Lentidão, log para analise. (pc de mara).

Log do ZHPDiag.txt [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

BankerFix 3.5 VALKYRIE - Removedor de Bankers
Linha Defensiva | [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
-------------------------------------------------------
Data: 2013-03-01 - 16:14
-------------------------------------------------------
Lista de Definição: 2012-08-22-1 | CORE: 2012-08-22-6
=======================================================

Arquivo infectado detectado: C:\DOCUME~1\f002873\CONFIG~1\Temp\6.tmp
Arquivo infectado removido com sucesso!

Arquivo infectado detectado: C:\Documents and Settings\All Users\Dados de aplicativos\.bat
Arquivo infectado removido com sucesso!

Arquivo infectado detectado: C:\Documents and Settings\All Users\Dados de aplicativos\ConfDown
Arquivo infectado removido com sucesso!

Arquivo infectado detectado: C:\Documents and Settings\All Users\Dados de aplicativos\dkwork.ini
Arquivo infectado removido com sucesso!

IP malicioso encontrado no hosts: 76.163



----- Fim -------------------------



Malwarebytes Anti-Malware 1.70.0.1100
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Versão da Base de Dados: v2013.03.01.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
f002873 :: FUN0102 [administrador]

01/03/2013 16:20:48
mbam-log-2013-03-01 (16-20-48).txt

Tipo de Verificação: Verificação Completa (C:\|)
Opções de verificações ativadas: Memória | Inicialização | Registro | Sistema de arquivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opções de verificação desativadas: P2P
Objetos escaneados: 571389
Tempo decorrido: 54 minuto(s), 6 segundo(s)

Processos de Memória Detectados: 0
(Não foram detectados ítens maliciosos)

Módulos de Memória Detectados: 0
(Não foram detectados ítens maliciosos)

Chaves de Registro Detectadas: 2
HKCR\CLSID\{19CFAC38-079E-4353-A5A0-80F571227089} (Trojan.BHO) -> Enviado para a Quarentena e deletado com sucesso.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{19CFAC38-079E-4353-A5A0-80F571227089} (Trojan.BHO) -> Enviado para a Quarentena e deletado com sucesso.

Valores de Registro Detectadas: 0
(Não foram detectados ítens maliciosos)

Itens de Dados no Registro Detectadas: 2
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Ruim: (1) Bom: (0) -> Enviado para a Quarentena e reparado com sucesso.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Ruim: (1) Bom: (0) -> Enviado para a Quarentena e reparado com sucesso.

Pastas Detectadas: 0
(Não foram detectados ítens maliciosos)

Arquivos Detectados: 5
C:\MMQNG\DLL\Valida XML.exe (Trojan.Banker.Gen) -> Enviado para a Quarentena e deletado com sucesso.
C:\MMQNG\EXE\NGToolsUpdate.exe (Trojan.Banker.Gen) -> Enviado para a Quarentena e deletado com sucesso.
C:\MMQNG\EXE\ServicesNG.exe (Trojan.Banker.Gen) -> Enviado para a Quarentena e deletado com sucesso.
C:\MMQNG\EXE\Valida XML.exe (Trojan.Banker.Gen) -> Enviado para a Quarentena e deletado com sucesso.
C:\System Volume Information\_restore{EF0505B8-A60C-4C08-9AF2-C5CF99A872BD}\RP1072\A0111308.exe (Trojan.Banker.Gen) -> Enviado para a Quarentena e deletado com sucesso.

(fim)


# AdwCleaner v2.113 - Relatório criado em 01/03/2013 às 15:43:22
# Atualizado em 23/02/2013 por Xplode
# Sistema Operacional : Microsoft Windows XP Service Pack 3 (32 bits)
# Usuário : f002873 - FUN0102
# Modo de Boot : Normal
# Executado de : C:\Documents and Settings\f002873\Desktop\adwcleaner.exe
# Opção [Remover]


***** [Serviços] *****


***** [Arquivos/Pastas] *****


***** [Registro] *****

Chave Removida : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Chave Removida : HKLM\SOFTWARE\Classes\NG_FLH_BD.cls_flh_classifctbitemctbflh
Chave Removida : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}

***** [Navegadores] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registro está limpo.

-\\ Mozilla Firefox v19.0 (pt-BR)

Arquivo : C:\Documents and Settings\f002873\Dados de aplicativos\Mozilla\Firefox\Profiles\kcrsaat4.default\prefs.js

[OK] Arquivo está limpo.

Arquivo : C:\Documents and Settings\f002949\Dados de aplicativos\Mozilla\Firefox\Profiles\zs1smkq3.default\prefs.js

[OK] Arquivo está limpo.

Arquivo : C:\Documents and Settings\Administrador\Dados de aplicativos\Mozilla\Firefox\Profiles\tpyw8tst.default\prefs.js

[OK] Arquivo está limpo.

-\\ Google Chrome v25.0.1364.97

Arquivo : C:\Documents and Settings\f002873\Configurações locais\Dados de aplicativos\Google\Chrome\User Data\Default\Preferences

[OK] Arquivo está limpo.

*************************

AdwCleaner[S1].txt - [1558 octets] - [01/03/2013 15:43:22]

########## EOF - C:\AdwCleaner[S1].txt - [1618 octets] ##########

Boa Noite! Edvan

|- Desinstale: C:\Arquivos de programas\Spybot - Search & Destroy

-/-

|- Feche programas/pastas que estejam abertas.
|- Para Windows Vista,desabilite a [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Dê um duplo clique em ZHPFix.

|- Clique no menu,H < [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] >

O3 - Toolbar: (no name) - [HKLM]{EF99BD32-C1FB-11D2-892F-0090271D4F88} Orphean Key => Yahoo Companion!
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-21-2586132527-314635491-3328972525-21236\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -- Orphean Key
O43 - CFD: 02/08/2011 - 16:27:39 - [1,114] ----D C:\Arquivos de programas\Spybot - Search & Destroy => Spybot - Search & Destroy
O53 - SMSR:HKLM\...\startupreg\alg [Key] . (...) -- C:\WINDOWS\system32\sys\alg.exe (.not file.)

[HKLM\Software\Classes\Interface\{7697BC38-D0FA-454B-AC75-968B4CCABFCE}] => Infection BT (Toolbar.Kiwee)

proxyfix
emptytemp
emptyflash
firewallraz
sysrestore

|- Copie e cole estas informações,que estão em vermelho,para o campo "amarelo claro" de ZHPFix.
|- Ps: Procure deixar o campo limpo,antes de colar as informações que estão na Quote.
|- Clique em GO -> Oui.
|- Poste o relatório: C:\ZHP\ZHPFix[R1].txt

-/-

|- Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... by sUBs )
|- Salve-o no desktop! ( Área de trabalho! )
|- Ps: Desabilite seu antivírus,antispywares e/ou firewall. ( Menos o do Windows! )
|- Feche algum programa/arquivo que esteja aberto.
|- Feche,também,seu navegador! ( IE,Firefox,Opera ou Google Chrome )
|- Ps: Esteja conectado(a) à Internet. <- Importante!
|- É preciso estar logado no sistema com privilégios de administrador.
|- Execute ComboFix.exe,com um duplo clique.
|- Ps: Instale o "[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]",caso seja solicitado! <- Somente XP!
|- Ps: Ficará,portanto,à seu critério optar por sua instalação.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Surgindo alguma mensagem de erro,execute ComboFix.exe em Modo de Segurança com rede.
|- Ps: Para completar as remoções,talvez haja necessidade da ferramenta reiniciar o computador.
|- Abrir-se-á a janela Auto Scan.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Aguarde a finalização de todas as Etapas.
|- Durante o scan,evite utilizar o mouse ou teclado!
|- Concluindo,poste: C:\ComboFix.txt

"Tentativa de operaçao ilegal em uma chave do Registro marcada para exclusão."

|- Ao ocorrer este erro,basta reiniciar o computador!
|- "ComboFix é uma ferramenta que pode danificar o sistema. Utilize-o,somente,sob supervisão de analistas de segurança."

A+

Boa Noite! Edvan

|- Desinstale: C:\Arquivos de programas\Spybot - Search & Destroy

Está desinstalado, tinha só uma pasta em: C:\Arquivos de programas\Spybot - Search & Destroy com uma DLL dentro da pasta, daí excluir.,


Rapport de ZHPFix 1.3.21 par Nicolas Coolman, Update du 28/02/2013
Fichier d'export Registre :
Run by f002873 at 01/03/2013 22:46:56
High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)

Recycle Files Deleted

========== Registry Key ==========
DELETED Key: CLSID Extra Buttons: {e2e2dd38-d088-4134-82b7-f2ba38496583}
DELETED Key: StartupReg: alg
DELETED Key: HKLM\Software\Classes\Interface\{7697BC38-D0FA-454B-AC75-968B4CCABFCE}

========== Registry Value ==========
DELETED Toolbar: {EF99BD32-C1FB-11D2-892F-0090271D4F88}
DELETED RunValue: ctfmon.exe
NOT FOUND RunValue: ctfmon.exe
ProxyFix : Proxy killed successfully
DELETED ProxyServer Value
DELETED ProxyEnable Value
DELETED EnableHttp1_1 Value
DELETED ProxyHttp1.1 Value
DELETED ProxyOverride Value
DELETED FirewallRaz (SP) : %windir%\system32\sessmgr.exe
DELETED FirewallRaz (SP) : C:\Arquivos de programas\Google\Google Talk\googletalk.exe
DELETED FirewallRaz (SP) : %windir%\Network Diagnostic\xpnetdiag.exe
DELETED FirewallRaz (DP) : %windir%\system32\sessmgr.exe
DELETED FirewallRaz (DP) : %windir%\Network Diagnostic\xpnetdiag.exe
No Value in Firewall Exception Register Key (FirewallRaz)

========== Repertory ==========
NOT FOUND C:\Arquivos de programas\Spybot - Search & Destroy
DELETED Window Temporary
DELETED Flash Cookies

========== File ==========
DELETE on Reboot c:\windows\system32\ctfmon.exe
NOT FOUND File: c:\windows\system32\sys\alg.exe
DELETED Window Temporary
DELETED Flash Cookies

========== Restoration ==========
Restore System Point created succefully


========== Summary ==========
3 : Registry Key
15 : Registry Value
3 : Repertory
4 : File
1 : Restoration


End of clean in 00mn 21s

========== Report File ==========
C:\ZHP\ZHPFix[R1].txt - 01/03/2013 22:46:59 [1797]



P>S: Já o combofix não rolou, pois estou acessando remotamente a maquina pelo TeamViewer, acho que tenho que esta presente para executar o combofix... Tem outra ferramenta que eu possa adiantar e passar logo?

Conseguir amigo, executei o combofix e fechei a conexao remota, esperei uns 20 minutos e tentei a conexão novamente, quando voltou ja estava o log aberto.

ComboFix 13-03-01.01 - f002873 01/03/2013 23:15:27.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.2039.1404 [GMT -3:00]
Executando de: c:\documents and settings\f002873\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
ADS - drivers: deleted 208 bytes in 1 streams.
.
((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\f002873\Dados de aplicativos\FUN0102
c:\documents and settings\f002873\Dados de aplicativos\FUN0102\FUN0102.zip
c:\windows\system\chron32.dll
c:\windows\system32\01949
c:\windows\system32\01949\AUTOCHKK.TXT
.
.
(((((((((((((((( Arquivos/Ficheiros criados de 2013-02-02 to 2013-03-02 ))))))))))))))))))))))))))))
.
.
2013-03-02 02:13 . 2013-03-02 02:13 12568 ----a-w- c:\windows\system32\drivers\PROCEXP113.SYS
2013-03-01 20:30 . 2013-03-01 20:30 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2013-03-01 20:27 . 2013-03-02 01:46 -------- d-----w- C:\ZHP
2013-03-01 20:27 . 2013-03-01 20:30 -------- d-----w- c:\arquivos de programas\ZHPDiag
2013-03-01 20:20 . 2013-03-01 20:20 -------- d-----w- c:\arquivos de programas\TeamViewer
2013-03-01 19:14 . 2013-03-01 19:15 -------- d-----w- C:\LinhaDefensiva
2013-03-01 19:03 . 2013-03-01 19:03 -------- d-----w- c:\documents and settings\f002873\Dados de aplicativos\Malwarebytes
2013-03-01 19:03 . 2013-03-01 19:03 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes
2013-03-01 19:03 . 2013-03-01 19:12 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware
2013-03-01 19:03 . 2012-12-14 19:49 21104 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-03-01 18:40 . 2013-03-01 18:40 333 ----a-w- c:\documents and settings\f002873\Configurações locais\Dados de aplicativos\DelUnist.bat
2013-02-25 18:24 . 2013-02-25 18:24 -------- d-----w- c:\documents and settings\f002873\Dados de aplicativos\Media Player Classic
2013-02-25 18:24 . 2011-12-07 18:32 216064 ----a-w- c:\windows\system32\lagarith.dll
2013-02-25 18:24 . 2008-09-24 19:41 839680 ----a-w- c:\windows\system32\lameACM.acm
2013-02-25 18:24 . 2012-07-01 23:15 4102656 ----a-w- c:\windows\system32\x264vfw.dll
2013-02-25 18:24 . 2011-06-24 15:44 243200 ----a-w- c:\windows\system32\xvidvfw.dll
2013-02-25 18:24 . 2011-06-24 15:28 650752 ----a-w- c:\windows\system32\xvidcore.dll
2013-02-25 18:24 . 2012-06-09 18:21 178688 ----a-w- c:\windows\system32\unrar.dll
2013-02-25 18:24 . 2011-12-21 18:14 151552 ----a-w- c:\windows\system32\ac3acm.acm
2013-02-25 18:24 . 2013-02-06 18:00 112640 ----a-w- c:\windows\system32\ff_vfw.dll
2013-02-25 18:23 . 2013-02-25 18:24 -------- d-----w- c:\arquivos de programas\K-Lite Codec Pack
2013-02-15 22:04 . 2013-02-15 22:04 208448 ----a-w- c:\arquivos de programas\Internet Explorer\PLUGINS\nppdf32.dll
2013-02-15 16:49 . 2013-02-15 16:49 -------- d-----w- c:\documents and settings\f002873\Dados de aplicativos\Ahead
.
.
.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-27 15:04 . 2012-04-17 11:02 691568 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-02-27 15:04 . 2011-08-02 19:36 71024 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-01-26 03:55 . 2004-08-04 03:45 552448 ------w- c:\windows\system32\oleaut32.dll
2013-01-22 13:40 . 2009-02-09 18:37 46888 ----a-w- c:\windows\system32\drivers\gbpkm.sys
2013-01-07 07:25 . 2004-08-04 03:40 2152960 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-01-07 07:25 . 2004-08-04 00:40 2031616 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-01-04 10:09 . 2004-08-04 03:38 1867392 ----a-w- c:\windows\system32\win32k.sys
2013-01-02 06:49 . 2004-08-04 03:45 148992 ----a-w- c:\windows\system32\mpg2splt.ax
2013-01-02 06:49 . 2004-08-04 03:45 1296896 ----a-w- c:\windows\system32\quartz.dll
2012-12-26 20:20 . 2004-08-04 03:45 916480 ----a-w- c:\windows\system32\wininet.dll
2012-12-26 20:19 . 2004-08-04 03:45 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-12-26 20:19 . 2004-08-04 03:45 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-12-24 06:42 . 2004-08-04 03:37 385024 ----a-w- c:\windows\system32\html.iec
2012-12-16 12:23 . 2004-08-04 03:44 290560 ----a-w- c:\windows\system32\atmfd.dll
2013-02-20 12:03 . 2013-02-20 12:03 263064 ----a-w- c:\arquivos de programas\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por padrão não são apresentadas.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-10-30 22:50 121528 ----a-w- c:\arquivos de programas\Alwil Software\Avast5\ashShell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
2012-11-22 19:05 1585768 ----a-w- c:\arquivos de programas\GbPlugin\gbieh.dll
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^hp_adicionar.bat]
path=c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\hp_adicionar.bat
backup=c:\windows\pss\hp_adicionar.batCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
VTNC [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-12-03 07:35 946352 ----a-w- c:\arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 10:43 69632 ----a-r- c:\windows\Alcmtr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-06-01 13:21 153136 ----a-w- c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-13 22:20 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPUsageTracking]
2008-05-07 13:38 36864 ----a-w- c:\arquivos de programas\HP\HP UT\bin\hppusg.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]
2005-11-28 05:52 77824 ----a-r- c:\windows\system32\hkcmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]
2005-11-28 05:55 118784 ----a-r- c:\windows\system32\igfxpers.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]
2005-11-28 05:55 98304 ----a-r- c:\windows\system32\igfxtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 18:57 153136 ----a-w- c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-07-05 08:08 16380416 ----a-r- c:\windows\RTHDCPL.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2007-06-15 08:45 1826816 ----a-r- c:\windows\SkyTel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-12-04 11:20 136600 ----a-w- c:\arquivos de programas\Java\jre6\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"ose"=3 (0x3)
"NMIndexingService"=3 (0x3)
"NBService"=3 (0x3)
"MDM"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"GbpSv"=2 (0x2)
"Canon Driver Information Assist Service"=2 (0x2)
"avast! Web Scanner"=3 (0x3)
"avast! Mail Scanner"=3 (0x3)
"avast! Antivirus"=2 (0x2)
"aswUpdSv"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\HP1006MC.EXE"=
"c:\\Arquivos de programas\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Arquivos de programas\\TeamViewer\\Version8\\TeamViewer.exe"=
"c:\\Arquivos de programas\\TeamViewer\\Version8\\TeamViewer_Service.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [09/02/2009 15:37 46888]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [24/06/2011 08:20 738504]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [29/12/2008 17:41 361032]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29/12/2008 17:41 21256]
R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [12/01/2009 17:09 280168]
R2 TeamViewer8;TeamViewer 8;c:\arquivos de programas\TeamViewer\Version8\TeamViewer_Service.exe [01/03/2013 17:20 3560800]
R3 NdisrdMP;NdisrdMP;c:\windows\system32\drivers\GbpNdisrd.sys [01/02/2012 17:53 28880]
S3 Ndisrd;GAS Tecnologia Service;c:\windows\system32\drivers\GbpNdisrd.sys [01/02/2012 17:53 28880]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-02-26 16:38 1629648 ----a-w- c:\arquivos de programas\Google\Chrome\Application\25.0.1364.97\Installer\chrmstp.exe
.
Conteúdo da pasta 'Tarefas Agendadas'
.
2013-03-02 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-17 15:05]
.
2013-03-02 c:\windows\Tasks\avast! Emergency Update.job
- c:\arquivos de programas\Alwil Software\Avast5\AvastEmUpdate.exe [2012-07-03 22:50]
.
2013-03-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\arquivos de programas\Google\Update\GoogleUpdate.exe [2012-03-27 11:06]
.
2013-03-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\arquivos de programas\Google\Update\GoogleUpdate.exe [2012-03-27 11:06]
.
2013-03-02 c:\windows\Tasks\User_Feed_Synchronization-{2C09B836-695F-4A8D-A7D6-0E7B27191C77}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 07:31]
.
.
------- Scan Suplementar -------
.
uStart Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: bancobrasil.com.br\www
Trusted Zone: bancobrasil.com.br\www14
Trusted Zone: bancobrasil.com.br\www2
Trusted Zone: bb.com.br\www
TCP: DhcpNameServer = 10.4.65.16
FF - ProfilePath - c:\documents and settings\f002873\Dados de aplicativos\Mozilla\Firefox\Profiles\kcrsaat4.default\
FF - prefs.js: browser.startup.homepage - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
FF - ExtSQL: !HIDDEN! 2009-10-02 10:13; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - ORFÃOS REMOVIDOS - - - -
.
MSConfigStartUp-Adobe Reader Speed Launcher - c:\arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-msnmsgr - c:\arquivos de programas\MSN Messenger\msnmsgr.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Rootkit scan 2013-03-01 23:28
Windows 5.1.2600 Service Pack 3 NTFS
.
Procurando processos ocultos ...
.
Procurando entradas auto inicializáveis ocultas ...
.
Procurando ficheiros/arquivos ocultos ...
.
Varredura completada com sucesso
arquivos/ficheiros ocultos: 0
.
**************************************************************************
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|ù•6~*]
"6140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------
.
- - - - - - - > 'winlogon.exe'(968)
c:\arquivos de programas\GBPLUGIN\gbieh.dll
.
Tempo para conclusão: 2013-03-01 23:29:50
ComboFix-quarantined-files.txt 2013-03-02 02:29
.
Pré-execução: 21 pasta(s) 43.362.140.160 bytes disponíveis
Pós execução: 23 pasta(s) 44.337.369.088 bytes disponíveis
.
- - End Of File - - CB002AEA8A48FB9DC39A64DD2AAF83B4

Bom Dia! Edvan

< c:\windows\system\chron32.dll >

|- Restaure esta dll,que está na pasta Qoobox. ( chron32.dll.vir )
|- Remova a extensão ".VIR" e envie-o ao diretório "system".

-/-

|- Baixe: |[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]| ( ... de Xplode )

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Estando na página,clique na seta verde para o download.
|- Salve-a em um local conveniente! ( desktop! )
|- Feche aplicativos que estejam abertos.

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

|- Execute-a!
|- Com as duas checkbox marcadas!
|- Clique "Run".

|- Tudo Ok?

A+

Está tudo perfeito amigo, mais uma vez obrigado pela força.


# DelFix v10.1 - Logfile created 02/03/2013 at 13:12:42
# Updated 23/02/2013 by Xplode
# Username : f002873 - FUN0102

~ Removing disinfection tools ...

Deleted : C:\Qoobox
Deleted : C:\ZHP
Deleted : C:\Arquivos de programas\ZHPDiag
Deleted : C:\AdwCleaner[S1].txt
Deleted : C:\ComboFix.txt
Deleted : C:\PhysicalDisk0_MBR.bin
Deleted : C:\Documents and Settings\f002873\Desktop\ComboFix.exe
Deleted : C:\Documents and Settings\f002873\Desktop\ZHPDiag2.exe
Deleted : C:\Documents and Settings\f002873\Desktop\ZHPFixReport.txt
Deleted : C:\Documents and Settings\All Users\Desktop\MBRCheck.lnk
Deleted : C:\Documents and Settings\All Users\Desktop\ZHPDiag.lnk
Deleted : C:\Documents and Settings\All Users\Desktop\ZHPFix.lnk
Deleted : C:\WINDOWS\grep.exe
Deleted : C:\WINDOWS\PEV.exe
Deleted : C:\WINDOWS\NIRCMD.exe
Deleted : C:\WINDOWS\MBR.exe
Deleted : C:\WINDOWS\SED.exe
Deleted : C:\WINDOWS\SWREG.exe
Deleted : C:\WINDOWS\SWSC.exe
Deleted : C:\WINDOWS\SWXCACLS.exe
Deleted : C:\WINDOWS\Zip.exe
Deleted : HKLM\SOFTWARE\AdwCleaner
Deleted : HKLM\SOFTWARE\Swearware
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~ Cleaning system restore ...

Deleted : RP #1070 [Ponto de verificação do sistema | 12/17/2012 15:23:05]
Deleted : RP #1071 [Ponto de verificação do sistema | 12/18/2012 15:35:37]
Deleted : RP #1072 [Ponto de verificação do sistema | 12/19/2012 16:04:27]
Deleted : RP #1073 [Ponto de verificação do sistema | 12/20/2012 16:49:40]
Deleted : RP #1074 [Software Distribution Service 3.0 | 12/21/2012 06:00:16]
Deleted : RP #1075 [Ponto de verificação do sistema | 12/26/2012 15:20:57]
Deleted : RP #1076 [Ponto de verificação do sistema | 12/27/2012 15:21:18]
Deleted : RP #1077 [Ponto de verificação do sistema | 12/28/2012 15:24:59]
Deleted : RP #1078 [Ponto de verificação do sistema | 01/02/2013 11:37:02]
Deleted : RP #1079 [Ponto de verificação do sistema | 01/03/2013 11:54:53]
Deleted : RP #1080 [Ponto de verificação do sistema | 01/04/2013 12:38:29]
Deleted : RP #1081 [Software Distribution Service 3.0 | 01/07/2013 10:44:21]
Deleted : RP #1082 [Ponto de verificação do sistema | 01/08/2013 10:59:21]
Deleted : RP #1083 [Ponto de verificação do sistema | 01/09/2013 11:48:30]
Deleted : RP #1084 [Ponto de verificação do sistema | 01/10/2013 12:37:49]
Deleted : RP #1085 [Software Distribution Service 3.0 | 01/11/2013 11:31:08]
Deleted : RP #1086 [Ponto de verificação do sistema | 01/14/2013 11:12:43]
Deleted : RP #1087 [Ponto de verificação do sistema | 01/15/2013 11:38:02]
Deleted : RP #1088 [Software Distribution Service 3.0 | 01/16/2013 06:00:17]
Deleted : RP #1089 [Ponto de verificação do sistema | 01/17/2013 12:19:34]
Deleted : RP #1090 [Ponto de verificação do sistema | 01/18/2013 12:43:56]
Deleted : RP #1091 [Ponto de verificação do sistema | 01/19/2013 13:34:50]
Deleted : RP #1092 [Ponto de verificação do sistema | 01/21/2013 11:12:11]
Deleted : RP #1093 [Ponto de verificação do sistema | 01/22/2013 15:17:06]
Deleted : RP #1094 [Ponto de verificação do sistema | 01/23/2013 16:06:41]
Deleted : RP #1095 [Ponto de verificação do sistema | 01/24/2013 17:03:51]
Deleted : RP #1096 [Ponto de verificação do sistema | 01/25/2013 18:19:25]
Deleted : RP #1097 [Ponto de verificação do sistema | 01/28/2013 11:18:38]
Deleted : RP #1098 [Ponto de verificação do sistema | 01/29/2013 15:16:59]
Deleted : RP #1099 [Ponto de verificação do sistema | 01/30/2013 15:17:06]
Deleted : RP #1100 [Ponto de verificação do sistema | 01/31/2013 15:18:07]
Deleted : RP #1101 [Ponto de verificação do sistema | 02/01/2013 15:20:25]
Deleted : RP #1102 [Ponto de verificação do sistema | 02/04/2013 13:19:43]
Deleted : RP #1103 [Ponto de verificação do sistema | 02/05/2013 15:02:50]
Deleted : RP #1104 [Ponto de verificação do sistema | 02/06/2013 15:16:51]
Deleted : RP #1105 [Ponto de verificação do sistema | 02/07/2013 16:00:40]
Deleted : RP #1106 [Ponto de verificação do sistema | 02/08/2013 16:57:14]
Deleted : RP #1107 [Ponto de verificação do sistema | 02/14/2013 15:16:30]
Deleted : RP #1108 [Software Distribution Service 3.0 | 02/15/2013 10:59:29]
Deleted : RP #1109 [Ponto de verificação do sistema | 02/18/2013 13:01:21]
Deleted : RP #1110 [Software Distribution Service 3.0 | 02/19/2013 06:00:37]
Deleted : RP #1111 [Ponto de verificação do sistema | 02/20/2013 12:02:53]
Deleted : RP #1112 [Ponto de verificação do sistema | 02/21/2013 13:32:06]
Deleted : RP #1113 [Ponto de verificação do sistema | 02/22/2013 14:04:26]
Deleted : RP #1114 [Ponto de verificação do sistema | 02/25/2013 15:22:38]
Deleted : RP #1115 [Ponto de verificação do sistema | 02/26/2013 15:58:44]
Deleted : RP #1116 [Ponto de verificação do sistema | 02/27/2013 16:21:56]
Deleted : RP #1117 [Ponto de verificação do sistema | 02/28/2013 20:36:56]
Deleted : RP #1118 [Ponto de verificação do sistema | 03/01/2013 20:49:49]
Deleted : RP #1119 [P | 03/02/2013 01:46:56]

New restore point created !

########## - EOF - ##########

Bom Dia! Edvan

< c:\windows\system\chron32.dll >

|- Restaure esta dll,que está na pasta Qoobox. ( chron32.dll.vir )
|- Remova a extensão ".VIR" e envie-o ao diretório "system".

Feito, mais alguma coisa a fazer?

Edvan escreveu:

Bom Dia! Edvan

< c:\windows\system\chron32.dll >

|- Restaure esta dll,que está na pasta Qoobox. ( chron32.dll.vir )
|- Remova a extensão ".VIR" e envie-o ao diretório "system".

Feito, mais alguma coisa a fazer?

Bom Dia! Edvan

|- Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... by screen317 )

|- < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

|- Salve-o no desktop!
|- Duplo-clique em SecurityCheck.exe

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Siga as instruções e poste o relatório. ( checkup.txt )

A+

Results of screen317's Security Check version 0.99.60
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````
Windows Security Center service is not running! This report may not be accurate!
Aguarde enquanto WMIC ‚ instalado.d
i
s
p
l
a
y
N
a
m
e
ECHO está desativado.
a
v
a
s
t
!
ECHO está desativado.
A
n
t
i
v
i
r
u
s
ECHO está desativado.
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware versão 1.70.0.1100
CCleaner
Java(TM) 6 Update 11
Java(TM) 6 Update 7
Java version out of Date!
Adobe Flash Player 11.6.602.171
Adobe Reader XI
Mozilla Firefox (19.0)
Mozilla Thunderbird (17.0.3)
Google Chrome 24.0.1312.57
Google Chrome 25.0.1364.97
````````Process Check: objlist.exe by Laurent````````
Alwil Software Avast5 AvastSvc.exe
Alwil Software Avast5 avastUI.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:: 5%
````````````````````End of Log``````````````````````

Bom Dia! Edvan

|- Atualize o Java.

-/-

|- Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Dê um duplo clique no JavaRa.exe -> Clique em "Search For Updates".
|- Selecione a opção "Update Using jucheck.exe" -> Clique no botão "Search".
|- Se estiver atualizado,receberá um aviso confirmando a última versão.
|- Caso contrário,aguarde a nova versão do Java ser baixada e instalada.
|- Clique no botão "Remove Older Versions" -> Aguarde!
|- Maiores informações: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] ou [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].

A+

joram escreveu:Bom Dia! Edvan

|- Atualize o Java.

-/-

|- Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

|- Dê um duplo clique no JavaRa.exe -> Clique em "Search For Updates".
|- Selecione a opção "Update Using jucheck.exe" -> Clique no botão "Search".
|- Se estiver atualizado,receberá um aviso confirmando a última versão.
|- Caso contrário,aguarde a nova versão do Java ser baixada e instalada.
|- Clique no botão "Remove Older Versions" -> Aguarde!
|- Maiores informações: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] ou [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].

A+

Feito, mais alguma coisa amigo?

Boa Tarde! Edvan

Feito, mais alguma coisa amigo?

|- Não! Bom trabalho.

Abs!

Tem uma outra maquina aqui na sala que o IE nao deixa abrir outra aba para navegao e nao consigo baixar nada por nenhum navegador, tenho que baixar de outro pc e colocar no pendriver e executar nessa maquina..qual ferramenta aconselha a passar?

Edvan escreveu:Tem uma outra maquina aqui na sala que o IE nao deixa abrir outra aba para navegao e nao consigo baixar nada por nenhum navegador, tenho que baixar de outro pc e colocar no pendriver e executar nessa maquina..qual ferramenta aconselha a passar?

Olá! Edvan

|- Abra "Novo Tópico" e poste o relatório do ComboFix.

A+

Ok;..Pode fechar esse então.

Um abraço;.

CASO RESOLVIDO!

Necessitando novo auxílio para este computador,basta abrir "Novo Tópico" e relatar o problema.