Remoção de vírus

Ok amiga karolz, os logs estão limpos :)

Vá em Iniciar > Executar, digite ComboFix /u e dê um OK para remover a ferramenta. Delete a ferramenta USBFix caso esteja aí ainda.

- Atualize o Internet Explorer.

- Recomendo uma manutenção no computador para exclusão dos arquivos temporários, desnecessários e entradas inválidas no registro. Faça o download do CCleaner e instale-o (sem instalar a toolbar do Yahoo ao término da instalação).

• Abra o programa e clique em Analisar > Executar Limpeza;
• Após clique em Registro > Procurar erros > Corrigir erros selecionados.

Algum problema ainda Karol?
 
Olá Mr. Wolf...

Não consegui executar o ComboFix....
Eu executo, ele reinicia só que não continua... tinha instalado o que ele pedia e não mexi em mouse nem teclado...
Estou fazendo algo errado????
Quanto ao jogo, cortei o mal pela raiz... Desinstalei ele, porém meu irmão já tinha instalado os dois patchs que estavam com arquivos maliciosos...

Obrigada pela dica Mr. Wolf e victorvm... Já fazia tempo que estava desconfiando e querendo tirar este jogo...

Dentro do Combofix.txt tinha isto..

ComboFix 09-05-18.02 - Nanda 18/05/2009 18:54:20.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.1280.895 [GMT -3:00]
Executando de: C:\Documents and Settings\Nanda\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
 
Mr. Wolf ja foi feito.
Muitíssimo obrigada e me diz uma coisa: o Avira pode detectar todos os virus de um pen drive da maneira convencional? Ou tem algum programa proprio para isso?
 
Estou com o virus Win32:Sality-O

Bom,Mr olhe meu log ai estou com o virus sality ....


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:06:09, on 18/5/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Arquivos de programas\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Arquivos de programas\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SMSERIAL] C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Arquivos de programas\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Arquivos de programas\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Arquivos de programas\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Arquivos de programas\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Arquivos de programas\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1217540557734
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1235250919125
O16 - DPF: {EB2AB471-8FD8-43CD-BA61-348984013593} (HHD Software Vector Image Control) - mk:mad:MSITStore:C:\Arquivos%20de%20programas\Hex%20Editor%203.x\Hex%20Editor.chm::/swfbehavior.cab
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\httpd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Arquivos de programas\Windows Live\installer\WLSetupSvc.exe

--
End of file - 8090 bytes
 
faaaala GRAAANDE MESTRE WOLF como vai irmaozin??????

Mestre eh o seguinte hj acordei e fui pro cursinho com uma duvida gigantesca do caramba como sempre neh!!!!! :D e logico o melhor p mim tira essa duvida eh aki e com vc logico neh!!!!! :yes:

Mr.Wolf existe virus q tipo tira o anti-virus ou anti-spyware ou kualker outro programa tipo combo fix do pc???? pq um amigo meu ante ontem disse q o anti-virus dele foi desinstalado sozinho do pc dpois q ele pegou um virus!!!! :cry:

existe msm essa parada ou meu amigo q ta viajando???? pq eu vi tbm ele usava akela ***** do avg 8 e kuando fui na ksa dele tentar ajudar ele e logicamente falei pra ele vim aki eu vi q o avg nun tava mais lah msm!!! :cry: tem como isso???? ele formato o pc com medo desse virus mais aki q tah existe virus q faiz isso msm ou nois tamo pirando aki????

vlw des de ja Mestre

ps. ahh esqueci de dizer entrei num curso de informatica aki tipo de html e montagem e manutençao de hardware q nao sei nd eh bom esses cursos Mr.Wolf???? vc q eh um cara estudado tipo formado jah e tals trabalha com isso jah e tals o q axa desses cursos??? me aconselha algum outro melhor q esses eu to fazendo na escola microlins aki da minha cidade falaram q eh brasileira e tem em quase tds estados e tals jah ouvir falar dessa escola Mestre???? se poder me dasr umas dicas de cursos qual escolas sao melhores e os melhores cursos eu agradecerei mto!!!! :D

pq to kerendo faze uma facul de ciencia da computaçao ou engenharia da computaçao mais nao sei kual eh a melhor kual a diferença das 2 Mr.Wolf vc sabe????

obrigadao sempre kra e vc EH O KRA neh :yes:

um abraçao Mestre :yes: :snap:
 
Olá Mr. WOLF e um ótimo dia. Segui seus procedimentos referente à sua última sugestão dada sobre o combofix e renomeá-lo e executá-lo, mas quando o scan vai iniciar a máquina reinicia e então reiniciei em modo de segurança e novamente reinicia então o que poderemos fazer agora??? Desculpa minha insistência ok? Obrigado!!!
 
Olá Mr. Wolf, blz?
Então, esse problema está acontecendo no pc da minha namorada, em programas de texto do tipo word, msn e etc, todas as vezes que ela usa acentuação ela sai duplicada, "~~". Eu andei lendo por ai e algumas pessoas falam que isso é um virus, mas ja scaneamos o pc com o nod e nada, então eu pedi pra ela rodar o Hijackthis e me mandar o log pra eu postar aqui e ver se voce pode me ajudar... Espero que possa

Código: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:05:44, on 19/5/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe
C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe
C:\Documents and Settings\Lívia\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe
C:\Arquivos de programas\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Arquivos de programas\Microsoft\Office Live\OfficeLiveSignIn.exe
C:\Documents and Settings\Lívia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Lívia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Lívia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Lívia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\Lívia\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Lívia\Meus documentos\Downloads\HiJackThis.exe
C:\Documents and Settings\Lívia\Meus documentos\Downloads\HiJackThis.exe
C:\Documents and Settings\Lívia\Meus documentos\Downloads\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [egui] "C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Lívia\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE1D8660-2004-46AB-9910-33D68DE7C4E1}: NameServer = 201.73.25.8,201.73.25.12
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 5680 bytes
 
Alessandro Monteiro disse:
Mr.Wolf, desculpe a demora tambem...
tentei instalar o combofix.exe e em varias tentativas ele reinicia o pc e não continua a varredura e nem cria algum tipo de log, o que pode ser?
Obrigado
Abraços
Alessandro Monteiro
Clique para expandir...

Ai está o log solicitado!



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:42:48, on 11/5/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\SnMgrSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\SnAgOS.exe
C:\WINDOWS\system32\SnLiveUp.exe
C:\WINDOWS\Explorer.exe
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 7.exe
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\MessengerPlus\wmplayer.exe
C:\MessengerPlus\explore.exe
C:\Arquivos de programas\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.com.br/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBR
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIV~1\GBPLUGIN\gbieh.dll
O2 - BHO: G-Buster Browser Defense Unibanco - {C41A1C0E-EA6C-11D4-B1B8-444553540008} - C:\Arquivos de programas\GbPlugin\gbiehuni.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.d ll
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\MessengerPlus\IEBrowserEvents.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 7.exe
O4 - HKLM\..\Run: [Win Base 4 Download] C:\Documents and Settings\All Users\Dados de aplicativos\Browse Dent Win Base\show dvd.exe
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Arquivos de programas\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [wmplayer] C:\MessengerPlus\wmplayer.exe
O4 - HKCU\..\Run: [explorer] C:\MessengerPlus\explore.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Arquivos de programas\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {3C8B9651-4E3E-424D-B51C-54544ABF536B} (CAtmCap Object) - https://ww7.banrisul.com.br/bxz/data...econtrol2k.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/de...e/HPDEXAXO.cab
O16 - DPF: {6F7864F9-DB33-11D3-8166-0060B0F885E6} (VSPTA Class) - https://certificacao.unibanco.com.br/VSApps/vspta3.cab
O16 - DPF: {76295885-F8F4-48B7-A180-C50496FE6DF6} (InternetIDX5 Class) - https://ww7.banrisul.com.br/bsd/link...rPluginCOM.CAB
O16 - DPF: {8C8C5C51-BE1C-11D8-9A58-0040A7066255} (InternetIDX Class) - https://ww7.banrisul.com.br/bsd/link...XW_IIDXCOM.CAB
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} (GbPluginObj Class) - https://clickbanking.unibanco.com.br...bPluginUni.cab
O20 - Winlogon Notify: GbPluginBb - C:\ARQUIV~1\GBPLUGIN\gbieh.dll
O20 - Winlogon Notify: GbPluginUni - C:\Arquivos de programas\GbPlugin\gbiehuni.dll
O20 - Winlogon Notify: __GbPluginBb - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: SNMgrSvc - Open Communications Security S/A - C:\WINDOWS\system32\SnMgrSvc.exe

--
End of file - 8188 bytes

Abraços
 
Mr.Wolf

Acabo de arrumar um vírus fresquinho no micro de minha casa.

O tal, identificado pelo NOD32 3.0 é o win32/Virut.NBP. Ele está infectando todos os meus executáveis. Estou passando o fullscan e aparentemente está limpando os aplicativos infectados. Após a primeira varredura vou fazer a segunda pra confirmar.

Você já ouvir falar nesse vírus?
Abraços.
 
Mr.Wolf disse:
Olá pessoal, boa tarde a todos!

vimed, este erro do HijackThis ocorreu pelo fato de que você possui Windows Vista. O HijackThis às vezes não consegue carregar todas as entradas "de primeira" neste OS, e lhe dá esta mensagem de erro. Erro normal da ferramenta. No Windows Seven este erro está ocorrendo com muitos usuários também. Só lhe peço que reporte à equipe (como mostra na mensagem de erro) sempre quando ocorrer. Assim poderemos verificar o porquê da ferramenta não conseguir carregar as entradas de primeira.

Quanto ao problema da Internet lenta, provavelmente não está sendo causada pelos vírus vimed. Pois estamos na reta final com seu caso, e se fosse um problema causado pelos vírus, já estaria sanado! Você disse anteriormente que ligou para seu provedor de Internet, não é isso vimed? O que eles disseram a você?
Siga a instrução do spoiler abaixo vimed:

Com o navegador Internet Explorer, acesse o Kaspersky Online Scanner e faça um scan seguindo o tutorial abaixo:

http://www.linhadefensiva.org/forum/index.php?showtopic=74159

Ao término do scan salve o log com a extensão .txt em seu computador e poste-o em sua próxima resposta.
Clique para expandir...
_____________________________________________

Mr Wolf:

Tento desde ontem salvar o log do scan e não consigo:ranting3:, já reiniciei a máquina, liberei os pop'ups do site, limpei os arquivos temporários com o cclean, e aí aparece a mensagem:

mr wolf.jpg

kkkk.jpg

No tutorial do outro site diz q tem q executar como administrador?? se for esse o problema, como faz isso?
Ps.: Em relação a internet depois do combofix de ontem deu uma boa melhorada....

Grta:wave:
 
Oi Mr.Wolf tdo bem???

Olha nao tenho mais nenhumzinho problema aki lindo. Nem sei como agradece-lo vc eh d+++++ msm nao tem pra vc hauahauaha. Mto obrigada msm, serei sempre grata por sua ajuda. Fiquei apavorada quando entrei na quela comu falsa e peguei akeles virus, a primeira coisa q me veio a kbç é iriam roubar minha conta, dai logo lembrei de vc e desdo começo eu saba q vc resolveria meu problema.

Mtoooooo obrigada msm Mr.Wolf, MTOOOOOOO MSMOOOOOOOOOOOOOOO, sempre grata pela sua ajuda. Vc vai pro ceu mininu :) :)

BJUSSSSS BJUSSSSS BJUSSSSSSSSSSSS Mr Obrigada msmooo

Mari
 
Grande mestre!!!

Pode avaliar meu log? Meu pc do trampo está travando direto, não abre documentos do office clicando direto no arquivo, preciso abrir o office e de lá importar o documento. A seta do mouse fica o tempo todo com a ampulheta ao lado, não consigo instalar antivirus... Resumindo, um total lixo :lol:

Logfile of HijackThis v1.99.1
Scan saved at 13:55:41, on 19/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Software WIDCOMM\Bluetooth\bin\btwdins.exe
C:\Arquivos de programas\Firebird 1.5.1\bin\fbguard.exe
C:\Arquivos de programas\GraphOn\GO-Global Server\Programs\aps.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\RealVNC\VNC4\WinVNC4.exe
C:\qqlf.exe
C:\WINDOWS\system32\rundll32.exe
C:\Arquivos de programas\3M\PSNLite\PsnLite.exe
C:\ARQUIV~1\3M\PSNLite\PSNGive.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Firebird 1.5.1\bin\fbserver.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Arquivos de programas\Outlook Express\msimn.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Documents and Settings\caio\Desktop\Desktop\HijackThis.exe
c:\lsass.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [4264] C:\qqlf.exe
O4 - HKLM\..\Run: [049da1a2] rundll32.exe "C:\WINDOWS\system32\cwokahte.dll",b
O4 - Startup: Atalho para REDEIP.lnk = D:\REDEIP.BAT
O4 - Startup: Stardock ObjectDock.lnk = C:\Arquivos de programas\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Arquivos de programas\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar para &Bluetooth - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Save Flash - res://C:\Arquivos de programas\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Arquivos de programas\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {76850F2A-FCAA-454F-82D3-BD46CB186EF5} (IEGCtrl Class) - http://grupooal.no-ip.info/goglobal/ggw-activex.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = oncoassociados.local
O17 - HKLM\Software\..\Telephony: DomainName = oncoassociados.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{6378C75F-48A8-4F00-B4A5-1BD413EDEF3D}: NameServer = 192.168.58.5,200.222.0.34
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = oncoassociados.local
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Arquivos de programas\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\bin\btwdins.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird 1.5.1\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird 1.5.1\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GO-Global Application Publishing Service - GraphOn Corporation - C:\Arquivos de programas\GraphOn\GO-Global Server\Programs\aps.exe
O23 - Service: GO-Global License Manager (GO-Global Server License Manager) - Macrovision Corporation - C:\Arquivos de programas\GraphOn\GO-Global Server\Programs\lmgrd.exe
O23 - Service: Sony SPTI Service for DVE (ICDSPTSV) - Sony Corporation - C:\WINDOWS\system32\IcdSptSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Arquivos de programas\Java\jre6\bin\jqs.exe" -service -config "C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: MySql - Unknown owner - C:/Arquivos de programas/xampp/mysql/bin/mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Arquivos de programas\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
 
Olá pessoal, boa tarde a todos! Vou responder aos logs neste mesmo post ok.


Opa amigo xcobrax, há um Trojan Banker e um Backdoor.Agent.UK (às vezes contamina algumas DLL's da máquina) executando em sua máquina amigo. Recomendo que, após limpar seu PC, troque as senhas que foram digitadas nele (pois bankers roubam senhas), principalmente se acessou internet banking, Orkut, MSN. Instale um firewall (pois backdoors atacam por portas). E outro conselho xcobrax, quando não estiver utilizando, obviamente, recomendo desativar o software de assistência remota RealVNC que você está utilizando aí pelo no services.msc. Porque provavelmente este backdoor infectou sua máquina através de uma assistência remota.

Siga a instrução no spoiler abaixo amigo xcobrax:

- Faça o download do BankerFix e salve-o no desktop;

● Desabilite o seu antivírus temporariamente para não detectar a ferramenta como vírus;
● Dê um duplo clique em bankerfix.exe;
● Surgirá uma mensagem dizendo que o mesmo será baixado via internet;
● Clique em OK > OK. Tecle Enter e aguarde o término do scan;
● Terminado o scan, leia a mensagem na tela e tecle Enter novamente.
● Será gerado um log em C:\LinhaDefensiva\relatorio.txt.

Cole este log em sua próxima resposta, juntamente com um novo log do HijackThis.

Delete a pasta C:\LinhaDefensiva após colar seu log aqui.
________________________________________


carolgsn, delete o ComboFix e suas pastas. Reinicie seu computador em Modo de Segurança e tente rodá-lo novamente.

________________________________________


karolz, primeiramente, NENHUM antivírus detecta TODOS os vírus. Seja Avira, Avast, Kaspersky, NOD32, Norton, etc... nenhum mesmo!

O Avira consegue detectar um vírus de pendrive naturalmente sim como qualquer vírus. Mas antivirus não possuem um banco de dados muito bom para detectar vírus de mídias removíveis, é recomendável um programa que seja específico para isso. Há diversos programas, inclusive existem programas que você pode instalar no próprio pendrive. USB Firewall, USB Write Protector, Flash Disinfector (que cria uma pasta Autorun.inf no pendrive e no computador)...

Mas a maneira mais eficaz e simples de evitar infecção por pendrive é desativando o recurso autorun do Windows. Isso evita os arquivos de serem transmitidos automaticamente do pendrive no computador, evitando o vírus também.

________________________________________


Pedrinn, seja bem vindo ao fórum! Por favor poste um novo log do HijackThis Pedrinn.

________________________________________


Urso, as instruções do spoiler abaixo:

Delete o ComboFix.

Faça o download do OTListIt2 e salve-o no desktop;

● Dê um duplo clique em OTListIt2.exe para executá-lo;
● Marque as opções Scan All Users e Minimal Output. No item "File Age" coloque a opção 90 Days;
● Clique no botão
runscanbutton.png
e aguarde o scan;
● Dois logs serão gerados no Bloco de Notas:

- OTListIt.txt <- este será aberto
- Extra.txt <- este estará minimizado

Cole-os em sua próxima resposta amigo Urso.
____________________________________


Olá Samuel_UFV, sim isso é vírus. O log de sua namorada está infectado por um Keylogger chamado Win32.Zbot. Este tipo de malware, salva tudo que o usuário digita no computador, desde senhas, endereços de e-mail até um simples "Oi" no MSN, e envia tudo ao cracker criador do malware. Após limparmos a máquina de sua namorada, diga-a que troque todas as senhas digitadas no computador.

Por favor amigo Samuel, siga ou peça a sua namorada, que siga as instruções no spoiler abaixo:

Vá em Painel de Controle > Adicionar ou Remover Programas. Encontre e desinstale o componente AskBarDis.

Baixe o ZbotKiller e salve-o em C:.

- Extraia o arquivo do zip em C: mesmo;
- Vá em Iniciar > Executar, digite ou copie e cole na caixa o comando abaixo e dê um OK:

C:\ZBotKiller.exe -y -l report.txt -v

- Aguarde o término do scan da ferramenta;
- Será gerado um log em C:\report.txt.

- Faça o download do ComboFix e salve-o na área de trabalho;

● Desative temporariamente o seu antivirus para não detectar a ferramenta como vírus;
● Duplo clique no ícone combofix.exe para iniciar o scan;
● Leia o contrato que aparecerá e clique em Sim para continuar;
● Abrirá uma janela do Console de Recuperação, clique em Sim para instalar. Se aparecer outra janela do Console, clique em OK > Sim;
● Aguarde enquanto o ComboFix faz o scan;
● Se ocorrer algum problema durante o scan, reinicie seu computador em Modo de Segurança e repita o procedimento;
Não clique na janela do ComboFix e procure não utilizar o teclado também, para não atrapalhar a varredura da ferramenta;
● Se quiser sair ou parar o ComboFix, tecle N;
● Quando terminar seu micro será reiniciado. Após o reinicio, a ferramenta executará novamente, aguarde;
● Será gerado um log em C:\ComboFix.txt.

Cole este log em sua próxima resposta, juntamente com o log do ZbotKiller
____________________________________


Alessandro Monteiro, siga as instruções do spoiler abaixo:

- Faça o download do Avenger e salve-o no desktop;

● Extraia o conteúdo do zip para o desktop;
● Selecione e copie o texto aqui abaixo:

Folders to delete:
C:\MessengerPlus
C:\Documents and Settings\All Users\Dados de aplicativos\Browse Dent Win Base
Clique para expandir...

● Execute o programa Avenger, dando dois cliques em avenger.exe;
● Clique no menu Load Script > Paste from Clipboard;
● Clique no botão Execute > Yes > OK;
● Seu computador será reiniciado;
● Será gerado um log em C:\avenger.txt

Após o reinicio da máquina:

Execute o HijackThis e clique em Do a system scan only. Marque estas entradas abaixo no log (caso estejam ativas) e clique no botão Fix Checked:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [Win Base 4 Download] C:\Documents and Settings\All Users\Dados de aplicativos\Browse Dent Win Base\show dvd.exe
O4 - HKCU\..\Run: [wmplayer] C:\MessengerPlus\wmplayer.exe
O4 - HKCU\..\Run: [explorer] C:\MessengerPlus\explore.exe
Clique para expandir...
Clique em Sim na mensagem.

Gere um novo log do HijackThis e poste-o aqui, juntamente com o log do Avanger amigo Alessandro.
____________________________________


vimed, siga as instruções abaixo:

- Faça download do Kaspersky AVP Tool e salve na pasta de C:\Arquivos de programas;

● Instale o programa normalmente seguindo todos os seus passos;
● Não faça scan ainda com a ferramenta;
● Reinicie o computador em Modo de Segurança (segurando a tecla F8 na inicialização do sistema e escolhendo a opção Modo Seguro no menu);
● Já em Modo Seguro, execute então o programa e na tela principal marque todas as caixas disponíveis, como mostra a imagem abaixo:

kasperskyvirusremovaltoak2.png


● Logo abaixo clique sobre a opção Settings (Security Level) e clique no botão Customize. Configure como mostra a imagem abaixo:

changesettings_avp_en.gif


● Voltando a tela inicial, clique no botão Scan e aguarde;
● Seja paciente, o scan pode demorar bastante;
● Se ele encontrar alguma infecção, vá confirmando a solicitação de remoção dos arquivos contaminados;
● Ao término do scan, clique em Reports e salve o relatório com a extensão .txt no desktop;
● Reinicie o computador em Modo Normal novamente e cole o relatório do scan aqui;
● Talvez, ao término da verificação, aparecerá uma janela para que a ferramenta seja desinstalada. Se aparecer confirme a desinstalação;
● Caso não apareça esta janela, feche todos os aplicativos abertos, entre dentro da pasta Kaspersky AVP Tool (estará na mesma pasta onde você salvou o arquivo de instalação - Arquivos de Programas), e dê duplo clique sobre o arquivo unins000.exe;
● Clique em OK duas vezes para completar o processo de remoção.
 
kaol disse:
Mr.Wolf

Acabo de arrumar um vírus fresquinho no micro de minha casa.

O tal, identificado pelo NOD32 3.0 é o win32/Virut.NBP. Ele está infectando todos os meus executáveis. Estou passando o fullscan e aparentemente está limpando os aplicativos infectados. Após a primeira varredura vou fazer a segunda pra confirmar.

Você já ouvir falar nesse vírus?
Abraços.
Clique para expandir...
Opa amigo kaol, você está com um dos piores File Infectors na máquina. O Virut é um File Infector, vírus que contamina todos os executáveis do Windows. Assim como existem outros file infectors também como: Sality, Parite (que é tão complicado quanto Virut), ArZeus, MORPHX etc...
O Virut dentre os citados é o pior desta categoria. NOD32, Kaspersky e Panda, geralmente e felizmente, removem o Virut com sucesso. Mas isso depende do tempo em que ele já esteja no sistema, ele consegue atacar, além dos executáveis, as strings de todos os executáveis também. Neste caso é mais recomendável a formatação, pois é praticamente impossível removê-lo. Creio que no seu caso isso não aconteceu, pois se o NOD32 está conseguindo limpar e se o vírus é "fresquinho" (que pelo que entendi você pegou agora), não será difícil removê-lo.

Existem muitas ferramentas, além de antivirus, que consegue limpá-lo amigo kaol. Se precisar de ajuda, é só postar.

Abraços

______________________________________________



Megadeeth disse:
Mestre eh o seguinte hj acordei e fui pro cursinho com uma duvida gigantesca do caramba como sempre neh!!!!! e logico o melhor p mim tira essa duvida eh aki e com vc logico neh!!!!!

Mr.Wolf existe virus q tipo tira o anti-virus ou anti-spyware ou kualker outro programa tipo combo fix do pc???? pq um amigo meu ante ontem disse q o anti-virus dele foi desinstalado sozinho do pc dpois q ele pegou um virus!!!!

existe msm essa parada ou meu amigo q ta viajando???? pq eu vi tbm ele usava akela ***** do avg 8 e kuando fui na ksa dele tentar ajudar ele e logicamente falei pra ele vim aki eu vi q o avg nun tava mais lah msm!!! tem como isso???? ele formato o pc com medo desse virus mais aki q tah existe virus q faiz isso msm ou nois tamo pirando aki????
Clique para expandir...
Existem vários vírus que fazem isto Megadeeth, vários mesmo, centenas... Existem os que fazem aparecer uma mensagem de erro sempre quando executar seu sistema dizendo que é necessário a reinstalação do software antivirus (o que obviamente é falso e obviamente também você não conseguirá mais instalá-lo se fizer a desinstalação); Existem os que desinstalam seu antivirus automaticamente (basta reiniciar o computador); Existem os que apenas o desativa; Existem os que danificam a principal chave referente a proteção ativa de seu sistema no registro (a chave é chamada de "Security Center") sendo assim você não conseguirá ativar, reinstalar ou instalar qualquer antivirus na máquina; Existem os que deletam alguns arquivos de seu antivirus (os principais) sendo assim seu antivirus não conseguirá ser iniciado ou executado; Etc...

Já vírus que desinstalam anti-spywares não existe, somente antivirus. E existe vírus que remove ferramentas específicas sim, como: ComboFix, BankerFix, KillBox, Flash Disinfector, etc...

Alguns vírus que fazem isso são estes: Rogue Antivirus 2009 (falso anti-spyware), Trojan AceBot (backdoor), Trojan Ajim, Backdoor Alpha Dog, Worm Anita (worm antigo bem conhecido, fez muitas vítimas no passado), Rootkit.Backdoor ZLOB, Trojan Trapdoor (backdoor), Trojan.Evil, Trojan Hack Tool, Backdoor Illusion Mailer, Trojan Horse Ajax, Rootkit Polypoites, Worm Krethon, etc.

Atualmente existe um malware (Ransomware) que está removendo o BankerFix e outras ferramentas de segurança. Recomendo a leitura deste artigo abaixo Megadeeth:

Praga remove BankerFix e outros softwares de segurança

ps. ahh esqueci de dizer entrei num curso de informatica aki tipo de html e montagem e manutençao de hardware q nao sei nd eh bom esses cursos Mr.Wolf???? vc q eh um cara estudado tipo formado jah e tals trabalha com isso jah e tals o q axa desses cursos??? me aconselha algum outro melhor q esses eu to fazendo na escola microlins aki da minha cidade falaram q eh brasileira e tem em quase tds estados e tals jah ouvir falar dessa escola Mestre???? se poder me dasr umas dicas de cursos qual escolas sao melhores e os melhores cursos eu agradecerei mto!!!!
Clique para expandir...
Bacana amigo Megadeeth, boa sorte com os cursos.

São ótimos cursos sim. HTML é uma linguagem bem simples, de fácil entendimento, lhe atende de muitas formas. Montagem e manutenção de hardware você terá uma ótima base para trabalhar com as peças do PC, e entenderá como funciona tudo, pelo quê cada uma é responsável. Microlins é uma das escolas de informática mais conceituada do mercado Megadeeth, você está em ótimas mãos.

pq to kerendo faze uma facul de ciencia da computaçao ou engenharia da computaçao mais nao sei kual eh a melhor kual a diferença das 2 Mr.Wolf vc sabe????
Clique para expandir...
Sendo mais específico e direto, Ciência da computação é mais voltado a software, aborda de maneira aprofundada os conceitos e teorias da computação, dando uma sólida formação em áreas como estruturas de informação, algoritmos, linguagens de programação, desenvolvimento e análise de sistemas, entre outras.
Já Engenharia da computação é mais voltado a hardware, é diferenciada por se destacar no projeto, desenvolvimento e implementação de equipamentos e dispositivos computacionais, aplicações industriais, redes de comunicação, entre outros.

Porém, os dois cursos tem muitas semelhanças Megadeeth, inclusive, disciplinas em comum. Ou seja, tanto em Ciências quanto em Engenharia da computação, você aprenderá sobre hardware e software. Só que um tem uma abordagem em determinado instrumento maior do que o outro. Entretanto são dois cursos excelentes e o profissional formado em qualquer uma das duas terá um belo futuro.
 
Mr.Wolf disse:
Olá pessoal, boa tarde a todos! Vou responder aos logs neste mesmo post ok.


Opa amigo xcobrax, há um Trojan Banker e um Backdoor.Agent.UK (às vezes contamina algumas DLL's da máquina) executando em sua máquina amigo. Recomendo que, após limpar seu PC, troque as senhas que foram digitadas nele (pois bankers roubam senhas), principalmente se acessou internet banking, Orkut, MSN. Instale um firewall (pois backdoors atacam por portas). E outro conselho xcobrax, quando não estiver utilizando, obviamente, recomendo desativar o software de assistência remota RealVNC que você está utilizando aí pelo no services.msc. Porque provavelmente este backdoor infectou sua máquina através de uma assistência remota.

Siga a instrução no spoiler abaixo amigo xcobrax:

- Faça o download do BankerFix e salve-o no desktop;

● Desabilite o seu antivírus temporariamente para não detectar a ferramenta como vírus;
● Dê um duplo clique em bankerfix.exe;
● Surgirá uma mensagem dizendo que o mesmo será baixado via internet;
● Clique em OK > OK. Tecle Enter e aguarde o término do scan;
● Terminado o scan, leia a mensagem na tela e tecle Enter novamente.
● Será gerado um log em C:\LinhaDefensiva\relatorio.txt.

Cole este log em sua próxima resposta, juntamente com um novo log do HijackThis.

Delete a pasta C:\LinhaDefensiva após colar seu log aqui.
________________________________________
Clique para expandir...

Obrigado pelo retorno, depois que voltei de férias minha máquina está indomável :lol:

Sobre o realvnc, infelizmente não posso desabilitá-lo, pois uso praticamente o dia todo.

Estou scanneando a máquina com o Kaspersky Online Scanner, quando terminar, sigo as instruções indicadas.

Abraço!
 
xcobrax disse:
Obrigado pelo retorno, depois que voltei de férias minha máquina está indomável :lol:

Sobre o realvnc, infelizmente não posso desabilitá-lo, pois uso praticamente o dia todo.

Estou scanneando a máquina com o Kaspersky Online Scanner, quando terminar, sigo as instruções indicadas.

Abraço!
Clique para expandir...
Ok xcobrax.

Mas só lembrando que, não sei se já sabe disso, mas caso sua intenção de fazer um scan com o Kaspersky Online Scanner for remover os vírus, será inútil! Pois o Kaspersky Online Scanner apenas faz o scan e lhe dá o resultado, não remove absolutamente nada. :thumbs_up
 
Mr.Wolf disse:
Ok xcobrax.

Mas só lembrando que, não sei se já sabe disso, mas caso sua intenção de fazer um scan com o Kaspersky Online Scanner for remover os vírus, será inútil! Pois o Kaspersky Online Scanner apenas faz o scan e lhe dá o resultado, não remove absolutamente nada. :thumbs_up
Clique para expandir...

Já cancelei :yes:
 
Olá Mr. Wolf..

Não consegui executar o ComboFix...
Ele começa a executar, reinicia e não continua... Mesmo no modo de segurança...
Obrigada....
 
carolgsn, então poste um novo log do RSIT aqui.

Mas detalhe: Quando abrir a ferramenta, altere de 1 Month para "2 Months" e clique em Continue.
 
Entao,Mr aqui esta o novo log que vc me pediu para postar ...
Agradeço desde ja,por favor resolva meu problema to disisperado com esse virus win32:Sality-O :/


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:13:02, on 19/5/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - (no file)
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Arquivos de programas\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Arquivos de programas\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SMSERIAL] C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Arquivos de programas\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Arquivos de programas\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Arquivos de programas\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Arquivos de programas\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Arquivos de programas\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1217540557734
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1235250919125
O16 - DPF: {EB2AB471-8FD8-43CD-BA61-348984013593} (HHD Software Vector Image Control) - mk:mad:MSITStore:C:\Arquivos%20de%20programas\Hex%20Editor%203.x\Hex%20Editor.chm::/swfbehavior.cab
O23 - Service: Apache2.2 - Apache Software Foundation - C:\xampp\apache\bin\httpd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Arquivos de programas\Windows Live\installer\WLSetupSvc.exe

--
End of file - 7883 bytes
 
segue o log Mr. Wolf...

Logfile of random's system information tool 1.06 (written by random/random)
Run by Nanda at 2009-05-19 18:27:04
Microsoft Windows XP Professional Service Pack 3
System drive C: has 244 MB (2%) free of 15 GB
Total RAM: 1280 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:27:12, on 19/5/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\Justsoft WinPolicy\WPService.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Justsoft WinPolicy\autolock.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe
C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe
C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe
C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Nanda\Desktop\RSIT.exe
C:\Arquivos de programas\trend micro\Nanda.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll
O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O2 - BHO: G-Buster Browser Defense Unibanco - {C41A1C0E-EA6C-11D4-B1B8-444553540008} - C:\ARQUIV~1\GbPlugin\gbiehuni.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [WinPolicy] WPLocker.exe
O4 - HKLM\..\RunServices: [WinPolicy] WPLocker.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/PT-BR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1231535316093
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} (GbPluginObj Class) - https://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab
O20 - Winlogon Notify: GbPluginBb - C:\Arquivos de programas\GbPlugin\gbieh.dll
O20 - Winlogon Notify: GbPluginCef - C:\Arquivos de programas\GbPlugin\gbiehcef.dll
O20 - Winlogon Notify: GbPluginUni - C:\ARQUIV~1\GbPlugin\gbiehuni.dll
O23 - Service: 1A3EB52E6AA1211D33BE0B506F603A2E - Unknown owner - cmd /k start /i "/dC:" "C:\ComboFix\HIDEC.exe" "C:\ComboFix\SWREG.EXE" ACL "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep" /RESET /Q (file missing)
O23 - Service: 5E97F1BB56B10FEA933EDE3BD6BC91DE - Unknown owner - cmd /k start /i "/dC:" "C:\ComboFix\HIDEC.exe" "C:\ComboFix\SWREG.EXE" ACL "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep" /RESET /Q (file missing)
O23 - Service: A1CC99E0A931743763C41EA94D6A6CDF - Unknown owner - cmd /k start /i "/dC:" "C:\ComboFix\HIDEC.exe" "C:\ComboFix\SWREG.EXE" ACL "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep" /RESET /Q (file missing)
O23 - Service: ADBDAC948DCA2ECE559564AA3F229144 - Unknown owner - cmd /k start /i "/dC:" "C:\ComboFix\HIDEC.exe" "C:\ComboFix\SWREG.EXE" ACL "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep" /RESET /Q (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: WinPolicy AutoLock (AutoLock) - Unknown owner - C:\Arquivos de programas\Justsoft WinPolicy\WPService.exe
O23 - Service: DCA3DDEC447564CE7E4E0ADA14189564 - Unknown owner - cmd /k start /i "/dC:" "C:\ComboFix\HIDEC.exe" "C:\ComboFix\SWREG.EXE" ACL "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep" /RESET /Q (file missing)
O23 - Service: EAA18C593446C91C67AEAF9FEE6792B8 - Unknown owner - cmd /k start /i "/dC:" "C:\ComboFix\HIDEC.exe" "C:\ComboFix\SWREG.EXE" ACL "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep" /RESET /Q (file missing)
O23 - Service: Gbp Service (GbpSv) - - C:\ARQUIV~1\GbPlugin\GbpSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

--
End of file - 9302 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-01-09 304736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}]
Megaupload Toolbar - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL [2006-10-31 1803720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Arquivos de programas\Java\jre6\bin\ssv.dll [2009-01-09 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Auxiliar de Conexão do Windows Live - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41A1C0E-EA6C-11D4-B1B8-444553540000}]
GbIehObj Class - C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll [2009-03-25 271152]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41A1C0E-EA6C-11D4-B1B8-444553540003}]
GbIehObj Class - C:\Arquivos de programas\GbPlugin\gbiehcef.dll [2009-03-27 264776]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41A1C0E-EA6C-11D4-B1B8-444553540008}]
GbIehObj Class - C:\ARQUIV~1\GbPlugin\gbiehuni.dll [2009-03-25 414624]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll [2009-01-09 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-01-09 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - Megaupload Toolbar - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLL [2006-10-31 1803720]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"=C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe [2009-01-09 185872]
"SpywareTerminator"=C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe [2009-03-29 2233856]
"ISUSPM Startup"=C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe [2005-08-11 249856]
"ISUSScheduler"=C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe [2005-08-11 81920]
"avgnt"=C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"WinPolicy"=C:\WINDOWS\system32\WPLocker.exe [2006-09-27 420420]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginBb]
C:\Arquivos de programas\GbPlugin\gbieh.dll [2009-03-25 271152]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginCef]
C:\Arquivos de programas\GbPlugin\gbiehcef.dll [2009-03-27 264776]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ GbPluginUni]
C:\ARQUIV~1\GbPlugin\gbiehuni.dll [2009-03-25 414624]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{E37CB5F0-51F5-4395-A808-5FA49E399F83}"=C:\ARQUIVOS DE PROGRAMAS\GBPLUGIN\gbieh.dll [2009-03-25 271152]
"{E37CB5F0-51F5-4395-A808-5FA49E399003}"=C:\Arquivos de programas\GbPlugin\gbiehcef.dll [2009-03-27 264776]
"{E37CB5F0-51F5-4395-A808-5FA49E399008}"=C:\ARQUIV~1\GbPlugin\gbiehuni.dll [2009-03-25 414624]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PSEXESVC]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"RestrictRun"=0
"NoDrives"=0
"NoViewOnDrive"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:mad:xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:mad:xpsp3res.dll,-20000"
"C:\Arquivos de programas\Pando Networks\Media Booster\PMB.exe"="C:\Arquivos de programas\Pando Networks\Media Booster\PMB.exe:*:Enabled:pando Media Booster"
"C:\Arquivos de programas\LimeWire\LimeWire.exe"="C:\Arquivos de programas\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Arquivos de programas\uTorrent\uTorrent.exe"="C:\Arquivos de programas\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe"="C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Arquivos de programas\SopCast\adv\SopAdver.exe"="C:\Arquivos de programas\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver"
"C:\Documents and Settings\All Users\Dados de aplicativos\NexonUS\NGM\NGM.exe"="C:\Documents and Settings\All Users\Dados de aplicativos\NexonUS\NGM\NGM.exe:*:Enabled:Nexon Game Manager"
"C:\Arquivos de programas\Internet Explorer\iexplore.exe"="C:\Arquivos de programas\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"
"C:\Arquivos de programas\Java\jre6\launch4j-tmp\JDownloader.exe"="C:\Arquivos de programas\Java\jre6\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\WINDOWS\system32\ftp.exe"="C:\WINDOWS\system32\ftp.exe:*:Enabled:programa de transferência de arquivos"
"C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe"="C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:mad:xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:mad:xpsp3res.dll,-20000"
"C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe"="C:\Arquivos de programas\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe"="C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

======List of files/folders created in the last 2 months======

2009-05-19 17:47:09 ----D---- C:\ComboFix
2009-05-19 17:47:08 ----A---- C:\WINDOWS\system32\CF1355.exe
2009-05-19 17:43:11 ----A---- C:\WINDOWS\system32\CF588.exe
2009-05-19 17:30:04 ----A---- C:\WINDOWS\system32\CF30668.exe
2009-05-19 07:49:08 ----D---- C:\Arquivos de programas\Justsoft WinPolicy
2009-05-18 20:15:38 ----A---- C:\WINDOWS\system32\CF10453.exe
2009-05-18 20:13:47 ----A---- C:\WINDOWS\OEWABLog.txt
2009-05-18 20:12:47 ----D---- C:\WINDOWS\Prefetch
2009-05-18 19:40:29 ----HDC---- C:\WINDOWS\$NtUninstallKB967715$
2009-05-18 19:40:09 ----HDC---- C:\WINDOWS\$NtUninstallKB958644$
2009-05-18 19:38:26 ----A---- C:\WINDOWS\setuplog.txt
2009-05-18 19:32:24 ----D---- C:\Arquivos de programas\Messenger
2009-05-18 19:32:02 ----D---- C:\WINDOWS\system32\bits
2009-05-18 19:32:02 ----D---- C:\WINDOWS\l2schemas
2009-05-18 19:28:20 ----D---- C:\WINDOWS\ServicePackFiles
2009-05-18 19:23:10 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-05-18 19:20:03 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2009-05-18 19:04:17 ----SHD---- C:\Config.Msi
2009-05-18 18:53:45 ----A---- C:\WINDOWS\system32\CF27174.exe
2009-05-18 18:51:03 ----A---- C:\WINDOWS\system32\CF26651.exe
2009-05-18 18:50:14 ----D---- C:\WINDOWS\CSC
2009-05-18 18:50:05 ----A---- C:\WINDOWS\ntbtlog.txt
2009-05-18 18:45:26 ----A---- C:\Boot.bak
2009-05-18 18:45:20 ----RASHD---- C:\cmdcons
2009-05-18 18:41:28 ----A---- C:\WINDOWS\zip.exe
2009-05-18 18:41:28 ----A---- C:\WINDOWS\vFind.exe
2009-05-18 18:41:28 ----A---- C:\WINDOWS\SWREG.exe
2009-05-18 18:41:28 ----A---- C:\WINDOWS\NIRCMD.exe
2009-05-18 18:41:27 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-05-18 18:41:27 ----A---- C:\WINDOWS\SWSC.exe
2009-05-18 18:41:27 ----A---- C:\WINDOWS\sed.exe
2009-05-18 18:41:27 ----A---- C:\WINDOWS\grep.exe
2009-05-18 18:41:22 ----D---- C:\WINDOWS\ERDNT
2009-05-18 18:41:21 ----A---- C:\WINDOWS\system32\CF24750.exe
2009-05-18 18:41:13 ----D---- C:\Qoobox
2009-05-18 18:28:05 ----HDC---- C:\WINDOWS\ie8
2009-05-18 18:23:01 ----HDC---- C:\WINDOWS\$NtUninstallKB967715_0$
2009-05-17 12:11:49 ----D---- C:\_OTMoveIt
2009-05-16 21:47:28 ----D---- C:\Arquivos de programas\Windows Live Safety Center
2009-05-16 13:39:03 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Avira
2009-05-16 13:39:03 ----D---- C:\Arquivos de programas\Avira
2009-05-16 13:21:38 ----D---- C:\rsit
2009-05-16 13:21:38 ----D---- C:\Arquivos de programas\trend micro
2009-05-16 13:04:46 ----HDC---- C:\WINDOWS\$NtUninstallKB958644_0$
2009-05-11 18:33:28 ----HD---- C:\WINDOWS\system32\GroupPolicy
2009-05-03 22:22:02 ----A---- C:\WINDOWS\SYMGAMES.INI
2009-04-26 11:09:06 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\teamspeak2
2009-04-24 22:40:48 ----A---- C:\WINDOWS\casino1.ini
2009-04-22 11:45:00 ----D---- C:\Arquivos de programas\MSECache
2009-04-22 11:29:42 ----A---- C:\WINDOWS\MegaManager.INI
2009-04-22 11:20:09 ----D---- C:\Arquivos de programas\MegauploadToolbar
2009-04-22 11:20:08 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\MegauploadToolbar
2009-04-22 10:02:05 ----D---- C:\downloads
2009-04-22 10:02:05 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\GrabPro
2009-04-22 10:01:58 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\Orbit
2009-04-18 20:22:21 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\Corel
2009-04-18 19:00:23 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\InstallShield
2009-04-18 18:56:46 ----D---- C:\Arquivos de programas\Corel
2009-04-18 18:56:46 ----D---- C:\Arquivos de programas\Arquivos comuns\Corel
2009-04-18 16:13:54 ----A---- C:\WINDOWS\HEARTS.INI
2009-04-18 15:56:38 ----A---- C:\WINDOWS\EntPack.ini
2009-04-18 15:43:08 ----A---- C:\WINDOWS\EmSoft.ini
2009-04-12 22:32:02 ----D---- C:\Arquivos de programas\Jufsoft
2009-04-12 22:23:20 ----D---- C:\Arquivos de programas\Runtime Software
2009-04-12 22:17:30 ----D---- C:\Arquivos de programas\PowerDataRecovery
2009-04-12 22:02:47 ----D---- C:\Arquivos de programas\PC Inspector File Recovery
2009-04-04 14:50:53 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\NexonUS
2009-04-03 08:57:14 ----D---- C:\Arquivos de programas\TVUPlayer
2009-04-03 08:56:26 ----D---- C:\Arquivos de programas\SopCast
2009-04-02 23:04:21 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\VistaCodecs
2009-04-02 18:06:24 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\GRETECH
2009-04-02 18:05:40 ----D---- C:\Arquivos de programas\GRETECH
2009-03-29 09:27:15 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\Spyware Terminator
2009-03-29 09:27:12 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\Spyware Terminator
2009-03-29 09:27:11 ----D---- C:\Arquivos de programas\Spyware Terminator
2009-03-29 09:01:13 ----D---- C:\Arquivos de programas\Arquivos comuns\EZB Systems
2009-03-29 09:01:12 ----D---- C:\Arquivos de programas\UltraISO
2009-03-23 22:46:57 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\Desktopicon
2009-03-23 22:46:55 ----D---- C:\Arquivos de programas\Unlocker

======List of files/folders modified in the last 2 months======

2009-05-19 17:49:04 ----D---- C:\WINDOWS\system32\CatRoot2
2009-05-19 17:48:55 ----D---- C:\WINDOWS\Temp
2009-05-19 17:48:16 ----AD---- C:\WINDOWS\system32\drivers
2009-05-19 17:47:33 ----D---- C:\WINDOWS\system32
2009-05-19 17:47:19 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-05-19 13:29:58 ----D---- C:\Documents and Settings\All Users\Dados de aplicativos\GbPlugin
2009-05-19 07:49:08 ----RD---- C:\Arquivos de programas
2009-05-18 20:17:30 ----D---- C:\WINDOWS
2009-05-18 20:14:47 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-05-18 20:13:51 ----D---- C:\WINDOWS\Debug
2009-05-18 20:12:24 ----D---- C:\WINDOWS\system32\Setup
2009-05-18 20:12:24 ----D---- C:\WINDOWS\AppPatch
2009-05-18 20:12:23 ----RSD---- C:\WINDOWS\Fonts
2009-05-18 20:12:23 ----D---- C:\WINDOWS\system32\wbem
2009-05-18 19:45:53 ----D---- C:\WINDOWS\security
2009-05-18 19:40:58 ----D---- C:\WINDOWS\system32\CatRoot
2009-05-18 19:40:45 ----HD---- C:\WINDOWS\inf
2009-05-18 19:40:34 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-05-18 19:36:57 ----D---- C:\WINDOWS\WinSxS
2009-05-18 19:32:23 ----D---- C:\WINDOWS\ehome
2009-05-18 19:32:21 ----D---- C:\WINDOWS\system32\inetsrv
2009-05-18 19:32:21 ----D---- C:\WINDOWS\network diagnostic
2009-05-18 19:32:21 ----D---- C:\WINDOWS\Help
2009-05-18 19:32:20 ----D---- C:\WINDOWS\ime
2009-05-18 19:32:04 ----D---- C:\WINDOWS\system32\usmt
2009-05-18 19:32:04 ----D---- C:\WINDOWS\system32\pt-br
2009-05-18 19:32:02 ----SHD---- C:\WINDOWS\Installer
2009-05-18 19:32:02 ----D---- C:\WINDOWS\PeerNet
2009-05-18 19:32:01 ----D---- C:\Arquivos de programas\Movie Maker
2009-05-18 19:27:59 ----D---- C:\WINDOWS\system32\Restore
2009-05-18 19:27:59 ----D---- C:\WINDOWS\system32\npp
2009-05-18 19:27:57 ----D---- C:\WINDOWS\msagent
2009-05-18 19:27:54 ----D---- C:\WINDOWS\srchasst
2009-05-18 19:27:53 ----D---- C:\Arquivos de programas\NetMeeting
2009-05-18 19:27:51 ----D---- C:\WINDOWS\system32\Com
2009-05-18 19:27:49 ----D---- C:\Arquivos de programas\Windows Media Player
2009-05-18 19:27:48 ----D---- C:\Arquivos de programas\Windows NT
2009-05-18 19:27:48 ----D---- C:\Arquivos de programas\Outlook Express
2009-05-18 19:27:44 ----D---- C:\Arquivos de programas\Arquivos comuns\System
2009-05-18 19:27:15 ----D---- C:\WINDOWS\system32\oobe
2009-05-18 19:27:13 ----D---- C:\WINDOWS\system
2009-05-18 19:06:36 ----D---- C:\WINDOWS\SoftwareDistribution
2009-05-18 18:45:26 ----RASH---- C:\boot.ini
2009-05-18 18:37:13 ----D---- C:\WINDOWS\Media
2009-05-18 18:37:13 ----D---- C:\Arquivos de programas\Internet Explorer
2009-05-18 18:22:59 ----HD---- C:\WINDOWS\$hf_mig$
2009-05-16 13:38:34 ----D---- C:\Arquivos de programas\Arquivos comuns\Microsoft Shared
2009-05-16 13:16:33 ----SHD---- C:\System Volume Information
2009-05-16 11:48:08 ----D---- C:\WINDOWS\system32\config
2009-05-07 00:16:30 ----A---- C:\WINDOWS\system32\MRT.exe
2009-05-06 19:00:13 ----A---- C:\WINDOWS\NeroDigital.ini
2009-04-27 18:10:01 ----D---- C:\Arquivos de programas\GbPlugin
2009-04-26 23:33:08 ----D---- C:\Arquivos de programas\Foxit Software
2009-04-25 14:41:43 ----SD---- C:\Documents and Settings\Nanda\Dados de aplicativos\Microsoft
2009-04-22 11:45:16 ----D---- C:\Arquivos de programas\Microsoft Office
2009-04-22 11:19:57 ----HD---- C:\Arquivos de programas\InstallShield Installation Information
2009-04-18 19:00:15 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-04-18 19:00:14 ----D---- C:\Arquivos de programas\Arquivos comuns\InstallShield
2009-04-18 18:59:53 ----D---- C:\Arquivos de programas\Arquivos comuns\DESIGNER
2009-04-18 18:56:46 ----D---- C:\Arquivos de programas\Arquivos comuns
2009-04-12 18:41:01 ----SD---- C:\WINDOWS\Tasks
2009-04-02 18:14:39 ----D---- C:\Documents and Settings\Nanda\Dados de aplicativos\Vso
2009-03-31 00:52:28 ----A---- C:\WINDOWS\win.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;AMD K7 Processor Driver; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2008-04-13 41856]
R1 avgio;avgio; \??\C:\Arquivos de programas\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-16 96104]
R1 ISODrive;ISO DVD/CD-ROM Device Driver; \??\C:\Arquivos de programas\UltraISO\drivers\ISODrive.sys []
R1 kbdhid;Keyboard HID Driver; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-13 14720]
R1 sp_rsdrv2;Spyware Terminator Driver 2; \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys []
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-02-13 28376]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-05-16 55640]
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-04-01 4816]
R3 FETNDIS;VIA PCI 10/100Mb Fast Ethernet Adapter NT Driver; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
R3 hidusb;Driver de classe HID da Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Mouse HID Driver; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-10-28 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2004-08-03 1897408]
R3 pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [2009-03-19 47360]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2003-07-15 578368]
R3 usbccgp;Microsoft USB Generic Parent Driver; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2 Enabled Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 as8wpoml;as8wpoml; C:\WINDOWS\system32\drivers\as8wpoml.sys []
S3 catchme;catchme; \??\C:\DOCUME~1\Nanda\CONFIG~1\Temp\catchme.sys []
S3 EagleNT;EagleNT; C:\WINDOWS\system32\drivers\EagleNT.sys []
S3 USBSTOR;USB Mass Storage Driver; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S3 XDva224;XDva224; C:\WINDOWS\system32\drivers\XDva224.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Scheduler; C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe [2009-05-16 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe [2009-03-02 185089]
R2 AutoLock;WinPolicy AutoLock; C:\Arquivos de programas\Justsoft WinPolicy\WPService.exe [2006-09-27 93132]
R2 GbpSv;Gbp Service; C:\ARQUIV~1\GbPlugin\GbpSv.exe [2009-03-27 52808]
R2 JavaQuickStarterService;Java Quick Starter; C:\Arquivos de programas\Java\jre6\bin\jqs.exe [2009-01-09 152984]
R2 MDM;Machine Debug Manager; C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe [2007-12-03 869672]
R2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe [2002-09-20 45056]
R2 sp_rssrv;Spyware Terminator Realtime Shield Service; C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe [2009-03-29 540672]
S2 1A3EB52E6AA1211D33BE0B506F603A2E;1A3EB52E6AA1211D33BE0B506F603A2E; cmd /k start /i /dC: C:\ComboFix\HIDEC.exe C:\ComboFix\SWREG.EXE ACL HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep /RESET /Q []
S2 5E97F1BB56B10FEA933EDE3BD6BC91DE;5E97F1BB56B10FEA933EDE3BD6BC91DE; cmd /k start /i /dC: C:\ComboFix\HIDEC.exe C:\ComboFix\SWREG.EXE ACL HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep /RESET /Q []
S2 A1CC99E0A931743763C41EA94D6A6CDF;A1CC99E0A931743763C41EA94D6A6CDF; cmd /k start /i /dC: C:\ComboFix\HIDEC.exe C:\ComboFix\SWREG.EXE ACL HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep /RESET /Q []
S2 ADBDAC948DCA2ECE559564AA3F229144;ADBDAC948DCA2ECE559564AA3F229144; cmd /k start /i /dC: C:\ComboFix\HIDEC.exe C:\ComboFix\SWREG.EXE ACL HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep /RESET /Q []
S2 DCA3DDEC447564CE7E4E0ADA14189564;DCA3DDEC447564CE7E4E0ADA14189564; cmd /k start /i /dC: C:\ComboFix\HIDEC.exe C:\ComboFix\SWREG.EXE ACL HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep /RESET /Q []
S2 EAA18C593446C91C67AEAF9FEE6792B8;EAA18C593446C91C67AEAF9FEE6792B8; cmd /k start /i /dC: C:\ComboFix\HIDEC.exe C:\ComboFix\SWREG.EXE ACL HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep /RESET /Q []
S3 NMIndexingService;NMIndexingService; C:\Arquivos de programas\Arquivos comuns\Nero\Lib\NMIndexingService.exe [2007-12-13 447784]
S3 ose;Office Source Engine; C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WLSetupSvc;Windows Live Setup Service; C:\Arquivos de programas\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]
S3 WMPNetworkSvc;Serviço de Compartilhamento de Rede do Windows Media Player; C:\Arquivos de programas\Windows Media Player\WMPNetwk.exe [2006-11-02 914944]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-13 14336]

-----------------EOF-----------------
 
Mr.Wolf disse:
Existem vários vírus que fazem isto Megadeeth, vários mesmo, centenas... Existem os que fazem aparecer uma mensagem de erro sempre quando executar seu sistema dizendo que é necessário a reinstalação do software antivirus (o que obviamente é falso e obviamente também você não conseguirá mais instalá-lo se fizer a desinstalação); Existem os que desinstalam seu antivirus automaticamente (basta reiniciar o computador); Existem os que apenas o desativa; Existem os que danificam a principal chave referente a proteção ativa de seu sistema no registro (a chave é chamada de "Security Center") sendo assim você não conseguirá ativar, reinstalar ou instalar qualquer antivirus na máquina; Existem os que deletam alguns arquivos de seu antivirus (os principais) sendo assim seu antivirus não conseguirá ser iniciado ou executado; Etc...

Já vírus que desinstalam anti-spywares não existe, somente antivirus. E existe vírus que remove ferramentas específicas sim, como: ComboFix, BankerFix, KillBox, Flash Disinfector, etc...

Alguns vírus que fazem isso são estes: Rogue Antivirus 2009 (falso anti-spyware), Trojan AceBot (backdoor), Trojan Ajim, Backdoor Alpha Dog, Worm Anita (worm antigo bem conhecido, fez muitas vítimas no passado), Rootkit.Backdoor ZLOB, Trojan Trapdoor (backdoor), Trojan.Evil, Trojan Hack Tool, Backdoor Illusion Mailer, Trojan Horse Ajax, Rootkit Polypoites, Worm Krethon, etc.

Atualmente existe um malware (Ransomware) que está removendo o BankerFix e outras ferramentas de segurança. Recomendo a leitura deste artigo abaixo Megadeeth:

Praga remove BankerFix e outros softwares de segurança


Bacana amigo Megadeeth, boa sorte com os cursos.

São ótimos cursos sim. HTML é uma linguagem bem simples, de fácil entendimento, lhe atende de muitas formas. Montagem e manutenção de hardware você terá uma ótima base para trabalhar com as peças do PC, e entenderá como funciona tudo, pelo quê cada uma é responsável. Microlins é uma das escolas de informática mais conceituada do mercado Megadeeth, você está em ótimas mãos.


Sendo mais específico e direto, Ciência da computação é mais voltado a software, aborda de maneira aprofundada os conceitos e teorias da computação, dando uma sólida formação em áreas como estruturas de informação, algoritmos, linguagens de programação, desenvolvimento e análise de sistemas, entre outras.
Já Engenharia da computação é mais voltado a hardware, é diferenciada por se destacar no projeto, desenvolvimento e implementação de equipamentos e dispositivos computacionais, aplicações industriais, redes de comunicação, entre outros.

Porém, os dois cursos tem muitas semelhanças Megadeeth, inclusive, disciplinas em comum. Ou seja, tanto em Ciências quanto em Engenharia da computação, você aprenderá sobre hardware e software. Só que um tem uma abordagem em determinado instrumento maior do que o outro. Entretanto são dois cursos excelentes e o profissional formado em qualquer uma das duas terá um belo futuro.
Clique para expandir...

nooooosssss Mestre isso foi uma AULAAA vlw msm irmao :yes: :yes: sabia q soh vc saberia me ixplicar isso do começo ao fim e fazer entrar na minha cabeça q eh dificil heuheueheuehaua :D

cara otima ixplicaçao msm Mr.Wolf!!!!! nunk tinha ouvido falar desses virus e nunk imaginei q isso de tirar um anti-virus do pc foce possivel msm intao eu com meu colega nao piramos aconteceu msm!!!!! q doidera Mestre!!!! :cry:

eu dei uma lida nesse artigo do linhadefensiva q vc mostrou ae e fikei totalmente assustado dpois de ler isso e de ver suas ixplicaçoes Mr!!!! :eek: mais tipo se o virus remove o anti-virus e as ferramentas como vamos remover ele do pc intao???? :cry: existe outro meio de rmeoçao????

e tipo Mestre qual sao os efeitos q esses virus q tiram nossos anti-virus fazem??? tipo como saber se to com ele e como saber q peguei ele e talz???? sou curioso em tdo como vc sabe e sempre kero testa na makina virtual q eu tenho aki sabe??? onde esses virus sao pegos Mestre Wolf??? eh normal tipo em stes de cracks e talz como podemos privinir de pegar esses virus assim???

e mto obrigado pelas ixplicaçoes dos cursos Mr.Wolf confesso q to msm gostando bastante principalmente do curso de montagem e manutençao de hardware eu nao sabia nd de hardware agora to começando a intender mais ou menos!!!! :D ja o html nao eh dificil msm como vc falou mais tem mtas coisas q sao neh???? kkkkkkkkkk p vc deve ser baba manja d tdo!!!! :rolleyes: os professores da microlins sao bem atensiosos to gostando bastante de lah Mr!!!!!
e obrigado tbm por ixplicar a diferença de ciencias da computaçao e engenharia da computaçao axo q vou ficar com ciencias pq sei mais de software ker dizer eu sei pouco d informatica ainda mais o pouco q sei eh de software,hardware eu sou uma negaçao total!!!! :p intao pra mim axo q eh mais facil ir em ciencias neh????

um dia kero ser igual vc Mr.Wolf saber tdo de segurança,d virus e d programaçao e talz!!!!!

obrigado por tdo e principalmente pela ixplicaçao maravilhosa Mestre Wolf eu soh tenho a agradecer sempre vc por nos ajudar e me tirar essas minhas duvidas cabreiras sempre aki com a maior vontade vlw msm Mr!!!!! :yes: VC EH O KRA velho

um abraçao Mestre Wolf e brigado mais uma vez VLW MSM :yes: :D :cool:

ps. vc eh um exemplo p mim vou me ispelhar em vc p crecer nessa area de informatica hauheuhauheuha :yes: :p
 
Faaala Wolf, tu já me ajudou um tempo atrás com meu pc de casa, que por sinal ficou perfeito :)
Mas agora o problema é o pc aqui do trampo, o avira ta acusando um tal de TR/Spy.agent.areh no system32 e em outros 2 lugares pelo menos :S Num sei se é falso positivo mas ta com cara de não ser..
Edit: também tá batendo "WORM/IrcBot.23552.11 worm" no C:\WINDOWS\system\smsc.exe
To colando o log e já agradeço o trampo ae:thumbs_up

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:49:02, on 20/5/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Tibia\Tibia.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WSSVC] C:\WINDOWS\system\smsc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\sysmgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O22 - SharedTaskScheduler: scpLIB - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4471 bytes
 
Entendi Mr. Wolf, e qual destes vc me recomenda?
:p
 
Você deve fazer login ou se registrar para responder aqui.

Users who are viewing this thread

Total: 2 (membros: 0, visitantes: 2)
Voltar
Topo