[Resolvido]Mensagem de Erro

[_Vinny_]

Meu Windows pasou a exibir essa mensagem de erro sempre que tento usar algum arquivo de um dispositivo usb.

Pensei em reinstalar o windows, mas preciso ter certeza de que existe uma soluçao mais simples.

Imagen:

[JackSSA]

Tópico será movido para área de Remoção de Malwares devido ao conteúdo que será ministrado.

Siga os procedimentos deste Tópico:

http://scriptbrasil.com.br/forum/index.php?showtopic=86007

Ao final poste um novo log aqui mesmo neste tópico para ser análisado.

[_Vinny_]

Segeu o log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:13:58, on 4/7/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe

C:\Arquivos de programas\VIAudioi\SBADeck\ADeck.exe

C:\Arquivos de programas\Eset\nod32kui.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\Arquivos de programas\Windows Media Player\WMPNSCFG.exe

C:\Arquivos de programas\Eset\nod32krn.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\1.2.183.7\GoogleCrashHandler.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\WINDOWS\system32\drwtsn32.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Arquivos de programas\Orbitdownloader\GrabPro.dll

O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\ARQUIV~1\TEXTAL~1\TAForIE.dll

O4 - HKLM\..\Run: [sMSERIAL] C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe

O4 - HKLM\..\Run: [AudioDeck] C:\Arquivos de programas\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [nod32kui] "C:\Arquivos de programas\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [RGHM Agent] C:\WINDOWS\system32\28463\RGHM.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [WMPNSCFG] C:\Arquivos de programas\Windows Media Player\WMPNSCFG.exe

O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

O8 - Extra context menu item: &Download by Orbit - res://D:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://D:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://D:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{BF27B023-815A-4809-A64F-D607C679B291}: NameServer = 200.222.0.34 200.202.193.75

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Arquivos de programas\Eset\nod32krn.exe

--

End of file - 5800 bytes

[JackSSA]

Peço desculpas com relação a demora.

Faça o download do Malwarebytes Anti-Malware

http://www.besttechie.net/mbam/mbam-setup.exe

• Faça a instalação dando um duplo clique em mbam-setup.exe.
• Marque Atualizar Malwarebytes Anti-Malware e Executar Malwarebytes Anti-Malware, e clique em Concluir.
• Marque Verificação Rápida e depois clique em Verificar.
• Quando o scan terminar, clique em Ok e em Mostrar Resultados para ver o log.
• Se algo for detectado, veja se tudo está marcado e clique em Remover.
• O log é automaticamente gravado e pode ser consultado clicando em Logs do menu principal do programa.
• Copie e cole o conteúdo desse log na sua próxima resposta.
• Poste também um novo Log do Hijackthis.

[_Vinny_]

A mensagem de erro sumui depois que eu fiz uma restauraçao do sistema. Porem vou postar os logs.

Log do Malwarebytes

Malwarebytes' Anti-Malware 1.38

Versão do banco de dados: 2397

Windows 5.1.2600 Service Pack 2

8/7/2009 21:25:58

mbam-log-2009-07-08 (21-25-58).txt

Tipo de Verificação: Rápida

Objetos verificados: 82260

Tempo decorrido: 16 minute(s), 59 second(s)

Processos da Memória infectados: 0

Módulos de Memória Infectados: 2

Chaves do Registro infectadas: 1

Valores do Registro infectados: 1

Ítens do Registro infectados: 0

Pastas infectadas: 1

Arquivos infectados: 5

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:

C:\WINDOWS\system32\28463\RGHM.007 (Keylogger.Ardamax) -> Delete on reboot.

C:\WINDOWS\system32\28463\RGHM.006 (Keylogger.Ardamax) -> Delete on reboot.

Chaves do Registro infectadas:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.

Valores do Registro infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rghm agent (Keylogger.Ardamax) -> Quarantined and deleted successfully.

Ítens do Registro infectados:

(Nenhum ítem malicioso foi detectado)

Pastas infectadas:

c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

Arquivos infectados:

C:\WINDOWS\system32\28463\RGHM.007 (Keylogger.Ardamax) -> Delete on reboot.

C:\WINDOWS\system32\28463\RGHM.006 (Keylogger.Ardamax) -> Delete on reboot.

C:\WINDOWS\system32\28463\RGHM.exe (Keylogger.Ardamax) -> Delete on reboot.

c:\documents and settings\administrador\configurações locais\Temp\7zO1C2.tmp\RockXP.exe (Malware.Packer) -> Quarantined and deleted successfully.

c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.

Log do HijackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:31:58, on 8/7/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Eset\nod32krn.exe

C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe

C:\Arquivos de programas\VIAudioi\SBADeck\ADeck.exe

C:\Arquivos de programas\Eset\nod32kui.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\Arquivos de programas\Windows Media Player\WMPNSCFG.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\1.2.183.7\GoogleCrashHandler.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\WINDOWS\explorer.exe

D:\Arquivos de programas\FileZilla FTP Client\filezilla.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

D:\Arquivos de programas\FileZilla FTP Client\filezilla.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

D:\Arquivos de programas\Orbitdownloader\orbitdm.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll (file missing)

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Arquivos de programas\AskBarDis\bar\bin\askBar.dll (file missing)

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Arquivos de programas\Orbitdownloader\GrabPro.dll

O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\ARQUIV~1\TEXTAL~1\TAForIE.dll

O4 - HKLM\..\Run: [sMSERIAL] C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe

O4 - HKLM\..\Run: [AudioDeck] C:\Arquivos de programas\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [nod32kui] "C:\Arquivos de programas\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [WMPNSCFG] C:\Arquivos de programas\Windows Media Player\WMPNSCFG.exe

O8 - Extra context menu item: &Download by Orbit - res://D:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://D:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://D:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{BF27B023-815A-4809-A64F-D607C679B291}: NameServer = 200.222.0.34 200.202.193.75

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Arquivos de programas\Eset\nod32krn.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

--

End of file - 5872 bytes

[JackSSA]

Faça o download do Random's System Information Tool (RSIT)

http://images.malwareremoval.com/random/RSIT.exe

Salve na sua área de trabalho.

• Execute o RSIT.exe
• Haverá uma janela informativa:
• List files/folders created or modified in the last: 1 month
• Clique em Continue.

Quando terminar, dois blocos de notas serão abertos:

log.txt -> abrirá maximizado

info.txt -> abrirá minimizado.

Poste o conteúdo do arquivo log.txt.

Uma cópia desses arquivos ficará salva na pasta C:\RSIT

Obs: Se o seu firewall alertar sobre o arquivo rsit.exe tentando se conectar, certifique-se de permitir (allow).

[_Vinny_]

[JackSSA]

Baixe o ComboFix e salve no desktop.

Nota: Por favor, Não utilize o ComboFix por conta própria. O uso incorreto poderá danificar o seu computador. A ferramenta apenas deve ser utilizada sob supervisão de Analistas de remoção de malware.

• Feche todas as janelas e programas e desabilite seu programa antivirus e antispyware.
• Dê um duplo-clique no ComboFix.exe
• Será solicitada a instalação do Console de Recuperação, clique em Sim para iniciar o download, siga
• normalmente as instruções do programa.
• Ao final, clique em Sim para continuar a verificação.
• Quando solicitado tecle "1" em seguida Enter para prosseguir o Fix. Vai durar uma média de 10 minutos.
• O ComboFix poderá reiniciar o PC automaticamente para completar o processo de remoção.

Quando acabar, será gerado um log, que vai estar em C:\ComboFix.txt.

Atenção:

Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, pois senão irá parar e seu desktop ficará em branco.

Para parar ou sair do ComboFix, tecle "2" e Enter.

Depois gere um novo log com o HijackThis e poste, juntamente com o ComboFix.txt.

[_Vinny_]

Mesmo que eu desative o anti-virus, ele continua ativo, nem se eu encerra-lo pelo gerenciador de tarefas, ele continua rodando. Dai não continue o processo. Alguma solução?

[JackSSA]

Tente rodar em Modo de Segurança.

[_Vinny_]

Não deu, mesmo assim ele alertou sobre o anti-virus

http://h.imagehost.org/0749/img.jpg

[JackSSA]

Clique em Iniciar -> Executar e digite (ou copie e cole):

"%userprofile%\Desktop\Combofix.exe" /killall

Clique em Ok.

[_Vinny_]

Aqui do combo fix, depois posto do HijackThis.

Obs: rodei mesmo com anti virus ligado, não consegui desabilita-lo, segue o log do Combo Fix:

-------------------------------------------

ComboFix 09-07-14.08 - Administrador 25/07/2009 21:06.1.2 - NTFSx86 MINIMAL

Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.447.303 [GMT -3:00]

Executando de: c:\documents and settings\Administrador\Desktop\ComboFix\ComboFix.exe

AV: ESET NOD32 sistema antivírus 2.70 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

ATENÇAO - ESTA MAQUINA não TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\Installer\2ad7e73.msi

c:\windows\system32\28463

c:\windows\system32\28463\AKV.exe

c:\windows\system32\28463\key.bin

c:\windows\system32\28463\RGHM.001

c:\windows\system32\28463\RGHM.002

c:\windows\system32\28463\RGHM.005

c:\windows\system32\28463\RGHM.009

.

((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_AVPsys

(((((((((((((((( Arquivos/Ficheiros criados de 2009-06-26 to 2009-07-26 ))))))))))))))))))))))))))))

.

2009-07-24 18:52 . 2009-07-24 18:52 499712 ----a-w- c:\windows\system32\msvcp71.dll

2009-07-24 01:01 . 2009-07-24 01:01 -------- d-----w- c:\arquivos de programas\WinAVI Video Converter

2009-07-22 19:49 . 2009-07-22 19:49 -------- d-----w- c:\arquivos de programas\AmitySource

2009-07-22 19:47 . 2009-07-22 23:16 -------- d-----w- c:\arquivos de programas\Free Screen Video Capture by Topviewsoft

2009-07-21 02:50 . 2009-07-21 02:50 -------- d-----w- c:\arquivos de programas\KONAMI

2009-07-20 23:51 . 2009-07-20 23:55 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Download Manager

2009-07-19 07:36 . 2009-07-22 16:49 0 ----a-w- c:\windows\Infob.dat

2009-07-19 07:36 . 2009-07-22 16:49 0 ----a-w- c:\windows\Infoa.dat

2009-07-18 03:11 . 2009-07-22 16:51 -------- d-----w- c:\arquivos de programas\Total Video Converter

2009-07-18 00:23 . 2009-07-18 00:23 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Thunderbird

2009-07-18 00:22 . 2009-07-23 03:02 -------- d-----w- c:\arquivos de programas\Mozilla Thunderbird

2009-07-17 21:21 . 2009-07-17 21:21 -------- d-----w- C:\downloads

2009-07-17 12:11 . 2009-07-17 12:11 -------- d-----w- c:\arquivos de programas\FirefoxPortable

2009-07-17 06:08 . 2009-07-17 06:08 4096 ----a-w- c:\windows\system32\drivers\nocashio.sys

2009-07-15 14:37 . 2009-07-15 14:37 -------- d-----w- C:\rsit

2009-07-12 02:05 . 2009-07-12 02:05 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Nero

2009-07-12 01:46 . 2009-07-12 01:46 -------- d-----w- c:\arquivos de programas\Yahoo!

2009-07-10 18:52 . 2009-07-10 18:52 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Alien Skin

2009-07-08 17:36 . 2009-07-08 17:52 -------- d-----w- c:\windows\system32\CatRoot_bak

2009-07-07 23:38 . 2009-07-07 23:38 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Malwarebytes

2009-07-07 23:38 . 2009-06-17 14:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-07-07 23:38 . 2009-07-07 23:38 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes

2009-07-07 23:38 . 2009-07-07 23:38 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware

2009-07-07 23:38 . 2009-06-17 14:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-07-07 23:09 . 2009-07-07 23:09 -------- d-----w- c:\arquivos de programas\CCleaner

2009-07-07 20:52 . 2009-07-07 20:52 8854 ----a-r- c:\documents and settings\Administrador\Dados de aplicativos\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\Uninstall_Project64__9559F7CA5E344237A2D9D856464AD727.exe

2009-07-07 20:52 . 2009-07-07 20:52 40960 ----a-r- c:\documents and settings\Administrador\Dados de aplicativos\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\NewShortcut1_9559F7CA5E344237A2D9D856464AD727.exe

2009-07-07 20:52 . 2009-07-07 20:52 40960 ----a-r- c:\documents and settings\Administrador\Dados de aplicativos\Microsoft\Installer\{9559F7CA-5E34-4237-A2D9-D856464AD727}\ARPPRODUCTICON.exe

2009-07-07 20:31 . 2006-08-25 05:52 176128 ----a-r- c:\windows\system32\VTTrayp.exe

2009-07-07 20:31 . 2006-08-03 06:53 53248 ----a-r- c:\windows\system32\VTTimer.exe

2009-07-07 20:31 . 2005-11-01 02:35 28672 ----a-r- c:\windows\system32\VModes.exe

2009-07-07 20:30 . 2006-05-22 06:49 593920 ----a-r- c:\windows\system32\VTovrlay.dll

2009-07-07 20:30 . 2006-06-20 03:21 327680 ----a-r- c:\windows\system32\VTInfo2.dll

2009-07-07 20:30 . 2006-08-25 05:47 651264 ----a-r- c:\windows\system32\VTDisply.dll

2009-07-07 20:30 . 2006-06-22 09:05 462848 ----a-r- c:\windows\system32\VTGamma2.dll

2009-07-07 20:30 . 2006-08-25 06:13 1884160 ----a-r- c:\windows\system32\vticd.dll

2009-07-07 20:30 . 2006-08-25 06:03 3517952 ----a-r- c:\windows\system32\vtdisp.dll

2009-07-07 20:30 . 2006-08-25 06:03 264192 ----a-r- c:\windows\system32\drivers\vtmini.sys

2009-07-07 20:30 . 2009-07-07 20:30 -------- d-----w- c:\arquivos de programas\S3

2009-07-07 20:04 . 2005-01-01 09:43 4682 ----a-w- c:\windows\system32\npptNT2.sys

2009-07-07 16:28 . 2009-07-07 16:28 -------- d-----w- c:\arquivos de programas\OnGame

2009-07-07 03:54 . 2009-07-07 03:54 -------- d-----w- c:\arquivos de programas\Arquivos comuns\xing shared

2009-07-06 22:47 . 2008-10-16 17:06 268648 ----a-w- c:\windows\system32\mucltui.dll

2009-07-06 22:47 . 2008-10-16 17:06 208744 ----a-w- c:\windows\system32\muweb.dll

2009-07-06 22:41 . 2009-07-06 22:41 -------- d-----w- c:\windows\system32\wbem\Repository

2009-07-06 20:54 . 2009-07-06 22:39 -------- d-----w- c:\arquivos de programas\ResChanger 2005

2009-07-06 01:34 . 2009-07-06 22:39 -------- d-----w- c:\arquivos de programas\Google

2009-07-04 23:38 . 2009-07-04 23:38 -------- d-----w- c:\windows\Logs

2009-07-04 20:12 . 2009-07-04 20:12 -------- d-----w- c:\arquivos de programas\Trend Micro

2009-07-04 03:02 . 2009-07-06 22:39 -------- d-----w- c:\arquivos de programas\Game_Maker7

2009-07-03 04:27 . 2009-07-06 22:40 -------- dc----w- c:\arquivos de programas\Arquivos comuns\WindowsLiveInstaller

2009-07-03 04:26 . 2009-07-04 22:57 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\WLInstaller

2009-07-03 01:56 . 2009-07-07 21:16 -------- d-----w- c:\arquivos de programas\Project64 1.6

2009-07-02 19:27 . 2009-02-09 11:50 2061952 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe

2009-07-02 19:27 . 2009-02-09 11:50 2019840 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe

2009-07-02 19:27 . 2009-02-09 11:50 2184704 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe

2009-07-02 19:26 . 2009-02-09 11:50 2140160 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-07-02 06:37 . 2009-07-06 22:36 -------- d-----w- c:\arquivos de programas\NTFS Undelete

2009-07-02 05:15 . 2009-07-02 05:15 -------- d-----w- c:\arquivos de programas\PluginLetras

2009-07-01 23:01 . 2009-07-01 23:01 -------- d-----w- c:\windows\Sun

2009-07-01 22:11 . 2009-07-01 22:11 -------- d-----w- c:\arquivos de programas\FLV Player

2009-07-01 22:03 . 2009-07-01 22:03 156672 ----a-w- c:\windows\system32\rmc_fixasf.exe

2009-07-01 22:03 . 2009-07-01 22:03 237568 ----a-w- c:\windows\system32\rmc_rtspdl.dll

2009-07-01 21:59 . 2008-06-14 17:59 272384 -c----w- c:\windows\system32\dllcache\bthport.sys

2009-07-01 21:59 . 2008-06-14 17:59 272384 ------w- c:\windows\system32\drivers\bthport.sys

2009-07-01 21:54 . 2009-07-01 21:54 323584 ----a-w- c:\windows\system32\AUDIOGENIE2.DLL

2009-07-01 21:52 . 2009-07-02 03:20 -------- d-----w- c:\arquivos de programas\Replay Media Catcher

2009-07-01 21:52 . 2009-07-01 21:52 -------- d-----w- c:\windows\Replay Media Catcher

2009-07-01 21:23 . 2009-07-01 21:23 -------- d-----w- c:\windows\Applian FLV Player

2009-07-01 18:40 . 2009-07-01 18:53 -------- d-----w- c:\arquivos de programas\FastNet99

2009-07-01 17:09 . 2008-10-24 11:10 453632 -c----w- c:\windows\system32\dllcache\mrxsmb.sys

2009-07-01 03:55 . 2009-07-01 03:55 390664 ----a-w- c:\documents and settings\Administrador\Dados de aplicativos\Real\RealPlayer\setup\AU_setup.exe

2009-07-01 00:27 . 2009-07-01 00:27 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Apple Computer

2009-07-01 00:26 . 2009-07-01 00:27 -------- d-----w- c:\arquivos de programas\QuickTime Alternative

2009-06-30 23:47 . 2009-07-20 01:59 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\FileZilla

2009-06-30 04:17 . 2009-07-09 05:08 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Ahead

2009-06-30 04:13 . 2009-07-12 02:09 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Ahead

2009-06-30 04:13 . 2009-06-30 04:13 -------- d-----w- c:\arquivos de programas\Nero

2009-06-29 22:29 . 2009-07-06 22:39 -------- d-----w- c:\arquivos de programas\directx

2009-06-28 22:39 . 2009-06-28 22:39 848 --sha-w- c:\windows\system32\KGyGaAvL.sys

.

((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-07-24 18:52 . 2009-06-09 22:40 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Real

2009-07-24 15:36 . 2009-06-19 18:53 1 ----a-w- c:\documents and settings\Administrador\Dados de aplicativos\BrOffice.org\3\user\uno_packages\cache\stamp.sys

2009-07-23 17:18 . 2009-06-23 20:47 -------- d-----w- c:\arquivos de programas\TextAloud

2009-07-22 01:21 . 2009-06-20 00:02 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\uTorrent

2009-07-21 13:43 . 2009-06-20 20:16 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Orbit

2009-07-21 03:04 . 2009-06-19 19:36 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information

2009-07-07 20:30 . 2009-06-19 19:35 -------- d-----w- c:\arquivos de programas\Arquivos comuns\InstallShield

2009-07-07 03:53 . 2009-06-24 02:46 348160 ----a-w- c:\windows\system32\msvcr71.dll

2009-07-07 01:38 . 2009-06-24 02:12 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Messenger Plus!

2009-07-06 22:47 . 2001-10-28 18:07 48628 ----a-w- c:\windows\system32\perfc016.dat

2009-07-06 22:47 . 2001-10-28 18:07 344380 ----a-w- c:\windows\system32\perfh016.dat

2009-07-06 22:39 . 2009-06-19 18:45 -------- d-----w- c:\arquivos de programas\MSN Messenger

2009-07-06 21:33 . 2009-06-25 02:19 664 ----a-w- c:\windows\system32\d3d9caps.dat

2009-07-03 15:15 . 2009-06-20 23:50 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\LimeWireTurbo

2009-07-03 04:26 . 2009-06-23 23:42 -------- d-----w- c:\arquivos de programas\Windows Live

2009-06-30 19:40 . 2009-06-24 00:36 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\LimeWire

2009-06-25 02:18 . 2009-06-25 02:18 -------- d-----w- c:\arquivos de programas\Windows Media Connect 2

2009-06-25 01:29 . 2009-06-20 20:56 592 ----a-w- c:\windows\chgkey.vbs

2009-06-24 02:47 . 2009-06-09 22:40 -------- d-----w- c:\arquivos de programas\Real

2009-06-23 23:42 . 2009-06-23 23:42 -------- d-----w- c:\arquivos de programas\Messenger Plus! Live

2009-06-23 17:40 . 2009-06-23 17:40 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Blender Foundation

2009-06-23 16:57 . 2009-06-23 16:57 410984 ----a-w- c:\windows\system32\deploytk.dll

2009-06-23 16:57 . 2009-06-23 16:57 -------- d-----w- c:\arquivos de programas\Java

2009-06-23 16:57 . 2009-06-23 16:57 152576 ----a-w- c:\documents and settings\Administrador\Dados de aplicativos\Sun\Java\jre1.6.0_14\lzma.dll

2009-06-23 15:12 . 2009-06-20 20:53 -------- d-----w- c:\arquivos de programas\ESET

2009-06-23 05:21 . 2009-06-20 20:16 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\GrabPro

2009-06-20 23:50 . 2009-06-20 23:50 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\LimeWireTurbo

2009-06-20 23:05 . 2009-06-20 23:02 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Macromedia

2009-06-20 20:53 . 2009-06-20 20:53 298104 ----a-w- c:\windows\system32\imon.dll

2009-06-20 20:53 . 2009-06-20 20:53 512096 ----a-w- c:\windows\system32\drivers\amon.sys

2009-06-20 20:53 . 2009-06-20 20:53 15424 ----a-w- c:\windows\system32\drivers\nod32drv.sys

2009-06-19 19:47 . 2009-06-19 19:47 -------- d-----w- c:\arquivos de programas\VIAudioi

2009-06-19 19:36 . 2009-06-19 19:36 -------- d-----w- c:\arquivos de programas\VIA

2009-06-19 18:52 . 2009-06-19 18:52 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\BrOffice.org

2009-06-19 18:48 . 2009-06-19 18:48 -------- d-----w- c:\arquivos de programas\BrOffice.org 3

2009-06-19 18:36 . 2009-06-19 18:36 -------- d-----w- c:\arquivos de programas\Motorola

2009-06-16 14:54 . 2004-08-04 03:45 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-06-16 14:54 . 2001-10-28 18:06 82432 ----a-w- c:\windows\system32\fontsub.dll

2009-06-08 21:38 . 2009-06-08 21:38 -------- d-----w- c:\documents and settings\Administrador\Dados de aplicativos\Foxit

2009-06-08 21:38 . 2009-06-08 21:38 -------- d-----w- c:\arquivos de programas\Foxit Software

2009-06-08 21:36 . 2009-06-08 21:36 0 ----a-w- c:\windows\nsreg.dat

2009-06-06 22:12 . 2009-06-06 22:12 552 ----a-w- c:\windows\system32\d3d8caps.dat

2009-06-03 19:26 . 2004-08-04 03:45 1295360 ----a-w- c:\windows\system32\quartz.dll

2009-05-17 15:35 . 2009-05-17 15:11 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-05-17 15:09 . 2009-05-17 15:09 21844 ----a-w- c:\windows\system32\emptyregdb.dat

2009-05-07 15:43 . 2004-08-04 03:45 345600 ----a-w- c:\windows\system32\localspl.dll

2009-04-29 04:52 . 2004-08-04 03:45 661504 ----a-w- c:\windows\system32\wininet.dll

2009-04-29 04:52 . 2004-08-04 03:45 81920 ----a-w- c:\windows\system32\ieencode.dll

2009-07-16 15:16 . 2009-06-08 21:36 134648 ----a-w- c:\arquivos de programas\mozilla firefox\components\brwsrcmp.dll

.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))

.

.

*Nota* entradas vazias e legítimas por defeito não são mostradas.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="c:\arquivos de programas\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 139264]

"Google Update"="c:\documents and settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" [2009-07-07 133104]

"WMPNSCFG"="c:\arquivos de programas\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SMSERIAL"="c:\arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe" [2006-10-10 729088]

"AudioDeck"="c:\arquivos de programas\VIAudioi\SBADeck\ADeck.exe" [2006-09-05 540672]

"nod32kui"="c:\arquivos de programas\Eset\nod32kui.exe" [2009-06-20 949376]

"SunJavaUpdateSched"="c:\arquivos de programas\Java\jre6\bin\jusched.exe" [2009-06-23 148888]

"NeroFilterCheck"="c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"TkBellExe"="c:\arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" [2009-07-24 185896]

"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2006-08-03 53248]

"VTTrayp"="VTtrayp.exe" - c:\windows\system32\VTTrayp.exe [2006-08-25 176128]

[HKLM\~\startupfolder\C:^Documents and Settings^Administrador^Menu Iniciar^Programas^Inicializar^BrOffice.org 3.0.lnk]

path=c:\documents and settings\Administrador\Menu Iniciar\Programas\Inicializar\BrOffice.org 3.0.lnk

backup=c:\windows\pss\BrOffice.org 3.0.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\msnmsgr.exe"=

"c:\\Arquivos de programas\\MSN Messenger\\livecall.exe"=

"d:\\Arquivos de programas\\uTorrent\\uTorrent.exe"=

"d:\\Arquivos de programas\\Orbitdownloader\\orbitdm.exe"=

"d:\\Arquivos de programas\\Orbitdownloader\\orbitnet.exe"=

"c:\\Arquivos de programas\\Arquivos comuns\\Ahead\\Nero Web\\SetupX.exe"=

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [19/6/2009 16:36 11264]

R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [20/6/2009 17:53 15424]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

.

Conteúdo da pasta 'Tarefas Agendadas'

.

- - - - ORFÃOS REMOVIDOS - - - -

BHO-{201f27d4-3704-41d6-89c1-aa35e39143ed} - c:\arquivos de programas\AskBarDis\bar\bin\askBar.dll

Toolbar-{3041d03e-fd4b-44e0-b742-2d9b88305f98} - c:\arquivos de programas\AskBarDis\bar\bin\askBar.dll

WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - c:\arquivos de programas\AskBarDis\bar\bin\askBar.dll

.

------- Scan Suplementar -------

.

uStart Page = hxxp://search.orbitdownloader.com

uInternet Connection Wizard,ShellNext = iexplore

IE: &Download by Orbit - d:\arquivos de programas\Orbitdownloader\orbitmxt.dll/201

IE: &Grab video by Orbit - d:\arquivos de programas\Orbitdownloader\orbitmxt.dll/204

IE: Do&wnload selected by Orbit - d:\arquivos de programas\Orbitdownloader\orbitmxt.dll/203

IE: Down&load all by Orbit - d:\arquivos de programas\Orbitdownloader\orbitmxt.dll/202

LSP: c:\windows\system32\imon.dll

FF - ProfilePath - c:\documents and settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\424u2aoj.default\

FF - prefs.js: browser.startup.homepage - hxxp://pt-BR.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:pt-BR:official

FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll

---- FIREFOX POLICIES ----

c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-07-25 21:13

Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

AudioDeck = c:\arquivos de programas\VIAudioi\SBADeck\ADeck.exe 1???e:\audio\via???????|???|?????????????????????????

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso

arquivos/ficheiros ocultos: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

.

--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'lsass.exe'(528)

c:\windows\system32\imon.dll

c:\arquivos de programas\Eset\pr_imon.dll

- - - - - - - > 'explorer.exe'(2436)

c:\arquiv~1\WINDOW~2\wmpband.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Outros Processos em Execução ------------------------

.

c:\arquivos de programas\Java\jre6\bin\jqs.exe

c:\arquivos de programas\ESET\nod32krn.exe

c:\documents and settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\1.2.183.7\GoogleCrashHandler.exe

c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

c:\arquivos de programas\Windows Media Player\wmpnetwk.exe

.

**************************************************************************

.

Tempo para conclusão: 2009-07-26 21:17 - Máquina reiniciou

ComboFix-quarantined-files.txt 2009-07-26 00:17

Pré-execução: 8 pasta(s) 18.680.004.608 bytes disponíveis

Pós execução: 8 pasta(s) 18.151.440.384 bytes disponíveis

251 --- E O F --- 2009-07-16 06:02

[JackSSA]

Por gentileza, poste o log do Hijackthis.

[_Vinny_]

Sim, desculpa a demora... estou sem internet em casa...

Aqui o log do hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:01:42, on 26/7/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Eset\nod32krn.exe

C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe

C:\Arquivos de programas\VIAudioi\SBADeck\ADeck.exe

C:\Arquivos de programas\Eset\nod32kui.exe

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe

C:\Arquivos de programas\Windows Media Player\WMPNSCFG.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\1.2.183.7\GoogleCrashHandler.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Arquivos de programas\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Arquivos de programas\Orbitdownloader\GrabPro.dll

O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - C:\ARQUIV~1\TEXTAL~1\TAForIE.dll

O4 - HKLM\..\Run: [sMSERIAL] C:\Arquivos de programas\Motorola\SMSERIAL\sm56hlpr.exe

O4 - HKLM\..\Run: [AudioDeck] C:\Arquivos de programas\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [nod32kui] "C:\Arquivos de programas\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [WMPNSCFG] C:\Arquivos de programas\Windows Media Player\WMPNSCFG.exe

O8 - Extra context menu item: &Download by Orbit - res://D:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://D:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://D:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Arquivos de programas\Eset\nod32krn.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

--

End of file - 5251 bytes

--------------------------

Logo apos o scan do ComboFix alguns erros sumiram.

[JackSSA]

Acesse este site: http://www.virustotal.com/pt/

Em Enviar arquivo coloque: c:\windows\system32\drivers\nocashio.sys

Em seguida clique em Enviar arquivo

Copie e poste o resultado deste exame.

[_Vinny_]

Acho que o resultado é isso:

Antivírus Versão Última Atualização Resultado

a-squared 4.5.0.24 2009.07.29 -

AhnLab-V3 5.0.0.2 2009.07.28 -

AntiVir 7.9.0.234 2009.07.29 -

Antiy-AVL 2.0.3.7 2009.07.29 -

Authentium 5.1.2.4 2009.07.28 -

Avast 4.8.1335.0 2009.07.28 -

AVG 8.5.0.387 2009.07.29 -

BitDefender 7.2 2009.07.29 -

CAT-QuickHeal 10.00 2009.07.28 -

ClamAV 0.94.1 2009.07.29 -

Comodo 1802 2009.07.29 -

DrWeb 5.0.0.12182 2009.07.29 -

eSafe 7.0.17.0 2009.07.28 -

eTrust-Vet 31.6.6645 2009.07.29 -

F-Prot 4.4.4.56 2009.07.28 -

F-Secure 8.0.14470.0 2009.07.29 -

Fortinet 3.120.0.0 2009.07.29 -

GData 19 2009.07.29 -

Ikarus T3.1.1.64.0 2009.07.29 -

Jiangmin 11.0.800 2009.07.29 -

K7AntiVirus 7.10.804 2009.07.28 -

Kaspersky 7.0.0.125 2009.07.29 -

McAfee 5691 2009.07.28 -

McAfee+Artemis 5691 2009.07.28 -

McAfee-GW-Edition 6.8.5 2009.07.29 -

Microsoft 1.4903 2009.07.29 -

NOD32 4287 2009.07.29 -

Norman 6.01.09 2009.07.28 -

nProtect 2009.1.8.0 2009.07.29 -

Panda 10.0.0.14 2009.07.28 -

PCTools 4.4.2.0 2009.07.28 -

Prevx 3.0 2009.07.29 -

Rising 21.40.22.00 2009.07.29 -

Sophos 4.44.0 2009.07.29 -

Sunbelt 3.2.1858.2 2009.07.29 -

Symantec 1.4.4.12 2009.07.29 -

TheHacker 6.3.4.3.377 2009.07.29 -

TrendMicro 8.950.0.1094 2009.07.29 -

VBA32 3.12.10.9 2009.07.29 -

ViRobot 2009.7.29.1859 2009.07.29 -

VirusBuster 4.6.5.0 2009.07.28 -

Informações adicionais

File size: 4096 bytes

MD5 : 03bba4dedefb48c510061529651b453a

SHA1 : 9dbe36380185ef006cff624019a62e5d0ae76bca

SHA256: 7b9dba42de0d6408121fb308848232c061eb4c62510c0c38761a493fa676842e

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x4000

timedatestamp.....: 0x40AB7540 (Wed May 19 16:54:56 2004)

machinetype.......: 0x14C (Intel I386)

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x208 0x400 3.26 fc4f87276e0d95f6641bbe43cce72f59

.rdata 0x2000 0xB0 0x200 2.03 5191f3c8f98633b39e7df38132979af2

.data 0x3000 0x8 0x200 0.08 1fd62ec5648b0294c196045987fa1c25

INIT 0x4000 0x1B8 0x200 4.65 305bf75c42c8d1884d9b03126902beaf

.reloc 0x5000 0x76 0x200 1.03 cf64cfde49b116636d155febbe336eb1

( 0 imports )

( 0 exports )

TrID : File type identification

Generic Win/DOS Executable (49.9%)

DOS Executable Generic (49.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

ssdeep: 24:ev1GSwwm/I0cxOcG/3/25mhJTlN5R+3SbeiAs3SbHtykh9BtUVR6Woz64m:qxm17S54TlfRwsA+a7hDtsRCz6

PEiD : -

packers (Kaspersky): PE_Patch

RDS : NSRL Reference Data Set

[JackSSA]

Versões antigas do Java, têm vunerabilidades que alguns malwares podem usar para infectar seu sistema. Verifique se o seu sistema tem a última versão instalada:

Faça o download do JavaRa:

http://sourceforge.net/project/downloading...use_mirror=osdn

Dê um duplo-clique no JavaRa.exe. Depois clique em Search For Updates. Selecione a opção Update Using jucheck.exe. Clique então no botão Search.

Se estiver atualizado, receberá um aviso de que tem a última versão. Caso contrário, aguarde a nova versão do Java ser baixada e instalada. Depois clique no botão Remove Older Versions para que as versões antigas que existirem no PC sejam desinstaladas.

Clique em Iniciar -> Executar -> digite ComboFix /u -> Ok.

Aguarde a desinstalação.

É extremamente aconselhado também que atualize seu Windows para o Service Pack 3. Se você já estiver com as atualizações em dias, acesse o Windows Update para baixar e instalar o Service Pack 3. Caso não esteja com as atualizações em dias, você pode baixa-lo neste endereço: Microsoft

Seu Log está limpo. Ainda há algum problema com o PC?

[_Vinny_]

Assim que possivel instalarei o SP3.

Nenhum problema a mais.

Obrigado pela ajuda.

[JackSSA]

Caso Resolvido.

Caso o autor queira a reabertura do tópico, envie uma MP com o link para um moderador da seção.