Entrada de registro

seg4tr0n · 22 de maio de 2012

Bom, faz uns 3 dias que minha mãe pegou um vírus aqui, e qualquer programa que fosse aberto, o Windows encerrava o processo e mostrava a mensagem de erro para enviar relatorio à microsoft etc, escaneei o pc com alguns anti-virus e ok, depois de um bom tempo escaneando, foram encontrados alguns vírus e os removi, porém agora o explorer fica lento quando quero excluir/copiar ou só quando eu clico com o botão direito do mouse em algum arquivo, e alguns poucos programas ainda não abrem e mostram a mensagem da microsoft, como o Firefox que é meu navegador padrão, mas qualquer outro navegador que eu torne padrão abre normalmente, testei o chrome, o safari, o opera etc, e pelo que vi, EU ACHO que não tem nenhum processo suspeito rodando, pode ser alguma coisa no registro que o virus deixou ? Não posso formatar a máquina agora, por isso estou tentando remover a coisa na marra haha, segue o log do HiJackThis.

PS: É minha primeira vez aqui, se postei no lugar errado, desculpas.

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 1:19:06 AM, on 5/22/2012

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\csrss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\Arquivos de programas\AVAST Software\Avast\AvastSvc.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

D:\WINDOWS\system32\svchost.exe

D:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

D:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe

D:\Arquivos de programas\Java\jre6\bin\jqs.exe

D:\WINDOWS\Explorer.EXE

D:\Arquivos de programas\Arquivos comuns\Native Instruments\Hardware\NIHardwareService.exe

D:\Arquivos de programas\CDBurnerXP\NMSAccessU.exe

D:\Arquivos de programas\Arquivos comuns\PACE\Services\LicenseServices\LDSvc.exe

D:\WINDOWS\system32\IoctlSvc.exe

D:\Arquivos de programas\PostgreSQL\9.1\bin\pg_ctl.exe

D:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

D:\WINDOWS\RTHDCPL.EXE

D:\xampp\apache\bin\httpd.exe

D:\WINDOWS\system32\svchost.exe

D:\Arquivos de programas\AVAST Software\Avast\avastUI.exe

D:\Arquivos de programas\PostgreSQL\9.1\bin\postgres.exe

D:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe

D:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe

D:\Arquivos de programas\PostgreSQL\9.1\bin\postgres.exe

D:\WINDOWS\system32\ctfmon.exe

D:\WINDOWS\system32\taskmgr.exe

D:\Arquivos de programas\SUPERAntiSpyware\SUPERAntiSpyware.exe

D:\WINDOWS\system32\wscntfy.exe

D:\WINDOWS\System32\alg.exe

D:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe

D:\Documents and Settings\Kaique Moraes\Configurações locais\Dados de aplicativos\Google\Chrome\Application\chrome.exe

D:\ARQUIV~1\GbPlugin\GbpSv.exe

D:\Documents and Settings\Kaique Moraes\Meus documentos\Antispyware's\HiJackThis.exe

D:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://find.localstrike.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://find.localstrike.net/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://find.localstrike.net/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://find.localstrike.net/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://find.localstrike.net/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://find.localstrike.net/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R3 - URLSearchHook: MessengerPlusLive Brazil TB Toolbar - {c69650dc-9644-4580-aa86-0ea329ee6c60} - D:\Arquivos de programas\MessengerPlusLive_Brazil_TB\prxtbMes2.dll

O1 - Hosts: 72.167.163.234 www.google-analytics.com

O1 - Hosts: 72.167.163.234 ads1.msn.com

O1 - Hosts: 38.113.174.32 dehp.myspace.com

O1 - Hosts: 38.113.174.32 demr.myspace.com

O1 - Hosts: 38.113.174.32 desk.myspace.com

O1 - Hosts: 38.113.174.32 delb.myspace.com

O1 - Hosts: 38.113.174.32 delb2.myspace.com

O1 - Hosts: 38.113.174.32 debr.myspace.com

O1 - Hosts: 68.178.151.28 view.atdmt.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: G-Buster Browser Defense Banco Real - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - D:\Arquivos de programas\GbPlugin\gbiehabn.dll

O2 - BHO: MessengerPlusLive Brazil TB - {c69650dc-9644-4580-aa86-0ea329ee6c60} - D:\Arquivos de programas\MessengerPlusLive_Brazil_TB\prxtbMes2.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: MessengerPlusLive Brazil TB Toolbar - {c69650dc-9644-4580-aa86-0ea329ee6c60} - D:\Arquivos de programas\MessengerPlusLive_Brazil_TB\prxtbMes2.dll

O4 - HKLM\..\Run: [avgnt] "D:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [avast] "D:\Arquivos de programas\AVAST Software\Avast\avastUI.exe" /nogui

O4 - HKCU\..\Run: [TaskSwitchXP] D:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [msnmsgr] "D:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] D:\Arquivos de programas\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-21-790525478-1580436667-682003330-1006\..\Run: [TaskSwitchXP] D:\Arquivos de programas\TaskSwitchXP\TaskSwitchXP.exe (User 'postgres')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O15 - Trusted Zone: http://www.bancoreal.com.br

O15 - Trusted Zone: http://www.bancosantander.com.br

O15 - Trusted Zone: http://www.santander.com.br

O15 - Trusted Zone: http://www.santanderempresarial.com.br

O20 - Winlogon Notify: GbPluginAbn - D:\Arquivos de programas\GbPlugin\gbiehAbn.dll

O20 - Winlogon Notify: !SASWinLogon - D:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.DLL

O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - D:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - D:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Apache2.2 - Apache Software Foundation - D:\xampp\apache\bin\httpd.exe

O23 - Service: avast! Antivirus - AVAST Software - D:\Arquivos de programas\AVAST Software\Avast\AvastSvc.exe

O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Unknown owner - D:\Arquivos de programas\Digidesign\Pro Tools\MMERefresh.exe (file missing)

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - D:\xampp\FileZillaFTP\FileZillaServer.exe

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - Firebird Project - D:\Arquivos de programas\Firebird\Firebird_2_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - Firebird Project - D:\Arquivos de programas\Firebird\Firebird_2_5\bin\fbserver.exe

O23 - Service: Gbp Service (GbpSv) - - D:\ARQUIV~1\GbPlugin\GbpSv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Imapi Helper - Alex Feinman - D:\Arquivos de programas\Alex Feinman\ISO Recorder\ImapiHelper.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Arquivos de programas\Java\jre6\bin\jqs.exe

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - D:\Arquivos de programas\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: mysql - Unknown owner - D:\xampp\mysql\bin\mysqld.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Arquivos de programas\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NIHardwareService - Native Instruments GmbH - D:\Arquivos de programas\Arquivos comuns\Native Instruments\Hardware\NIHardwareService.exe

O23 - Service: NMSAccess - Unknown owner - D:\Arquivos de programas\CDBurnerXP\NMSAccessU.exe

O23 - Service: PACE License Services (PaceLicenseDServices) - PACE Anti-Piracy, Inc. - D:\Arquivos de programas\Arquivos comuns\PACE\Services\LicenseServices\LDSvc.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - D:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: postgresql-9.1 - PostgreSQL Server 9.1 (postgresql-9.1) - PostgreSQL Global Development Group - D:/Arquivos de programas/PostgreSQL/9.1/bin/pg_ctl.exe

O23 - Service: XAMPP Service (XAMPP) - Unknown owner - D:\xampp\service.exe

--

End of file - 10793 bytes

mizuke · 22 de maio de 2012

ae amigo 1 , vai em iniciar > executar > msconfig

vai la em cima na aba iniciar ( no xp ) inicializacao do sistema (no 7) e dezativa tudo

detalhe "nao e servico ". desativa tudo que estiver la no inicializar e reinicia o computador

outra coisa 2 antivirus nao funcionam juntos tira o avira ou o avast

seg4tr0n · 23 de maio de 2012

Opa, então, sobre os antivirus é que um não entrou em conflito com o outro, então coloquei os 2 pra escanear haha, sobre o msconfig vou desativar a inicialização de tudo q inicia junto com o windows, mas uma duvida, sempre que eu tento desativar algo no msconfig, não só no meu computador, como no do trabalho, o Windows fala q não tenho permissão antes de pedir pra reiniciar pra entrar em vigor as mudanças etc, porém as mudanças são feitas, então por que ele mostra essa mensagem mesmo eu tendo privilegio de administrador ?

Valeu cara!

Bom, desativei tudo, e não funcionou

Murilo S. Biondo · 25 de maio de 2012

Você poderia pegar o explorer.exe de um outro micro com Windows XP, e jogar nesse seu. Mas pra isso é meio complicado pois tem que entrar em modo de segurança, mexer no prompt etc ... Recomendo que faça uma Restauração do Sistema bem pra Trás, e caso continue, use a mídia do Windows Xp, para reparar o Sistema Operacional.

Att