabled:WinDVD"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"
"C:\Arquivos de programas\Messenger\msmsgs.exe"="C:\Arquivos de programas\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe"="C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe"="C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Arquivos de programas\Skype\Phone\Skype.exe"="C:\Arquivos de programas\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\CCProxy\CCProxy.exe"="C:\CCProxy\CCProxy.exe:*:Enabled:CCProxy"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabledxpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabledxpsp3res.dll,-20000"
"C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe"="C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe"="C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

======List of files/folders created in the last 1 months======

2010-04-26 18:25:54 ----D---- C:\rsit
2010-04-24 15:02:18 ----D---- C:\WINDOWS\Prefetch
2010-04-24 13:46:35 ----HDC---- C:\WINDOWS\$NtUninstallKB980232$
2010-04-24 13:46:20 ----HDC---- C:\WINDOWS\$NtUninstallKB979683$
2010-04-24 13:46:12 ----HDC---- C:\WINDOWS\$NtUninstallKB979309$
2010-04-24 13:46:05 ----HDC---- C:\WINDOWS\$NtUninstallKB978706$
2010-04-24 13:45:56 ----HDC---- C:\WINDOWS\$NtUninstallKB978601$
2010-04-24 13:45:49 ----HDC---- C:\WINDOWS\$NtUninstallKB978338$
2010-04-24 13:45:40 ----HDC---- C:\WINDOWS\$NtUninstallKB978037$
2010-04-24 13:45:33 ----HDC---- C:\WINDOWS\$NtUninstallKB977914$
2010-04-24 13:45:22 ----HDC---- C:\WINDOWS\$NtUninstallKB975713$
2010-04-24 13:45:14 ----HDC---- C:\WINDOWS\$NtUninstallKB975561$
2010-04-24 13:45:07 ----HDC---- C:\WINDOWS\$NtUninstallKB975560$
2010-04-24 13:44:59 ----HDC---- C:\WINDOWS\$NtUninstallKB975467$
2010-04-24 13:44:52 ----HDC---- C:\WINDOWS\$NtUninstallKB975025$
2010-04-24 13:44:42 ----HDC---- C:\WINDOWS\$NtUninstallKB974571$
2010-04-24 13:44:35 ----HDC---- C:\WINDOWS\$NtUninstallKB974392$
2010-04-24 13:44:27 ----HDC---- C:\WINDOWS\$NtUninstallKB974318$
2010-04-24 13:43:40 ----HDC---- C:\WINDOWS\$NtUninstallKB974112$
2010-04-24 13:43:29 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2010-04-24 13:43:22 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
2010-04-24 13:43:14 ----HDC---- C:\WINDOWS\$NtUninstallKB973687$
2010-04-24 13:43:07 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2010-04-24 13:43:00 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2010-04-24 13:42:51 ----HDC---- C:\WINDOWS\$NtUninstallKB972270$
2010-04-24 13:42:43 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2010-04-24 13:41:46 ----HDC---- C:\WINDOWS\$NtUninstallKB971468$
2010-04-24 13:41:35 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$
2010-04-24 13:41:28 ----HDC---- C:\WINDOWS\$NtUninstallKB969947$
2010-04-24 13:41:19 ----HDC---- C:\WINDOWS\$NtUninstallKB969059$
2010-04-24 13:41:09 ----HDC---- C:\WINDOWS\$NtUninstallKB968389$
2010-04-24 13:40:58 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$
2010-04-24 13:40:50 ----HDC---- C:\WINDOWS\$NtUninstallKB961503$
2010-04-24 13:40:43 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$
2010-04-24 13:40:36 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2010-04-24 13:40:28 ----HDC---- C:\WINDOWS\$NtUninstallKB960803$
2010-04-24 13:40:21 ----HDC---- C:\WINDOWS\$NtUninstallKB960225$
2010-04-24 13:40:13 ----HDC---- C:\WINDOWS\$NtUninstallKB959426$
2010-04-24 13:40:05 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2010-04-24 13:39:57 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$
2010-04-24 13:39:50 ----HDC---- C:\WINDOWS\$NtUninstallKB956803$
2010-04-24 13:39:42 ----HDC---- C:\WINDOWS\$NtUninstallKB956802$
2010-04-24 13:39:28 ----HDC---- C:\WINDOWS\$NtUninstallKB956572$
2010-04-24 13:39:16 ----HDC---- C:\WINDOWS\$NtUninstallKB955759$
2010-04-24 13:39:08 ----HDC---- C:\WINDOWS\$NtUninstallKB973687_1$
2010-04-24 13:39:01 ----HDC---- C:\WINDOWS\$NtUninstallKB955069$
2010-04-24 13:38:53 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2010-04-24 13:38:46 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2010-04-24 13:38:36 ----HDC---- C:\WINDOWS\$NtUninstallKB952004$
2010-04-24 13:38:26 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2010-04-24 13:38:19 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2010-04-24 13:38:12 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2010-04-24 13:38:03 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2010-04-24 13:37:56 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2010-04-24 13:37:48 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2010-04-24 13:37:38 ----HDC---- C:\WINDOWS\$NtUninstallKB923561$
2010-04-24 13:27:12 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2010-04-24 12:53:27 ----HDC---- C:\WINDOWS\$NtUninstallKB978262$
2010-04-24 12:53:20 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2_0$
2010-04-24 12:53:11 ----HDC---- C:\WINDOWS\$NtUninstallKB952954_0$
2010-04-24 12:53:02 ----HDC---- C:\WINDOWS\$NtUninstallKB959426_0$
2010-04-24 12:52:52 ----HDC---- C:\WINDOWS\$NtUninstallKB946648_0$
2010-04-24 12:52:37 ----HDC---- C:\WINDOWS\$NtUninstallKB956803_0$
2010-04-24 12:52:30 ----HDC---- C:\WINDOWS\$NtUninstallKB960859_0$
2010-04-24 12:52:20 ----HDC---- C:\WINDOWS\$NtUninstallKB971468_0$
2010-04-24 12:52:03 ----HDC---- C:\WINDOWS\$NtUninstallKB979683_0$
2010-04-24 12:51:55 ----HDC---- C:\WINDOWS\$NtUninstallKB958869$
2010-04-24 12:51:46 ----HDC---- C:\WINDOWS\$NtUninstallKB954155_WM9$
2010-04-24 12:51:32 ----HDC---- C:\WINDOWS\$NtUninstallKB980232_0$
2010-04-24 12:51:23 ----HDC---- C:\WINDOWS\$NtUninstallKB955759_0$
2010-04-24 12:51:14 ----HDC---- C:\WINDOWS\$NtUninstallKB974318_0$
2010-04-24 12:51:03 ----HDC---- C:\WINDOWS\$NtUninstallKB969059_0$
2010-04-24 12:50:55 ----HDC---- C:\WINDOWS\$NtUninstallKB981349$
2010-04-24 12:50:45 ----HDC---- C:\WINDOWS\$NtUninstallKB961503_0$
2010-04-24 12:50:05 ----D---- C:\WINDOWS\ie8updates
2010-04-24 12:48:57 ----HDC---- C:\WINDOWS\ie8
2010-04-24 12:43:33 ----HDC---- C:\WINDOWS\$NtUninstallKB950974_0$
2010-04-24 12:43:26 ----HDC---- C:\WINDOWS\$NtUninstallKB978037_0$
2010-04-24 12:43:18 ----HDC---- C:\WINDOWS\$NtUninstallKB975713_0$
2010-04-24 12:42:57 ----HDC---- C:\WINDOWS\$NtUninstallKB971657_0$
2010-04-24 12:42:49 ----HDC---- C:\WINDOWS\$NtUninstallKB978338_0$
2010-04-24 12:42:42 ----HDC---- C:\WINDOWS\$NtUninstallKB960225_0$
2010-04-24 12:42:33 ----HDC---- C:\WINDOWS\$NtUninstallKB972270_0$
2010-04-24 12:42:27 ----HDC---- C:\WINDOWS\$NtUninstallKB974112_0$
2010-04-24 12:42:07 ----HDC---- C:\WINDOWS\$NtUninstallKB956572_0$
2010-04-24 12:41:55 ----HDC---- C:\WINDOWS\$NtUninstallKB956844_0$
2010-04-24 12:41:48 ----HDC---- C:\WINDOWS\$NtUninstallKB961501_0$
2010-04-24 12:41:44 ----D---- C:\Arquivos de programas\MSXML 6.0
2010-04-24 12:41:34 ----HDC---- C:\WINDOWS\$NtUninstallKB968816_WM9$
2010-04-24 12:41:28 ----HDC---- C:\WINDOWS\$NtUninstallKB975561_0$
2010-04-24 12:41:17 ----HDC---- C:\WINDOWS\$NtUninstallKB952069_WM9$
2010-04-24 12:41:11 ----HDC---- C:\WINDOWS\$NtUninstallKB973869_0$
2010-04-24 12:41:04 ----HDC---- C:\WINDOWS\$NtUninstallKB975025_0$
2010-04-24 12:40:54 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9L$
2010-04-24 12:40:42 ----HDC---- C:\WINDOWS\$NtUninstallKB952004_0$
2010-04-24 12:40:35 ----HDC---- C:\WINDOWS\$NtUninstallKB974571_0$
2010-04-24 12:40:26 ----HDC---- C:\WINDOWS\$NtUninstallKB975560_0$
2010-04-24 12:40:13 ----HDC---- C:\WINDOWS\$NtUninstallKB973507_0$
2010-04-24 12:40:04 ----HDC---- C:\WINDOWS\$NtUninstallKB941569$
2010-04-24 12:39:35 ----HDC---- C:\WINDOWS\$NtUninstallKB977816$
2010-04-24 12:39:25 ----HDC---- C:\WINDOWS\$NtUninstallKB973687_0$
2010-04-24 12:39:15 ----HDC---- C:\WINDOWS\$NtUninstallKB950762_0$
2010-04-24 12:33:01 ----HDC---- C:\WINDOWS\$NtUninstallWdf01005$
2010-04-24 12:32:34 ----HDC---- C:\WINDOWS\$NtUninstallKB978601_0$
2010-04-24 12:32:27 ----HDC---- C:\WINDOWS\$NtUninstallKB952287_0$
2010-04-24 12:32:19 ----HDC---- C:\WINDOWS\$NtUninstallKB973354_0$
2010-04-24 12:32:10 ----HDC---- C:\WINDOWS\$NtUninstallKB973904$
2010-04-24 12:31:53 ----HDC---- C:\WINDOWS\$NtUninstallKB967715_0$
2010-04-24 12:31:45 ----HDC---- C:\WINDOWS\$NtUninstallKB929399$
2010-04-24 12:31:23 ----HDC---- C:\WINDOWS\$NtUninstallKB950760$
2010-04-24 12:31:16 ----HDC---- C:\WINDOWS\$NtUninstallKB939683$
2010-04-24 12:30:49 ----HDC---- C:\WINDOWS\$NtUninstallKB951066_0$
2010-04-24 12:30:40 ----HDC---- C:\WINDOWS\$NtUninstallKB974392_0$
2010-04-24 12:30:33 ----HDC---- C:\WINDOWS\$NtUninstallKB977914_0$
2010-04-24 12:30:14 ----HDC---- C:\WINDOWS\$NtUninstallKB951748_0$
2010-04-24 12:30:03 ----HDC---- C:\WINDOWS\$NtUninstallKB970238_0$
2010-04-24 12:29:55 ----HDC---- C:\WINDOWS\$NtUninstallKB979309_0$
2010-04-24 12:29:48 ----HDC---- C:\WINDOWS\$NtUninstallKB978706_0$
2010-04-24 12:29:33 ----HDC---- C:\WINDOWS\$NtUninstallKB958470$
2010-04-24 12:29:24 ----HDC---- C:\WINDOWS\$NtUninstallKB960803_0$
2010-04-24 12:29:17 ----HDC---- C:\WINDOWS\$NtUninstallKB973815_0$
2010-04-24 12:29:05 ----HDC---- C:\WINDOWS\$NtUninstallKB971032$
2010-04-24 12:28:56 ----HDC---- C:\WINDOWS\$NtUninstallKB958644_0$
2010-04-24 12:28:48 ----HDC---- C:\WINDOWS\$NtUninstallKB955069_0$
2010-04-24 12:28:40 ----HDC---- C:\WINDOWS\$NtUninstallKB956802_0$
2010-04-24 12:27:58 ----HDC---- C:\WINDOWS\$NtUninstallKB979306$
2010-04-24 12:27:53 ----HDC---- C:\WINDOWS\$NtUninstallKB954154_WM11$
2010-04-24 12:27:46 ----HDC---- C:\WINDOWS\$NtUninstallKB923561_0$
2010-04-24 12:27:38 ----HDC---- C:\WINDOWS\$NtUninstallKB971961$
2010-04-24 12:27:14 ----D---- C:\WINDOWS\ie7updates
2010-04-24 12:27:01 ----HDC---- C:\WINDOWS\$NtUninstallKB975467_0$
2010-04-24 12:26:50 ----HDC---- C:\WINDOWS\$NtUninstallKB968389_0$
2010-04-24 12:26:36 ----HDC---- C:\WINDOWS\$NtUninstallKB969947_0$
2010-04-24 11:29:30 ----D---- C:\CCProxy
2010-04-24 11:28:36 ----D---- C:\Arquivos de programas\Arquivos comuns\Java
2010-04-24 11:28:09 ----A---- C:\WINDOWS\system32\javaws.exe
2010-04-24 11:28:09 ----A---- C:\WINDOWS\system32\javaw.exe
2010-04-24 11:28:09 ----A---- C:\WINDOWS\system32\java.exe
2010-04-24 11:28:09 ----A---- C:\WINDOWS\system32\deployJava1.dll
2010-04-24 10:57:50 ----D---- C:\Arquivos de programas\Messenger Plus! Live
2010-04-16 23:06:21 ----HDC---- C:\WINDOWS\$MSI31Uninstall_KB893803v2$
2010-04-16 22:35:10 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Avira
2010-04-16 22:35:10 ----D---- C:\Arquivos de programas\Avira
2010-04-16 22:24:29 ----HDC---- C:\WINDOWS\$NtUninstallKB926239$
2010-04-16 22:24:00 ----N---- C:\WINDOWS\system32\spmsg.dll
2010-04-16 22:23:56 ----HDC---- C:\WINDOWS\$NtUninstallMSCompPackV1$
2010-04-16 22:23:23 ----D---- C:\Arquivos de programas\Windows Media Connect 2
2010-04-16 22:23:14 ----HDC---- C:\WINDOWS\$NtUninstallwmp11$
2010-04-16 22:22:01 ----HDC---- C:\WINDOWS\$NtUninstallWMFDist11$
2010-04-16 22:21:29 ----D---- C:\WINDOWS\system32\LogFiles
2010-04-16 22:21:23 ----HDC---- C:\WINDOWS\$NtUninstallWudf01000$
2010-04-16 22:20:45 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Windows Genuine Advantage
2010-04-16 21:29:50 ----D---- C:\Arquivos de programas\Trend Micro
2010-04-16 21:12:55 ----A---- C:\WINDOWS\system32\wmpns.dll
2010-04-16 21:11:48 ----RAH---- C:\WINDOWS\system32\logonui.exe.manifest
2010-04-16 21:00:52 ----A---- C:\WINDOWS\system32\spxcoins.dll
2010-04-16 21:00:52 ----A---- C:\WINDOWS\system32\irclass.dll
2010-04-16 21:00:34 ----RA---- C:\WINDOWS\SET41.tmp
2010-04-16 21:00:31 ----RA---- C:\WINDOWS\SET34.tmp
2010-04-16 21:00:29 ----RA---- C:\WINDOWS\SET31.tmp
2010-04-16 20:37:08 ----A---- C:\WINDOWS\system32\MRT.exe
2010-04-16 20:26:35 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-04-16 19:25:10 ----SHD---- C:\WINDOWS\CSC

======List of files/folders modified in the last 1 months======

2010-04-26 18:18:30 ----AD---- C:\WINDOWS
2010-04-26 18:18:19 ----HD---- C:\WINDOWS\inf
2010-04-26 18:18:06 ----D---- C:\WINDOWS\Temp
2010-04-26 18:18:03 ----D---- C:\WINDOWS\system32\CatRoot2
2010-04-26 18:17:08 ----AD---- C:\WINDOWS\system32\drivers
2010-04-24 16:23:32 ----D---- C:\Arquivos de programas\CCleaner
2010-04-24 16:19:31 ----D---- C:\WINDOWS\Debug
2010-04-24 15:04:46 ----AD---- C:\WINDOWS\system32
2010-04-24 15:04:46 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-04-24 15:01:51 ----RSD---- C:\WINDOWS\Fonts
2010-04-24 15:01:51 ----D---- C:\WINDOWS\system32\wbem
2010-04-24 15:01:51 ----D---- C:\WINDOWS\system32\Setup
2010-04-24 15:01:51 ----D---- C:\WINDOWS\AppPatch
2010-04-24 13:47:06 ----D---- C:\WINDOWS\system32\CatRoot
2010-04-24 13:46:37 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-04-24 13:45:16 ----D---- C:\Arquivos de programas\Movie Maker
2010-04-24 13:43:22 ----D---- C:\WINDOWS\security
2010-04-24 13:43:01 ----D---- C:\Arquivos de programas\Outlook Express
2010-04-24 13:37:49 ----D---- C:\Arquivos de programas\Messenger
2010-04-24 13:34:40 ----D---- C:\WINDOWS\system32\inetsrv
2010-04-24 13:34:39 ----D---- C:\WINDOWS\ime
2010-04-24 13:34:39 ----D---- C:\WINDOWS\Help
2010-04-24 13:34:31 ----D---- C:\WINDOWS\PeerNet
2010-04-24 13:31:53 ----D---- C:\WINDOWS\system32\Restore
2010-04-24 13:31:52 ----D---- C:\WINDOWS\system32\npp
2010-04-24 13:31:52 ----D---- C:\WINDOWS\msagent
2010-04-24 13:31:51 ----D---- C:\WINDOWS\srchasst
2010-04-24 13:31:50 ----D---- C:\Arquivos de programas\NetMeeting
2010-04-24 13:31:49 ----D---- C:\WINDOWS\system32\Com
2010-04-24 13:31:48 ----D---- C:\Arquivos de programas\Windows Media Player
2010-04-24 13:31:47 ----D---- C:\Arquivos de programas\Windows NT
2010-04-24 13:31:45 ----D---- C:\Arquivos de programas\Arquivos comuns\System
2010-04-24 13:31:31 ----D---- C:\WINDOWS\system32\oobe
2010-04-24 13:31:30 ----D---- C:\WINDOWS\system32\usmt
2010-04-24 13:31:29 ----D---- C:\WINDOWS\system
2010-04-24 13:29:05 ----D---- C:\WINDOWS\system32\ReinstallBackups
2010-04-24 13:27:12 ----D---- C:\WINDOWS\ehome
2010-04-24 13:18:46 ----SD---- C:\WINDOWS\Tasks
2010-04-24 13:15:20 ----D---- C:\WINDOWS\system32\pt-br
2010-04-24 13:15:20 ----D---- C:\WINDOWS\Media
2010-04-24 13:15:20 ----D---- C:\Arquivos de programas\Internet Explorer
2010-04-24 12:53:26 ----HD---- C:\WINDOWS\$hf_mig$
2010-04-24 12:51:55 ----D---- C:\WINDOWS\WinSxS
2010-04-24 12:51:45 ----SHD---- C:\WINDOWS\Installer
2010-04-24 12:41:44 ----RD---- C:\Arquivos de programas
2010-04-24 11:28:36 ----D---- C:\Arquivos de programas\Arquivos comuns
2010-04-24 11:02:21 ----D---- C:\Arquivos de programas\WinRAR
2010-04-16 22:46:20 ----D---- C:\WINDOWS\SoftwareDistribution
2010-04-16 22:33:19 ----SD---- C:\WINDOWS\Downloaded Program Files
2010-04-16 22:29:33 ----HDC---- C:\WINDOWS\ie7
2010-04-16 22:28:21 ----HDC---- C:\WINDOWS\$NtUninstallKB915865$
2010-04-16 22:24:08 ----D---- C:\Documents and Settings\CidinhaAlencar\Dados de aplicativos\Skype
2010-04-16 22:24:03 ----D---- C:\Documents and Settings\CidinhaAlencar\Dados de aplicativos\skypePM
2010-04-16 22:23:34 ----A---- C:\WINDOWS\win.ini
2010-04-16 22:19:06 ----D---- C:\Arquivos de programas\Arquivos comuns\Microsoft Shared
2010-04-16 22:00:29 ----HD---- C:\WINDOWS\system32\System32
2010-04-16 21:21:46 ----D---- C:\WINDOWS\Registration
2010-04-16 21:20:21 ----SHD---- C:\System Volume Information
2010-04-16 21:18:26 ----D---- C:\WINDOWS\system32\config
2010-04-16 21:12:39 ----A---- C:\WINDOWS\ODBCINST.INI
2010-04-16 21:12:18 ----D---- C:\WINDOWS\system32\ias
2010-04-16 21:11:51 ----RD---- C:\WINDOWS\Web
2010-04-16 21:11:41 ----RAH---- C:\WINDOWS\system32\cdplayer.exe.manifest
2010-04-16 21:07:55 ----SH---- C:\boot.ini
2010-04-16 21:01:00 ----A---- C:\WINDOWS\system.ini
2010-04-16 21:00:40 ----ASH---- C:\Documents and Settings\All Users\Dados de aplicativos\desktop.ini
2010-04-16 19:25:27 ----D---- C:\Documents and Settings
2010-04-16 17:57:19 ----D---- C:\WINDOWS\system32\1046
2010-04-16 17:54:16 ----D---- C:\WINDOWS\twain_32
2010-04-16 17:54:02 ----D---- C:\WINDOWS\system32\icsxml
2010-04-16 17:53:30 ----D---- C:\WINDOWS\system32\1033
2010-04-16 17:52:18 ----D---- C:\WINDOWS\Driver Cache

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AFS2K;AFS2k; C:\WINDOWS\system32\drivers\AFS2K.sys [2010-01-25 82380]
R1 avgio;avgio; \??\C:\Arquivos de programas\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2008-07-21 24392]
R1 intelppm;Driver de Processador Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-13 40448]
R1 kbdhid;Keyboard HID Driver; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-13 14720]
R1 SiSkp;SiSkp; C:\WINDOWS\system32\DRIVERS\srvkp.sys [2004-08-05 12416]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-11-25 56816]
R3 ALCXSENS;Service for WDM 3D Audio Driver; C:\WINDOWS\system32\drivers\ALCXSENS.SYS [2004-02-24 400384]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2004-08-02 635281]
R3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2008-11-12 103360]
R3 ElbyCDFL;ElbyCDFL; C:\WINDOWS\System32\Drivers\ElbyCDFL.sys [2007-02-15 34760]
R3 hidusb;Driver de classe HID da Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Mouse HID Driver; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-10-28 12288]
R3 NuidFltr;NUID filter driver; C:\WINDOWS\system32\DRIVERS\NuidFltr.sys [2009-05-09 14736]
R3 pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [2010-01-25 47360]
R3 rtl8139;Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver; C:\WINDOWS\system32\DRIVERS\R8139n51.SYS [2003-07-31 46976]
R3 SiS315;SiS315; C:\WINDOWS\system32\DRIVERS\sisgrp.sys [2004-08-05 220672]
R3 usbccgp;Microsoft USB Generic Parent Driver; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2 Enabled Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Microsoft USB Open Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2006-11-02 492000]
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2003-03-09 51024]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2003-03-09 16080]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2003-03-09 21456]
S3 usbprint;Microsoft USB PRINTER Class; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB Scanner Driver; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB Mass Storage Driver; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Programador; C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 GbpSv;Gbp Service; C:\ARQUIV~1\GbPlugin\GbpSv.exe [2010-02-18 54048]
R2 JavaQuickStarterService;Java Quick Starter; C:\Arquivos de programas\Java\jre6\bin\jqs.exe [2010-04-24 153376]
S3 NBService;NBService; C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe [2007-06-29 800040]
S3 NMIndexingService;NMIndexingService; C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe [2007-06-27 279848]
S3 ose;Office Source Engine; C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2003-03-09 65795]
S3 WMPNetworkSvc;Serviço de Compartilhamento de Rede do Windows Media Player; C:\Arquivos de programas\Windows Media Player\WMPNetwk.exe [2006-11-02 914944]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-13 14336]

-----------------EOF-----------------

info.txt

Spoiler

info.txt logfile of random's system information tool 1.06 2010-04-26 18:25:59

======Uninstall list======

-->C:\Arquivos de programas\Nero\Nero 7\\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
-->C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
-->C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNRecode.exe /UNINSTALL
-->RunDll32 C:\ARQUIV~1\ARQUIV~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Arquivos de programas\InstallShield Installation Information\{E06E4F4E-72D6-4497-BFFD-BCB43077C2F4}\setup.exe" -l0x416 -uninst
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Shockwave Player 11.5-->"C:\WINDOWS\system32\Adobe\Shockwave 11\uninstaller.exe"
Advanced SystemCare 3-->"C:\Arquivos de programas\IObit\Advanced SystemCare 3\unins000.exe"
AnyDVD-->"C:\Arquivos de programas\SlySoft\AnyDVD\AnyDVD-uninst.exe" /D="C:\Arquivos de programas\SlySoft\AnyDVD"
Arquivo do WinRAR-->C:\Arquivos de programas\WinRAR\uninstall.exe
Assistente de Conexão do Windows Live-->MsiExec.exe /I{51A9E3DD-37B8-47BB-8E67-5B76B3EFBC48}
Atualização de Segurança para o Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Atualização de Segurança para o Windows Media Player (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe"
Atualização de Segurança para o Windows Media Player (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Atualização de Segurança para o Windows Media Player (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9L$\spuninst\spuninst.exe"
Atualização de Segurança para o Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Atualização de Segurança para Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB971468)-->"C:\WINDOWS\$NtUninstallKB971468$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB972270)-->"C:\WINDOWS\$NtUninstallKB972270$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB975025)-->"C:\WINDOWS\$NtUninstallKB975025$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB975560)-->"C:\WINDOWS\$NtUninstallKB975560$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB975561)-->"C:\WINDOWS\$NtUninstallKB975561$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB975713)-->"C:\WINDOWS\$NtUninstallKB975713$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB977816)-->"C:\WINDOWS\$NtUninstallKB977816$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB977914)-->"C:\WINDOWS\$NtUninstallKB977914$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB978037)-->"C:\WINDOWS\$NtUninstallKB978037$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB978262)-->"C:\WINDOWS\$NtUninstallKB978262$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB978338)-->"C:\WINDOWS\$NtUninstallKB978338$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB978601)-->"C:\WINDOWS\$NtUninstallKB978601$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB978706)-->"C:\WINDOWS\$NtUninstallKB978706$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB979309)-->"C:\WINDOWS\$NtUninstallKB979309$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB979683)-->"C:\WINDOWS\$NtUninstallKB979683$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB980232)-->"C:\WINDOWS\$NtUninstallKB980232$\spuninst\spuninst.exe"
Atualização de Segurança para Windows XP (KB981349)-->"C:\WINDOWS\$NtUninstallKB981349$\spuninst\spuninst.exe"
Atualização para Windows Internet Explorer 7 (KB980182)-->"C:\WINDOWS\ie7updates\KB980182-IE7\spuninst\spuninst.exe"
Atualização para Windows Internet Explorer 8 (KB980182)-->"C:\WINDOWS\ie8updates\KB980182-IE8\spuninst\spuninst.exe"
Atualização para Windows Internet Explorer 8 (KB980302)-->"C:\WINDOWS\ie8updates\KB980302-IE8\spuninst\spuninst.exe"
Atualização para Windows XP (KB955759)-->"C:\WINDOWS\$NtUninstallKB955759$\spuninst\spuninst.exe"
Atualização para Windows XP (KB961503)-->"C:\WINDOWS\$NtUninstallKB961503$\spuninst\spuninst.exe"
Atualização para Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Atualização para Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Atualização para Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe"
Atualização para Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Arquivos de programas\Avira\AntiVir Desktop\setup.exe /REMOVE
CCleaner-->"C:\Arquivos de programas\CCleaner\uninst.exe"
CCProxy 6.65 Build on 20091030-->"C:\CCProxy\unins000.exe"
CloneCD-->"C:\Arquivos de programas\SlySoft\CloneCD\ccd-uninst.exe" /D="C:\Arquivos de programas\SlySoft\CloneCD"
CloneDVD2-->"C:\Arquivos de programas\Elaborate Bytes\CloneDVD2\CloneDVD2-uninst.exe" /D="C:\Arquivos de programas\Elaborate Bytes\CloneDVD2"
Compatibility Pack for the 2007 Office system-->MsiExec.exe /X{90120000-0020-0409-0000-0000000FF1CE}
ConvertXtoDVD 3.5.2.137-->"C:\Arquivos de programas\VSO\ConvertX\3\unins000.exe"
Creative DVD Audio Plugin for Audigy Series-->"C:\Arquivos de programas\Creative\CTDPlugin\CTUIDVD.exe " -u
Disco de recordações HP-->MsiExec.exe /X{B376402D-58EA-45EA-BD50-DD924EB67A70}
Ferramenta de Carregamento do Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Foxit Reader-->C:\Arquivos de programas\Foxit Software\Foxit Reader\Uninstall.exe
HijackThis 2.0.2-->"C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix para o Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix para Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix para Windows XP (KB979306)-->"C:\WINDOWS\$NtUninstallKB979306$\spuninst\spuninst.exe"
HP Foto e Imagem 2.0 - All-in-One Drivers-->MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}
HP Foto e Imagem 2.0 - All-in-One-->MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1}
HP Foto e Imagem 2.0 - hp psc 1200 series-->C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot
hp psc 1200 series-->MsiExec.exe /X{C900EF06-2E76-49C7-8DB0-41F629B21DC5}
InterVideo WinDVD 7-->"C:\Arquivos de programas\InstallShield Installation Information\{90885A82-9673-49EA-AB39-AF776639C67C}\setup.exe" REMOVEALL
Java(TM) 6 Update 20-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF}
K-Lite Codec Pack 5.6.1 (Basic)-->"C:\Arquivos de programas\K-Lite Codec Pack\unins000.exe"
Messenger Plus! Live-->"C:\Arquivos de programas\Messenger Plus! Live\Uninstall.exe"
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Professional Edição 2003-->MsiExec.exe /I{90110416-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC}
MSXML 6 Service Pack 2 (KB973686)-->MsiExec.exe /I{71A19069-B6DF-4C11-AEED-42CBAC96A170}
MV RegClean 5.9-->"C:\Arquivos de programas\Marcos Velasco Security\MV RegClean 5.9\unins000.exe"
Nero 7 Ultra Edition-->MsiExec.exe /X{CF097717-F174-4144-954A-FBC4BF301046}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Realtek AC'97 Audio-->RunDll32 C:\ARQUIV~1\ARQUIV~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Arquivos de programas\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE
Realtek RTL8139/810x Fast Ethernet NIC Driver Setup-->RunDll32 C:\ARQUIV~1\ARQUIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Arquivos de programas\InstallShield Installation Information\{97AA0C55-AFAD-4126-B21C-F1318FB6DADA}\setup.exe" -l0x416 REMOVE
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
SiS 661FX-->Rundll32 SiSInst.dll,Uninstall VGA,R
SiSRaidPackage-->RunDll32 C:\ARQUIV~1\ARQUIV~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Arquivos de programas\InstallShield Installation Information\{08498FF9-6C9B-4FC2-8DE1-BD98C89CC220}\setup.exe" -l0x416
Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
Windows Live Call-->MsiExec.exe /I{32BC546A-8AA3-4239-AE92-9CF3291C35A6}
Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live Essentials-->C:\Arquivos de programas\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{F2CD4651-F948-467C-B014-71FD981B7F59}
Windows Live Messenger-->MsiExec.exe /X{B5ED7AB0-3838-4389-8549-7C8E22DD48F4}
Windows Media Format 11 runtime-->"C:\Arquivos de programas\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Arquivos de programas\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"

=====HijackThis Backups=====

O4 - Global Startup: AutorunsDisabled [2010-04-16]
[2010-04-16]
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Arquivos de programas\DAEMON Tools Toolbar\DTToolbar.dll [2010-04-16]
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) [2010-04-16]

======Hosts File======

127.0.0.1 porrete.blogspot.com
127.0.0.1 viourai.brogui.com
127.0.0.1 www.gratisspill.ws
127.0.0.1 www.poxnora.com
127.0.0.1 911surf.info
127.0.0.1 stupidfest.com
127.0.0.1 www.uniregistro.com.br
127.0.0.1 uniregistro.com.br
127.0.0.1 www.truveo.com
127.0.0.1 www.portforward.com

======Security center information======

AV: AntiVir Desktop

======System event log======

Computer Name: CIDINHAA-3E75D7
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Uniprocessor Free.

Record Number: 2440
Source Name: EventLog
Time Written: 20100316210830.000000-180
Event Type: Informações
User:

Computer Name: CIDINHAA-3E75D7
Event Code: 6006
Message: O serviço Log de eventos foi finalizado.

Record Number: 2439
Source Name: EventLog
Time Written: 20100316202251.000000-180
Event Type: Informações
User:

Computer Name: CIDINHAA-3E75D7
Event Code: 20159
Message: A conexão com TERRA feita pelo usuário alencarcid@terra.com.br, utilizando o dispositivo PPPoE6-0, foi desconectada.

Record Number: 2438
Source Name: RemoteAccess
Time Written: 20100316202249.000000-180
Event Type: Informações
User:

Computer Name: CIDINHAA-3E75D7
Event Code: 7036
Message: O serviço IMAPI CD-Burning COM Service entrou no estado interrompido.

Record Number: 2437
Source Name: Service Control Manager
Time Written: 20100316180319.000000-180
Event Type: Informações
User:

Computer Name: CIDINHAA-3E75D7
Event Code: 20158
Message: O usuário alencarcid@terra.com.br estabeleceu com êxito uma conexão a TERRA usando o dispositivo PPPoE6-0.

Record Number: 2436
Source Name: RemoteAccess
Time Written: 20100316180316.000000-180
Event Type: Informações
User:

=====Application event log=====

Computer Name: CIDINHAA-3E75D7
Event Code: 1000
Message: Os contadores de desempenho para o serviço MSDTC (MSDTC) foram carregados com êxito.
A página 'Registrar dados' contém os novos valores de índice atribuídos
ao serviço.

Record Number: 5
Source Name: LoadPerf
Time Written: 20100125110809.000000-120
Event Type: Informações
User:

Computer Name: CIDINHAA-3E75D7
Event Code: 1000
Message: Os contadores de desempenho para o serviço TermService (Serviços de terminal) foram carregados com êxito.
A página 'Registrar dados' contém os novos valores de índice atribuídos
ao serviço.

Record Number: 4
Source Name: LoadPerf
Time Written: 20100125110806.000000-120
Event Type: Informações
User:

Computer Name: CIDINHAA-3E75D7
Event Code: 1000
Message: Os contadores de desempenho para o serviço RemoteAccess (Roteamento e acesso remoto) foram carregados com êxito.
A página 'Registrar dados' contém os novos valores de índice atribuídos
ao serviço.

Record Number: 3
Source Name: LoadPerf
Time Written: 20100125105916.000000-120
Event Type: Informações
User:

Computer Name: CIDINHAA-3E75D7
Event Code: 1000
Message: Os contadores de desempenho para o serviço PSched (PSched) foram carregados com êxito.
A página 'Registrar dados' contém os novos valores de índice atribuídos
ao serviço.

Record Number: 2
Source Name: LoadPerf
Time Written: 20100125105850.000000-120
Event Type: Informações
User:

Computer Name: CIDINHAA-3E75D7
Event Code: 1000
Message: Os contadores de desempenho para o serviço RSVP (QoS RSVP) foram carregados com êxito.
A página 'Registrar dados' contém os novos valores de índice atribuídos
ao serviço.

Record Number: 1
Source Name: LoadPerf
Time Written: 20100125105849.000000-120
Event Type: Informações
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 1, GenuineIntel
"PROCESSOR_REVISION"=0401
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

 

[Vicalvi]

Olá pessoal, boa tarde a todos! Vou responder neste mesmo post para não floodar ok.

healer, se o e-mail de sua mãe foi capturado por bots da web, vai ser bem díficil parar o envio de spams. Mas, uma pergunta essencial: Sua mãe está enviando os spams, ou apenas recebendo-os?

A princípio, peça à ela que altere imediatamente a senha do e-mail, de preferência em seu PC (pois o dela pode estar comprometido por algum worm, que o Avira não tenha detectado).

Um spammer também pode estar usando a conta de e-mail da sua mãe para realizar uma técnica conhecida como E-mail Spoofing. O Spoofing é uma técnica utilizada para práticas de spam e phishing, com o intuito de ocultar a origem do e-mail. Hoje em dia os spammers usufruem bastante desta técnica para enviar e-mails forjando o destinatário.

Porém, antes de mais nada, faça a alteração da senha e verifique se resultou positivamente.

Obrigado pela dica Mr.Wolf, vou testar e depois lhe retorno algo.

Um abraço.

 

[Mauricio Fabiano]

Caro Mr.Wolf, boa noite

Venho até vc trazer alguns abacaxis que estou enfrentando em meu Micro.

Ontem formatei o dito cujo e logo depois da instalação do Win fui instalar um Anti-Virus, como sempre faço. Ok. Baixei o Avast 5 e quando fui instalar demorou mais de 1 hora --------> primeira coisa suspeita.

Depois dessa imensa espera da exata 1 hora de instalação, que foi instalado mais de 3 Gigas de arquivos me meu HD que tem 520 Gigas --------------> segunda coisa suspeita.

Certo. Fui abrir o Avast para atualizá-lo e configurar ao meu gosto. Só que houve um grave problema, ao abri-lo ele de cara já acusou 300 vírus no Micro e logo fechou, sem chance de eu printar a imagem ou ver os arquivos detectados --------------------> terceira coisa suspeita.

Eu não tinha instalado nada antes, nem o navegador Opera que é o que eu uso, baixei até pelo I.E. 6 que é de praxe.

Teimei em abrir o Gerenciador de Tarefas e logo de cara, o Ctrl + Alt + Del não funcionou. Procurei na net e tentei executar os comandos no CMD para tentar abrir. Sem resultado --------------> quarta coisa suspeita.

Fiquei putissimo fui deitar e deixar pra resolver hoje, quando tive uma nova surpresa. Meu Micro não iniciou em Modo Normal, tive que iniciar em Modo de Segurança ---------------> quinta coisa suspeita.

Tive que reinstalar o Win no Micro recém formatado ontem (26/04/2010). Depois disso consegui entrar novamente em Modo Normal. Mas outro detalhe chato, demora mais de 10 minutos pra iniciar, antes levava apenas 5 segundos, e além do mais, não tenho nenhum programa além do Anti-Virus instalado, portanto deveria iniciar na velocidade da luz creio eu -----------------> sexta coisa suspeita.

Até agora tentando uma solução e não obtive nenhum, Mr.Wolf. Tentei dar um Uninstall no Avast mas o danado não quer sair de jeito nenhum.

Enfim, pergunto à vossa pessoa Mr.Wolf, o Avast está instalando Vírus agora? oO Porque não é possivel. Antes de eu instalá-lo estava tudo na maior tranquilidade, tudo na santa paz, foi instalar ele que o problema começou logo no começo da instalação.

Atenciosamente,
Aguardo seu retorno

 

[rodrigooab]

Segue em anexo o log do ComboFix:

Spoiler

ComboFix 10-04-26.04 - User 27/04/2010 8:27.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.2039.1137 [GMT -3:00]
Executando de: c:\documents and settings\User\Desktop\ComboFix.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
.
ADS - drivers: deleted 608 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\arquiv~1\GbPlugin\gbiehuni.dll
c:\arquivos de programas\GbPlugin\gbiehcef.dll
c:\bancobrasil\officePLUGIN\index.html
C:\LOG1.tmp
C:\LOG10.tmp
C:\LOG101.tmp
C:\LOG107.tmp
C:\LOG10A.tmp
C:\LOG11.tmp
C:\LOG110.tmp
C:\LOG111.tmp
C:\LOG113.tmp
C:\LOG114.tmp
C:\LOG116.tmp
C:\LOG11B.tmp
C:\LOG12.tmp
C:\LOG12D.tmp
C:\LOG13.tmp
C:\LOG13B.tmp
C:\LOG13E.tmp
C:\LOG14.tmp
C:\LOG141.tmp
C:\LOG147.tmp
C:\LOG148.tmp
C:\LOG14A.tmp
C:\LOG14B.tmp
C:\LOG14D.tmp
C:\LOG14E.tmp
C:\LOG15.tmp
C:\LOG150.tmp
C:\LOG15E.tmp
C:\LOG15F.tmp
C:\LOG16.tmp
C:\LOG161.tmp
C:\LOG169.tmp
C:\LOG16B.tmp
C:\LOG16C.tmp
C:\LOG17.tmp
C:\LOG170.tmp
C:\LOG175.tmp
C:\LOG176.tmp
C:\LOG177.tmp
C:\LOG17E.tmp
C:\LOG18.tmp
C:\LOG182.tmp
C:\LOG183.tmp
C:\LOG184.tmp
C:\LOG185.tmp
C:\LOG186.tmp
C:\LOG19.tmp
C:\LOG193.tmp
C:\LOG194.tmp
C:\LOG195.tmp
C:\LOG197.tmp
C:\LOG199.tmp
C:\LOG19A.tmp
C:\LOG19E.tmp
C:\LOG19F.tmp
C:\LOG1A.tmp
C:\LOG1AF.tmp
C:\LOG1B.tmp
C:\LOG1BD.tmp
C:\LOG1C.tmp
C:\LOG1C3.tmp
C:\LOG1C9.tmp
C:\LOG1CA.tmp
C:\LOG1CB.tmp
C:\LOG1D.tmp
C:\LOG1DB.tmp
C:\LOG1DC.tmp
C:\LOG1E.tmp
C:\LOG1E5.tmp
C:\LOG1F.tmp
C:\LOG1F3.tmp
C:\LOG2.tmp
C:\LOG20.tmp
C:\LOG201.tmp
C:\LOG209.tmp
C:\LOG21.tmp
C:\LOG210.tmp
C:\LOG217.tmp
C:\LOG22.tmp
C:\LOG221.tmp
C:\LOG228.tmp
C:\LOG23.tmp
C:\LOG231.tmp
C:\LOG237.tmp
C:\LOG24.tmp
C:\LOG25.tmp
C:\LOG256.tmp
C:\LOG25A.tmp
C:\LOG25B.tmp
C:\LOG26.tmp
C:\LOG26A.tmp
C:\LOG27.tmp
C:\LOG28.tmp
C:\LOG280.tmp
C:\LOG286.tmp
C:\LOG288.tmp
C:\LOG29.tmp
C:\LOG2A.tmp
C:\LOG2A0.tmp
C:\LOG2AB.tmp
C:\LOG2B.tmp
C:\LOG2C.tmp
C:\LOG2CA.tmp
C:\LOG2D.tmp
C:\LOG2D4.tmp
C:\LOG2D5.tmp
C:\LOG2E.tmp
C:\LOG2F.tmp
C:\LOG2F0.tmp
C:\LOG3.tmp
C:\LOG30.tmp
C:\LOG302.tmp
C:\LOG30B.tmp
C:\LOG31.tmp
C:\LOG318.tmp
C:\LOG32.tmp
C:\LOG322.tmp
C:\LOG33.tmp
C:\LOG34.tmp
C:\LOG34F.tmp
C:\LOG35.tmp
C:\LOG35A.tmp
C:\LOG36.tmp
C:\LOG37.tmp
C:\LOG370.tmp
C:\LOG38.tmp
C:\LOG38A.tmp
C:\LOG39.tmp
C:\LOG394.tmp
C:\LOG3A.tmp
C:\LOG3B.tmp
C:\LOG3B8.tmp
C:\LOG3C.tmp
C:\LOG3D.tmp
C:\LOG3E.tmp
C:\LOG3F.tmp
C:\LOG4.tmp
C:\LOG40.tmp
C:\LOG41.tmp
C:\LOG42.tmp
C:\LOG43.tmp
C:\LOG44.tmp
C:\LOG45.tmp
C:\LOG46.tmp
C:\LOG47.tmp
C:\LOG48.tmp
C:\LOG49.tmp
C:\LOG4A.tmp
C:\LOG4B.tmp
C:\LOG4C.tmp
C:\LOG4D.tmp
C:\LOG4E.tmp
C:\LOG4F.tmp
C:\LOG5.tmp
C:\LOG50.tmp
C:\LOG51.tmp
C:\LOG52.tmp
C:\LOG53.tmp
C:\LOG54.tmp
C:\LOG54F.tmp
C:\LOG55.tmp
C:\LOG56.tmp
C:\LOG57.tmp
C:\LOG58.tmp
C:\LOG59.tmp
C:\LOG5A.tmp
C:\LOG5B.tmp
C:\LOG5C.tmp
C:\LOG5D.tmp
C:\LOG5E.tmp
C:\LOG5F.tmp
C:\LOG6.tmp
C:\LOG60.tmp
C:\LOG61.tmp
C:\LOG62.tmp
C:\LOG63.tmp
C:\LOG64.tmp
C:\LOG65.tmp
C:\LOG66.tmp
C:\LOG67.tmp
C:\LOG68.tmp
C:\LOG69.tmp
C:\LOG6A.tmp
C:\LOG6B.tmp
C:\LOG6C.tmp
C:\LOG6D.tmp
C:\LOG6E.tmp
C:\LOG6F.tmp
C:\LOG7.tmp
C:\LOG70.tmp
C:\LOG71.tmp
C:\LOG72.tmp
C:\LOG73.tmp
C:\LOG74.tmp
C:\LOG75.tmp
C:\LOG76.tmp
C:\LOG77.tmp
C:\LOG78.tmp
C:\LOG79.tmp
C:\LOG7A.tmp
C:\LOG7B.tmp
C:\LOG7C.tmp
C:\LOG7D.tmp
C:\LOG7E.tmp
C:\LOG7F.tmp
C:\LOG8.tmp
C:\LOG80.tmp
C:\LOG81.tmp
C:\LOG82.tmp
C:\LOG83.tmp
C:\LOG84.tmp
C:\LOG85.tmp
C:\LOG86.tmp
C:\LOG87.tmp
C:\LOG88.tmp
C:\LOG89.tmp
C:\LOG8A.tmp
C:\LOG8B.tmp
C:\LOG8C.tmp
C:\LOG8D.tmp
C:\LOG8E.tmp
C:\LOG8F.tmp
C:\LOG9.tmp
C:\LOG90.tmp
C:\LOG91.tmp
C:\LOG92.tmp
C:\LOG93.tmp
C:\LOG94.tmp
C:\LOG95.tmp
C:\LOG96.tmp
C:\LOG97.tmp
C:\LOG98.tmp
C:\LOG99.tmp
C:\LOG9A.tmp
C:\LOG9B.tmp
C:\LOG9C.tmp
C:\LOG9D.tmp
C:\LOG9E.tmp
C:\LOG9F.tmp
C:\LOGA.tmp
C:\LOGA0.tmp
C:\LOGA1.tmp
C:\LOGA2.tmp
C:\LOGA3.tmp
C:\LOGA4.tmp
C:\LOGA5.tmp
C:\LOGA6.tmp
C:\LOGA7.tmp
C:\LOGA8.tmp
C:\LOGA9.tmp
C:\LOGAA.tmp
C:\LOGAB.tmp
C:\LOGAC.tmp
C:\LOGAD.tmp
C:\LOGAE.tmp
C:\LOGAF.tmp
C:\LOGB.tmp
C:\LOGB0.tmp
C:\LOGB1.tmp
C:\LOGB2.tmp
C:\LOGB3.tmp
C:\LOGB4.tmp
C:\LOGB5.tmp
C:\LOGB6.tmp
C:\LOGB7.tmp
C:\LOGB8.tmp
C:\LOGB9.tmp
C:\LOGBA.tmp
C:\LOGBB.tmp
C:\LOGBC.tmp
C:\LOGBD.tmp
C:\LOGBE.tmp
C:\LOGBF.tmp
C:\LOGC.tmp
C:\LOGC0.tmp
C:\LOGC1.tmp
C:\LOGC2.tmp
C:\LOGC4.tmp
C:\LOGC7.tmp
C:\LOGCD.tmp
C:\LOGD.tmp
C:\LOGD2.tmp
C:\LOGD6.tmp
C:\LOGE.tmp
C:\LOGEC.tmp
C:\LOGED.tmp
C:\LOGF.tmp
C:\LOGF1.tmp
C:\LOGF2.tmp
C:\LOGF6.tmp
C:\LOGF7.tmp
C:\LOGFB.tmp
C:\LOGFC.tmp
C:\LOGFD.tmp
C:\LOGFE.tmp
c:\windows\system32\1227788041

.
(((((((((((((((( Arquivos/Ficheiros criados de 2010-03-27 to 2010-04-27 ))))))))))))))))))))))))))))
.

2010-04-27 11:27 . 2010-04-27 11:27 12568 ----a-w- c:\windows\system32\drivers\PROCEXP113.SYS
2010-04-27 11:23 . 2010-04-27 11:23 -------- d-----w- C:\32788R22FWJFW
2010-04-26 18:36 . 2009-12-02 17:16 1324720 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.VDB\vd312602.vdb\NAVEX15.SYS
2010-04-26 18:36 . 2009-12-02 17:15 84912 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.VDB\vd312602.vdb\NAVENG.SYS
2010-04-26 18:36 . 2009-11-10 21:48 1647984 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.VDB\vd312602.vdb\NAVEX32A.DLL
2010-04-26 18:36 . 2009-11-10 21:48 177520 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.VDB\vd312602.vdb\NAVENG32.DLL
2010-04-26 18:36 . 2010-04-19 08:00 259440 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.VDB\vd312602.vdb\ECMSVR32.DLL
2010-04-26 18:36 . 2009-12-07 23:01 2747440 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.VDB\vd312602.vdb\CCERASER.DLL
2010-04-26 18:36 . 2009-08-17 23:15 102448 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.VDB\vd312602.vdb\ERASER.SYS
2010-04-26 18:36 . 2009-08-17 23:15 371248 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.VDB\vd312602.vdb\EECTRL.SYS
2010-04-26 18:35 . 2010-04-26 08:00 259440 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.VDB\vd313403.vdb\ECMSVR32.DLL
2010-04-26 18:35 . 2009-12-07 23:01 2747440 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.VDB\vd313403.vdb\CCERASER.DLL
2010-04-26 18:35 . 2009-12-02 17:16 1324720 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.VDB\vd313403.vdb\NAVEX15.SYS
2010-04-26 18:35 . 2009-12-02 17:15 84912 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.VDB\vd313403.vdb\NAVENG.SYS
2010-04-26 18:35 . 2009-11-10 21:48 1647984 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.VDB\vd313403.vdb\NAVEX32A.DLL
2010-04-26 18:35 . 2009-11-10 21:48 177520 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.VDB\vd313403.vdb\NAVENG32.DLL
2010-04-26 18:35 . 2009-08-17 23:15 102448 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.VDB\vd313403.vdb\ERASER.SYS
2010-04-26 18:35 . 2009-08-17 23:15 371248 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Symantec\Symantec AntiVirus Corporate Edition\7.5\I2_LDVP.VDB\vd313403.vdb\EECTRL.SYS
2010-04-26 11:50 . 2010-04-26 11:50 -------- d-----w- c:\arquivos de programas\CCleaner
2010-04-26 11:40 . 2010-04-26 11:40 -------- d-----w- c:\arquivos de programas\Trend Micro
2010-04-22 12:18 . 2007-10-12 19:33 180224 ----a-r- c:\windows\system32\igfxres.dll
2010-04-22 12:10 . 2007-10-12 19:33 147456 ----a-r- c:\windows\system32\igfxCoIn_v4864.dll
2010-03-31 11:43 . 2010-03-25 13:56 131360 ----a-w- c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\jw9xoa0a.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E886C}\components\GbMzhBb.dll
2010-03-29 12:06 . 2010-02-17 19:20 114360 ----a-w- c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\jw9xoa0a.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-27 11:35 . 2008-04-17 19:42 -------- d-----w- c:\arquivos de programas\Symantec AntiVirus
2010-04-27 11:33 . 2008-07-03 13:49 -------- d-----w- c:\arquivos de programas\GbPlugin
2010-04-27 11:33 . 2008-03-26 11:49 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\GbPlugin
2010-04-27 11:31 . 2010-03-22 12:17 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Babylon
2010-04-26 11:52 . 2008-04-16 19:17 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy
2010-04-14 11:14 . 2008-12-12 10:41 31080 ----a-w- c:\windows\system32\drivers\GbpKm.sys
2010-04-06 14:33 . 2008-03-16 21:18 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Adobe
2010-03-25 12:37 . 2010-03-25 12:37 -------- d-----w- c:\arquivos de programas\ShowMyPCService
2010-03-22 14:53 . 2008-03-16 20:41 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help
2010-03-22 12:34 . 2010-03-22 12:17 -------- d-----w- c:\documents and settings\User\Dados de aplicativos\Babylon
2010-03-22 12:18 . 2010-03-22 12:18 -------- d-----w- c:\arquivos de programas\Conduit
2010-03-22 12:18 . 2010-03-22 12:18 -------- d-----w- c:\arquivos de programas\myBabylon_English
2010-03-22 12:18 . 2010-03-22 12:18 -------- d-----w- c:\arquivos de programas\Babylon
2010-03-05 12:15 . 2010-03-05 12:15 -------- d-----w- c:\arquivos de programas\Windows Media Connect 2
2010-03-05 12:04 . 2009-12-14 16:58 -------- d-----w- c:\arquivos de programas\CDBurnerXP
2010-02-22 10:44 . 2001-10-28 15:07 68408 ----a-w- c:\windows\system32\perfc016.dat
2010-02-22 10:44 . 2001-10-28 15:07 428340 ----a-w- c:\windows\system32\perfh016.dat
.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}"= "c:\arquivos de programas\myBabylon_English\tbmyBa.dll" [2009-12-31 2349080]

[HKEY_CLASSES_ROOT\clsid\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]
2009-12-31 14:53 2349080 ----a-w- c:\arquivos de programas\myBabylon_English\tbmyBa.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}"= "c:\arquivos de programas\myBabylon_English\tbmyBa.dll" [2009-12-31 2349080]

[HKEY_CLASSES_ROOT\clsid\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}"= "c:\arquivos de programas\myBabylon_English\tbmyBa.dll" [2009-12-31 2349080]

[HKEY_CLASSES_ROOT\clsid\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-18 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="c:\arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe" [2006-07-19 52896]
"vptray"="c:\arquiv~1\SYMANT~1\VPTray.exe" [2006-09-27 125168]
"epsng_certd"="c:\arquivos de programas\ngsrv\epsng_certd.exe" [2009-12-15 251168]
"FreePDF Assistant"="c:\arquivos de programas\FreePDF_XP\fpassist.exe" [2008-07-23 357376]
"Babylon Client"="c:\arquivos de programas\Babylon\Babylon-Pro\Babylon.exe" [2010-02-17 3738856]
"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-10-12 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-10-12 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-10-12 137752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\arquivos de programas\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-27 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginAbn]
2010-04-14 11:14 310824 ------w- c:\arquiv~1\GbPlugin\gbiehabn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
2010-02-18 13:19 323360 ----a-w- c:\arquivos de programas\GbPlugin\gbieh.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\FT12BaseSmc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\FT12_USB]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ngSlotD]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCardSvr]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{50DD5230-BA8A-11D1-BF5D-0000F805F530}]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Corel MEDIA FOLDERS INDEXER 8.LNK]
path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Corel MEDIA FOLDERS INDEXER 8.LNK
backup=c:\windows\pss\Corel MEDIA FOLDERS INDEXER 8.LNKCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Windows Search.lnk]
path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\Windows Search.lnk
backup=c:\windows\pss\Windows Search.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 10:43 69632 ------r- c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2006-11-16 22:04 139264 ----a-w- c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
2006-07-19 22:26 52896 ----a-w- c:\arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2004-08-04 03:45 15360 ----a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2007-10-12 19:33 166424 ----a-r- c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2007-10-12 19:33 141848 ----a-r- c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 18:44 3883840 ----a-w- c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2007-10-12 19:33 137752 ----a-r- c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-06-13 06:49 16377344 ------r- c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-09-18 18:54 39408 ----a-w- c:\arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vptray]
2006-09-27 23:33 125168 ----a-w- c:\arquiv~1\SYMANT~1\VPTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\Mozilla Firefox\\firefox.exe"=
"c:\\Arquivos de programas\\xerox\\nwwia\\XrxFTPLt.exe"=
"c:\\Arquivos de programas\\Opera\\opera.exe"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCPxpsp2res.dll,-22009
"3050:TCP"= 3050:TCP:InterBase

R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\GbpKm.sys [12/12/2008 07:41 31080]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\arquivos de programas\Firebird\Firebird_2_1\bin\fbguard.exe [15/12/2009 09:31 81920]
R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [03/07/2008 10:49 54376]
R2 ngSlotD;ngSlotDaemon;c:\arquivos de programas\ngsrv\ngslotd.exe [15/12/2009 09:42 181536]
R2 SavRoam;SAVRoam;c:\arquivos de programas\Symantec AntiVirus\SavRoam.exe [27/09/2006 20:33 116464]
R2 SpPortEx;Samsung Port Exclusion;c:\windows\system32\drivers\SpPortEx.sys [20/03/2008 15:15 7168]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\arquivos de programas\Arquivos comuns\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [01/09/2009 10:18 102448]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\arquivos de programas\Firebird\Firebird_2_1\bin\fbserver.exe [15/12/2009 09:31 2732032]
R3 FT12BaseSmc;USB Card Holder Service;c:\windows\system32\drivers\smccardc.sys [15/12/2009 09:42 13056]
S3 FT12_USB;USB Card Service;c:\windows\system32\drivers\FT12USB.sys [15/12/2009 09:42 11904]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Conteúdo da pasta 'Tarefas Agendadas'

2009-05-20 c:\windows\Tasks\User_Feed_Synchronization-{63C7D770-79E9-4401-9EC3-ADFB0AB0A961}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 07:31]
.
.
------- Scan Suplementar -------
.
uStart Page = hxxp://www.uol.com.br/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = 66.192.19.53:80
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Translate this web page with Babylon - c:\arquivos de programas\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
IE: Translate with Babylon - c:\arquivos de programas\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
IE: {{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://c:\arquivos de programas\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
TCP: {F1F90C07-0CF9-4154-97A8-00B3CE36FB4D} = 201.10.128.3,201.10.120.3
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {9EC30204-384D-11D3-9CA3-00A024F0AF03} - hxxps://cpne.bradesco.com.br/certifexp.cab
DPF: {A2CD4A80-DDA5-11D3-8DAC-0000B45FF7C8} - hxxps://ic400.interchange.com.br/icnet/Componentes/ICWCLI.CAB
DPF: {B3D3825B-2120-4B0E-8C45-80ECC1D3E70D} - hxxps://cpne.bradesco.com.br/CA.cab
DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - hxxps://www14.bancobrasil.com.br/plugin/GbpDist.cab
DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} - hxxps://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab
FF - ProfilePath - c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\jw9xoa0a.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.uol.com.br/
FF - component: c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\jw9xoa0a.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll
FF - component: c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\jw9xoa0a.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E886C}\components\GbMzhBb.dll
FF - component: c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\jw9xoa0a.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E886D}\components\GbMzhCef.dll
FF - component: c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\jw9xoa0a.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E8874}\components\GbMzhAbn.dll
FF - plugin: c:\arquivos de programas\Java\jre1.5.0_15\bin\NPJPI150_15.dll
FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\np-mswmp.dll

---- FIREFOX POLICIES ----
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\arquivos de programas\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\arquivos de programas\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORFÃOS REMOVIDOS - - - -

ShellExecuteHooks-{E37CB5F0-51F5-4395-A808-5FA49E399008} - c:\arquiv~1\GbPlugin\gbiehuni.dll
ShellExecuteHooks-{E37CB5F0-51F5-4395-A808-5FA49E399003} - c:\arquivos de programas\GbPlugin\gbiehcef.dll
Notify- a4sec - c:\windows\system32\1227788041\f4.dll
Notify- GbPluginCef - c:\arquivos de programas\GbPlugin\gbiehCef.dll
Notify- GbPluginUni - c:\arquiv~1\GbPlugin\gbiehuni.dll
MSConfigStartUp-1222999226 - c:\windows\system32\1222999226\winlogon.exe
MSConfigStartUp-1227788041 - c:\windows\system32\1227788041\winlogon.exe
MSConfigStartUp-HP Software Update - c:\arquivos de programas\HP\HP Software Update\HPWuSchd2.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-27 08:35
Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(1172)
c:\arquiv~1\GbPlugin\gbiehabn.dll
c:\arquivos de programas\GBPLUGIN\gbieh.dll

- - - - - - - > 'Explorer.EXE'(152)
c:\windows\system32\WININET.dll
c:\arquiv~1\GbPlugin\gbiehabn.dll
c:\arquivos de programas\GBPLUGIN\gbieh.dll
c:\arquivos de programas\Windows Desktop Search\MSNLNamespaceMgr.dll
c:\windows\system32\webcheck.dll
c:\arquivos de programas\Scpad\scpLIB.dll
c:\arquivos de programas\Scpad\scpMIB.dll
c:\arquivos de programas\Scpad\sshib.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Outros Processos em Execução ------------------------
.
c:\arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe
c:\arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe
c:\windows\System32\SCardSvr.exe
c:\windows\system32\netdde.exe
c:\arquivos de programas\Symantec AntiVirus\DefWatch.exe
c:\arquivos de programas\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\drwtsn32.exe
c:\arquivos de programas\Symantec AntiVirus\Rtvscan.exe
c:\windows\system32\imapi.exe
c:\windows\system32\drwtsn32.exe
.
**************************************************************************
.
Tempo para conclusão: 2010-04-27 08:38:31 - Máquina reiniciou
ComboFix-quarantined-files.txt 2010-04-27 11:38

Pré-execução: 22 pasta(s) 26.305.597.440 bytes disponíveis
Pós execução: 25 pasta(s) 26.261.372.928 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 6C2BD718C4F213BD069B2F1F54332822

 

[Mr.Wolf]

Boa tarde pessoal!


carolgsn, não gosto muito do CCProxy, embora ele não seja ruim. Mas se desejava utilizar um programa apenas para impedir acesso a conteúdos pornográficos, o BlockFree era uma ótima opção. É gratuito, fácil de utilizar, para uso doméstico mesmo, não instala tantos arquivos desnecessários como o CCProxy e é eficaz. Mas como já instalou o instalou, ignore isto.

Abra o HijackThis e clique em Do a system scan only. Marque a entrada abaixo e clique no botão Fix checked:

F2 - REG:system.ini: Shell=

No mais, não há nada errado com os logs, Carol. O Win32kDiag corrigiu o único problema que havia nas chaves MountPoint2 do registro.

Poderia me dizer, especificamente, qual é o problema que ocorre com o PC?

Atentando-se para o fato de sua tia ter instalado o WGA através das atualizações do XP, não seria ele, o problema suspeitado por você?

______________________________________


Mauricio Fabiano, o Avast! não instala nenhum tipo de vírus, adware, spyware e afins. Aliás, nenhum antivirus legítimo faz isso. Seria crime se as empresas praticassem tal ato.

Agora, eu lhe pergunto: De onde baixou o Avast!? Pressupondo que não tenha sido da página oficial da empresa (que é o correto a se fazer), poderia revelar a fonte do download? Você pode ter sido vítima de um phishing.

Outro detalhe, se você ainda tiver e puder fazer isso, envie para nós o instalador/executável responsável pela prolongada e totalmente suspeita "uma hora de instalação", segundo você afirmou, do antivirus. O endereço é: expert_malwaretech@hotmail.com

Pode zipar o arquivo e enviá-lo. Ou se preferir, compacte-o com senha, seguindo este tutorial, e envie-o. Peço, gentilmente, que adicione seu nome de usuário do fórum e o link para este tópico no e-mail. Pois recebemos inúmeros e-mails neste endereço.

______________________________________


rodrigooab, siga abaixo:

Spoiler

1ª Etapa

Selecione e copie este texto abaixo. Cole no Bloco de Notas e salve no desktop como CFScript.txt

File::
c:\windows\system32\drivers\GbpKm.sys
c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\jw9xoa0a.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E886C}\components\GbMzhBb.dll
Folder::
c:\arquivos de programas\GbPlugin
c:\documents and settings\All Users\Dados de aplicativos\GbPlugin
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\GbPluginAbn]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\GbPluginBb]
Driver::
GbpKm
GbpSv
DDS::
DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - hxxps://www14.bancobrasil.com.br/plugin/GbpDist.cab
DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} - hxxps://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab
Firefox::
FF - component: c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\jw9xoa0a.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E886C}\components\GbMzhBb.dll
FF - component: c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\jw9xoa0a.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E886D}\components\GbMzhCef.dll
FF - component: c:\documents and settings\User\Dados de aplicativos\Mozilla\Firefox\Profiles\jw9xoa0a.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E8874}\components\GbMzhAbn.dll

Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:

● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;
● Não use o mouse nem o teclado quando o ComboFix estiver rodando;
● Quando terminar, será gerado um novo log que estará em C:\ComboFix.txt;
● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.

Na sua próxima resposta, cole o ComboFix.txt e um novo log do HijackThis.


2ª Etapa

Baixe o SysProt e salve no desktop.

Extraia o arquivo no desktop e execute o arquivo SysProt.exe.
Clique na aba "Log", e em Write to log, marque todos os itens conforme a imagem abaixo:

No canto inferior direito, clique no botão

Quando aparecer uma outra janela, marque a opção "Scan all drives" e clique em Start. Aguarde o scan!
Ao término, clique em OK na mensagem final.
O log SysProtLog.txt se encontrará dentro da pasta da ferramenta.

Copie e cole este log em sua próxima resposta, juntamente com os logs do ComboFix e HijackThis.

 

[luisednardo]

Olá Mr Wolf,
Quanto tempo hein???!!!!
Tudo bem com vc?! Espero que sim! Na verdade só estou passando porque li um artigo e resolvi saber sua opinião já que vírus e segurança é com você mesmo!
É que foi feita uma pesquisa em fevereiro/2010 sobre o ranking dos melhores antivirus e o G-Data foi o melhor. Nomes como Kaspersky ficaram abaixo até do que Avast free (fiquei impressionado e duvidoso)!!!!

Tá aí a foto do ranking

E a fonte para conferir a notícia na íntegra.

E aí, o que acha?
Prazer falar contigo mais uma vez e Muito Obrigado pelo trabalho com a gente!

 

[Mauricio Fabiano]

Caro Mr.Wolf, boa noite

Agradeço imensamente seu retorno rápido e explicativo.

Realmente, não baixei-o do site oficial da Avast, burrada minha. Mas pra ser bem sincero, dificilmente caminho até o site oficial de algum programa para baixá-lo. Procuro preguiçosamente sempre baixar de sites que hospedam-o. Agora aprendi a lição, um dia a gente se ferra né.

Eu não sei qual era a fonte do meu download, porque eu baixei ele através de uma página que tinha um tutorial dele e no final do tutorial havia o link para download. Lembro-me que quando cliquei, o download já começou automaticamente. Não me preocupei porque como eu disse, sempre faço essa idiotice de confiar em qualquer link que esteja num tutorial.

Mas pelo menos uma coisa boa, eu tenho sim o instalador que eu usei aqui ainda. Acabei de enviar no email que vc colocou em seu post. Enviei um apenas zipado e o outro zipado com senha para vc escolher qual o melhor, que eu não sabia qual era, pra mim dá no mesmo tamanho. E enviei do jeito que vc pediu, com meu Username e o link do Tópico.

Obrigado Mr.Wolf

Atenciosamente,
Mauricio