TR/Crypt.XPACK.gen Trojan

<div align="center"><iframe src="http://www.forumpcbrasil.com/h3-728x90" height="98px" width="736px" scrolling="no" frameborder="0"></iframe></div>Olá, amigos!

Tenho um problema seríssimo no meu pc e desejo a ajuda de vocês.
Meu Avira Antivir detecta Heur Malware e TR/Crypt.XPACK.gen entre outras tranqueiras mas não os elimina.
Bem, segue o post do Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 08:29:01, on 14/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Discador iBest Internet Ilimitada\baloon.exe
C:\Arquivos de programas\Microsoft Office\Office12\WINWORD.EXE
C:\Arquivos de programas\Discador iBest Internet Ilimitada\discador.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Sidney Marcus\Meus documentos\Como proteger o micro\hijackthis\HijackThis.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 localhost
O1 - Hosts: 127.1 fffff8888fsgfbghj88.cn
O1 - Hosts: 127.1 61.134.37.12
O1 - Hosts: 127.1 ko.ssa387.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 12345.ssa387.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 wwwwhf.cn
O1 - Hosts: 127.1 a89369093.sq.u9idc.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 tw.lovechina.tw.cn
O1 - Hosts: 127.1 222.189.238.151
O1 - Hosts: 127.1 222.179.185.78
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 593ffcey.cn
O1 - Hosts: 127.1 set.yay520.cn
O1 - Hosts: 127.1 tenmoc999.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 121.kcuf-01.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 up.bizmd.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 hai067.com
O1 - Hosts: 127.1 hai088.com
O1 - Hosts: 127.1 778899.jd8j.cn
O1 - Hosts: 127.1 sql.78-11.net
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 max-2.cn
O1 - Hosts: 127.1 a.asp-o.cn
O1 - Hosts: 127.1 b.asp-o.cn
O1 - Hosts: 127.1 c.asp-o.cn
O1 - Hosts: 127.1 x.kprobb.cn
O1 - Hosts: 127.1 js.php-k.cn
O1 - Hosts: 127.1 max-1.cn
O1 - Hosts: 127.1 max-3.cn
O1 - Hosts: 127.1 max-4.cn
O1 - Hosts: 127.1 max-5.cn
O1 - Hosts: 127.1 max-6.cn
O1 - Hosts: 127.1 max-7.cn
O1 - Hosts: 127.1 max-8.cn
O1 - Hosts: 127.1 max-9.cn
O1 - Hosts: 127.1 max-10.cn
O1 - Hosts: 127.1 max-11.cn
O1 - Hosts: 127.1 max-12.cn
O1 - Hosts: 127.1 twocannon250.com.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 biqulu.cn
O1 - Hosts: 127.1 2008.qq2006.com.cn
O1 - Hosts: 127.1 giaitrisex.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 mekiep.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 a.9ymm.com
O1 - Hosts: 127.1 bobo.7wyt.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 asp-15.cn
O1 - Hosts: 127.1 asp-12.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 6.a88a.com
O1 - Hosts: 127.1 w.b2c3.cn
O1 - Hosts: 127.1 m.c5x8.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 u.cnmrx.net
O1 - Hosts: 127.1 duowan.czm.cn
O1 - Hosts: 127.1 xccxcxcxcxcx.cn
O1 - Hosts: 127.1 google-yahoo.org.cn
O1 - Hosts: 127.1 tudou-net.org.cn
O1 - Hosts: 127.1 downloads.zango.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 bis.180solutions.com
O1 - Hosts: 127.1 installs.hotbar.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 static.zangocash.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 aa.9234.net
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 97love.info
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 zyzhuiku.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 lang18.com
O1 - Hosts: 127.1 sao6666.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HBService32] System.exe
O4 - HKLM\..\Run: [3PMmUpdate] rundll32 "C:\WINDOWS\Update.dll",Main
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [iBest.baloon] "C:\Arquivos de programas\Discador iBest Internet Ilimitada\baloon.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 - HKLM\System\CCS\Services\Tcpip\..\{55B8D9DD-51A0-45DF-9B94-E4EC23A549A5}: NameServer = 200.204.0.138 200.204.0.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{55B8D9DD-51A0-45DF-9B94-E4EC23A549A5}: NameServer = 200.204.0.138 200.204.0.10
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: HBmhly.dll,HBSO2.dll,HBFY.dll,HBKDXY.dll,HBZHUXIAN.dll,HBBO.dll,HBCHIBI.dll,HBQQSG.dll,HBQQFFO.dll,HBZG.dll
O21 - SSODL: Upnp - {DE01DA19-A6A8-EB80-4D47-248DEB2A9399} - C:\WINDOWS\system32\upnpsrv.dll
O21 - SSODL: msnmsg - {DA191DE0-AA86-4ED0-4B87-293D48B2AE99} - C:\Program Files\Messenger\msgmr.dll
O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

Ao aguardo.

At,
Lobus10

Olá, seja bem-vindo ao Fórum PC Brasil.

Realmente o seu computador está contaminado, mas juntos vamos corrigir estes problemas.

Siga as dicas destes tutoriais:

Siga, por gentileza, as dicas deste tutorial para fazer uma limpeza de seu PC com o Malwarebytes:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
_____________________________

Na sua próxima resposta poste o log do Malwarebytes juntamente com um novo log do Hijackthis e nos diga como está o seu PC após este procedimento.

Ficamos no aguardo.

Boa noite, Antônio!

Primeiramente, muito obrigado por ter respondido tão rápida a minha solicitação.
Quanto à sua orientação, ao clicar no botão "Restore MS Hosts File" do "HostsXpert", ele apresenta uma mensagem de erro:

"ERROR: Cannot create file C:\Windows\System32\Drivers\ETC\hosts".

Sigo com o restante das orientações?

lobus10 escreveu:Sigo com o restante das orientações?

Sim, depois limparemos o Hosts. Siga com o restante das orientações e depois poste, por gentileza, um novo log do Hijackthis e o log do Malwarebytes. Ficamos no aguardo.

Após seguir as suas orientações, seguem os logs:

Malwarebytes' Anti-Malware 1.28
Versão do banco de dados: 1270
Windows 5.1.2600 Service Pack 2

15/10/2008 22:20:13
mbam-log-2008-10-15 (22-20-13).txt

Tipo de Verificação: Completa (C:\|)
Objetos verificados: 59384
Tempo decorrido: 17 minute(s), 4 second(s)

Processos da Memória infectados: 0
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 3
Valores do Registro infectados: 1
Ítens do Registro infectados: 0
Pastas infectadas: 0
Arquivos infectados: 1

Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)

Chaves do Registro infectadas:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hbkernel32 (Backdoor.Bot) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hbkernel32 (Backdoor.Bot) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hbkernel32 (Backdoor.Bot) -> Delete on reboot.

Valores do Registro infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HBService32 (Trojan.Agent) -> Delete on reboot.

Ítens do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Pastas infectadas:
(Nenhum ítem malicioso foi detectado)

Arquivos infectados:
C:\WINDOWS\system32\drivers\HBKernel32.sys (Backdoor.Bot) -> Delete on reboot.

E do Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 22:24:15, on 15/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Discador iBest Internet Ilimitada\baloon.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Sidney Marcus\Meus documentos\Como proteger o micro\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 localhost
O1 - Hosts: 127.1 fffff8888fsgfbghj88.cn
O1 - Hosts: 127.1 61.134.37.12
O1 - Hosts: 127.1 ko.ssa387.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 12345.ssa387.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 wwwwhf.cn
O1 - Hosts: 127.1 a89369093.sq.u9idc.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 tw.lovechina.tw.cn
O1 - Hosts: 127.1 222.189.238.151
O1 - Hosts: 127.1 222.179.185.78
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 593ffcey.cn
O1 - Hosts: 127.1 set.yay520.cn
O1 - Hosts: 127.1 tenmoc999.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 121.kcuf-01.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 up.bizmd.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 hai067.com
O1 - Hosts: 127.1 hai088.com
O1 - Hosts: 127.1 778899.jd8j.cn
O1 - Hosts: 127.1 sql.78-11.net
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 max-2.cn
O1 - Hosts: 127.1 a.asp-o.cn
O1 - Hosts: 127.1 b.asp-o.cn
O1 - Hosts: 127.1 c.asp-o.cn
O1 - Hosts: 127.1 x.kprobb.cn
O1 - Hosts: 127.1 js.php-k.cn
O1 - Hosts: 127.1 max-1.cn
O1 - Hosts: 127.1 max-3.cn
O1 - Hosts: 127.1 max-4.cn
O1 - Hosts: 127.1 max-5.cn
O1 - Hosts: 127.1 max-6.cn
O1 - Hosts: 127.1 max-7.cn
O1 - Hosts: 127.1 max-8.cn
O1 - Hosts: 127.1 max-9.cn
O1 - Hosts: 127.1 max-10.cn
O1 - Hosts: 127.1 max-11.cn
O1 - Hosts: 127.1 max-12.cn
O1 - Hosts: 127.1 twocannon250.com.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 biqulu.cn
O1 - Hosts: 127.1 2008.qq2006.com.cn
O1 - Hosts: 127.1 giaitrisex.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 mekiep.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 a.9ymm.com
O1 - Hosts: 127.1 bobo.7wyt.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 asp-15.cn
O1 - Hosts: 127.1 asp-12.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 6.a88a.com
O1 - Hosts: 127.1 w.b2c3.cn
O1 - Hosts: 127.1 m.c5x8.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 u.cnmrx.net
O1 - Hosts: 127.1 duowan.czm.cn
O1 - Hosts: 127.1 xccxcxcxcxcx.cn
O1 - Hosts: 127.1 google-yahoo.org.cn
O1 - Hosts: 127.1 tudou-net.org.cn
O1 - Hosts: 127.1 downloads.zango.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 bis.180solutions.com
O1 - Hosts: 127.1 installs.hotbar.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 static.zangocash.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 aa.9234.net
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 97love.info
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 zyzhuiku.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 lang18.com
O1 - Hosts: 127.1 sao6666.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HBService32] System.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [iBest.baloon] "C:\Arquivos de programas\Discador iBest Internet Ilimitada\baloon.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: HBmhly.dll,HBSO2.dll,HBFY.dll,HBKDXY.dll,HBZHUXIAN.dll,HBBO.dll,HBCHIBI.dll,HBQQSG.dll,HBQQFFO.dll,HBZG.dll
O21 - SSODL: Upnp - {DE01DA19-A6A8-EB80-4D47-248DEB2A9399} - C:\WINDOWS\system32\upnpsrv.dll (file missing)

É isso!

Muito bem. Foram removidos alguns malwares pelo Malwarebytes Antimalware. Agora vamos a outras providências necessárias:

Siga as dicas deste tutorial:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Poste este relatório do Sdfix na sua próxima resposta juntamente com um novo log do Hijackthis e nos diga como está o seu computador depois de seguir estes procedimentos.

Ficamos no aguardo.

Olá, Antonio!

Seguem os logs:

SDFix: Version 1.236
Run by Sidney Marcus on s b 18/10/2008 at 14:30

Microsoft Windows XP [versÆo 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\7.tmp - Deleted
C:\WINDOWS\linkinfo.dll - Deleted
C:\WINDOWS\system32\system.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Rootkit scan 2008-10-18 14:37:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvmini]
"Type"=dword:00000001
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"system32\DRIVERS\nvmini.sys"
"DisplayName"="NVIDIA Compatible Windows Miniport Driver"
"Tag"=dword:00000007
"Group"="Pointer Port"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NwlnkFlt]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=str(2):"System32\DRIVERS\nwlnkflt.sys"
"DisplayName"="Driver de filtro de tráfego IPX"
"DependOnService"=str(7):"NwlnkFwd\0"
"DependOnGroup"=str(7):""
"Description"="Driver de filtro de tráfego IPX"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\nvmini]
"Type"=dword:00000001
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"system32\DRIVERS\nvmini.sys"
"DisplayName"="NVIDIA Compatible Windows Miniport Driver"
"Tag"=dword:00000007
"Group"="Pointer Port"

scanning hidden registry entries ...

scanning hidden files ...

C:\WINDOWS\$NtServicePackUninstall$\linkinfo.dll 15360 bytes executable
C:\WINDOWS\ServicePackFiles\i386\linkinfo.dll 18944 bytes executable
C:\WINDOWS\SoftwareDistribution\Download\db4af1ac6589f72c1b526a2c3dd4eb21\backup\linkinfo.dll 18944 bytes executable
C:\WINDOWS\system32\drivers\nvmini.sys 17152 bytes executable
C:\WINDOWS\system32\linkinfo.dll 18944 bytes executable

scan completed successfully
hidden processes: 0
hidden services: 2
hidden files: 5


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 23 Jun 2008 625,664 A.SH. --- "C:\Arquivos de programas\Internet Explorer\iexplore.exe"
Thu 16 Oct 2008 11,857 A.SH. --- "C:\WINDOWS\system32\08223B03.dll"
Thu 16 Oct 2008 12,535 A.SH. --- "C:\WINDOWS\system32\122B901E.dll"
Thu 16 Oct 2008 13,419 A.SH. --- "C:\WINDOWS\system32\43ACDCC5.dll"
Thu 16 Oct 2008 11,925 A.SH. --- "C:\WINDOWS\system32\495271CA.dll"
Thu 16 Oct 2008 11,685 A.SH. --- "C:\WINDOWS\system32\4D023DE9.dll"
Thu 16 Oct 2008 11,717 A.SH. --- "C:\WINDOWS\system32\4F34C688.dll"
Thu 16 Oct 2008 12,972 A.SH. --- "C:\WINDOWS\system32\58FF3024.dll"
Thu 16 Oct 2008 11,261 A.SH. --- "C:\WINDOWS\system32\7ADC2AB1.dll"
Thu 16 Oct 2008 11,379 A.SH. --- "C:\WINDOWS\system32\82710040.dll"
Thu 16 Oct 2008 11,907 A.SH. --- "C:\WINDOWS\system32\9CA963CA.dll"
Thu 16 Oct 2008 11,652 A.SH. --- "C:\WINDOWS\system32\C250CF20.dll"
Sat 18 Oct 2008 216,485 A.SH. --- "C:\WINDOWS\system32\C56BCC10.dll"
Thu 16 Oct 2008 12,005 A.SH. --- "C:\WINDOWS\system32\D91BC61E.dll"
Thu 16 Oct 2008 12,770 A.SH. --- "C:\WINDOWS\system32\DA63E650.dll"
Thu 16 Oct 2008 217,178 A.SH. --- "C:\WINDOWS\system32\DE02F764.dll"
Thu 16 Oct 2008 11,137 A.SH. --- "C:\WINDOWS\system32\E4814792.dll"
Mon 22 Jul 2002 418,816 ...HR --- "C:\WINDOWS\system32\Tools\All.exe"
Fri 19 Jul 2002 390,144 ...HR --- "C:\WINDOWS\system32\Tools\Change.exe"
Fri 19 Jul 2002 574,464 ...HR --- "C:\WINDOWS\system32\Tools\CheckPath.exe"
Tue 20 Aug 2002 430,592 ...HR --- "C:\WINDOWS\system32\Tools\Counter.exe"
Tue 23 Jul 2002 390,656 ...HR --- "C:\WINDOWS\system32\Tools\DelFolders.exe"
Fri 22 Nov 2002 399,872 ...HR --- "C:\WINDOWS\system32\Tools\DirectSetup.exe"
Fri 19 Jul 2002 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RegClean.exe"
Fri 19 Jul 2002 388,608 ...HR --- "C:\WINDOWS\system32\Tools\Regexe.exe"
Mon 2 Dec 2002 431,616 ...HR --- "C:\WINDOWS\system32\Tools\Restart.exe"
Fri 19 Jul 2002 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RunRegexe.exe"
Sat 18 Oct 2008 503,664 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bbaa70def5cc23f9173d8e967e9c2abe\BITC.tmp"
Sat 18 Oct 2008 666,152 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e788b4cdde6b42e06106a1fa7389ec30\BITB.tmp"
Sat 18 Oct 2008 2,874,920 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f2eea5f2538e9bfb4e35d52fc9f1ce23\BIT8.tmp"
Mon 28 Jul 2008 29,696 ...H. --- "C:\Documents and Settings\Sidney Marcus\Meus documentos\Receitas\Carnes\~WRL0001.tmp"
Sat 18 Oct 2008 1,847,941 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c7b96a8ff73602b374d2372d8abec80c\download\BITB2.tmp"
Tue 14 Oct 2008 33,365,191 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\db4af1ac6589f72c1b526a2c3dd4eb21\download\BIT145.tmp"

Finished!

E do Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 14:45:39, on 18/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Discador iBest Internet Ilimitada\baloon.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\Documents and Settings\Sidney Marcus\Meus documentos\Como proteger o micro\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 localhost
O1 - Hosts: 127.1 fffff8888fsgfbghj88.cn
O1 - Hosts: 127.1 61.134.37.12
O1 - Hosts: 127.1 ko.ssa387.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 12345.ssa387.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 wwwwhf.cn
O1 - Hosts: 127.1 a89369093.sq.u9idc.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 tw.lovechina.tw.cn
O1 - Hosts: 127.1 222.189.238.151
O1 - Hosts: 127.1 222.179.185.78
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 593ffcey.cn
O1 - Hosts: 127.1 set.yay520.cn
O1 - Hosts: 127.1 tenmoc999.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 121.kcuf-01.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 up.bizmd.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 hai067.com
O1 - Hosts: 127.1 hai088.com
O1 - Hosts: 127.1 778899.jd8j.cn
O1 - Hosts: 127.1 sql.78-11.net
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 max-2.cn
O1 - Hosts: 127.1 a.asp-o.cn
O1 - Hosts: 127.1 b.asp-o.cn
O1 - Hosts: 127.1 c.asp-o.cn
O1 - Hosts: 127.1 x.kprobb.cn
O1 - Hosts: 127.1 js.php-k.cn
O1 - Hosts: 127.1 max-1.cn
O1 - Hosts: 127.1 max-3.cn
O1 - Hosts: 127.1 max-4.cn
O1 - Hosts: 127.1 max-5.cn
O1 - Hosts: 127.1 max-6.cn
O1 - Hosts: 127.1 max-7.cn
O1 - Hosts: 127.1 max-8.cn
O1 - Hosts: 127.1 max-9.cn
O1 - Hosts: 127.1 max-10.cn
O1 - Hosts: 127.1 max-11.cn
O1 - Hosts: 127.1 max-12.cn
O1 - Hosts: 127.1 twocannon250.com.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 biqulu.cn
O1 - Hosts: 127.1 2008.qq2006.com.cn
O1 - Hosts: 127.1 giaitrisex.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 mekiep.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 a.9ymm.com
O1 - Hosts: 127.1 bobo.7wyt.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 asp-15.cn
O1 - Hosts: 127.1 asp-12.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 6.a88a.com
O1 - Hosts: 127.1 w.b2c3.cn
O1 - Hosts: 127.1 m.c5x8.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 u.cnmrx.net
O1 - Hosts: 127.1 duowan.czm.cn
O1 - Hosts: 127.1 xccxcxcxcxcx.cn
O1 - Hosts: 127.1 google-yahoo.org.cn
O1 - Hosts: 127.1 tudou-net.org.cn
O1 - Hosts: 127.1 downloads.zango.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 bis.180solutions.com
O1 - Hosts: 127.1 installs.hotbar.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 static.zangocash.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 aa.9234.net
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 97love.info
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 zyzhuiku.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 lang18.com
O1 - Hosts: 127.1 sao6666.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [3PMmUpdate] rundll32 "C:\WINDOWS\Update.dll",Main
O4 - HKLM\..\Run: [HBService32] System.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [iBest.baloon] "C:\Arquivos de programas\Discador iBest Internet Ilimitada\baloon.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: HBmhly.dll,HBSO2.dll,HBFY.dll,HBKDXY.dll,HBZHUXIAN.dll,HBBO.dll,HBCHIBI.dll,HBQQSG.dll,HBQQFFO.dll,HBZG.dll
O21 - SSODL: Upnp - {DE01DA19-A6A8-EB80-4D47-248DEB2A9399} - C:\WINDOWS\system32\upnpsrv.dll
O21 - SSODL: msnmsg - {DA191DE0-AA86-4ED0-4B87-293D48B2AE99} - C:\Program Files\Messenger\msgmr.dll
O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll

É isso!

Foram removidos mais alguns trojans do seu PC pelo SDFix.

Siga, por gentileza, as dicas deste tutorial para fazer um escaneamento de seu PC pelo Nod32 Online:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Após o término do escaneamento será gerado um relatório (log) que estará no seguinte local do seu computador:
C:\Arquivos de programas\Eset\Eset Online Scanner\log.txt

Na sua próxima resposta poste este log do Nod32 Online juntamente com um novo log do Hijackthis e nos diga, por gentileza, como está o seu PC após seguir este procedimento. Ficamos no aguardo de sua resposta.

Seguem os logs:

Logfile of HijackThis v1.99.1
Scan saved at 16:56:26, on 18/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\Arquivos de programas\Discador iBest Internet Ilimitada\discador.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Sidney Marcus\Meus documentos\Como proteger o micro\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 localhost
O1 - Hosts: 127.1 fffff8888fsgfbghj88.cn
O1 - Hosts: 127.1 61.134.37.12
O1 - Hosts: 127.1 ko.ssa387.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 12345.ssa387.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 wwwwhf.cn
O1 - Hosts: 127.1 a89369093.sq.u9idc.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 tw.lovechina.tw.cn
O1 - Hosts: 127.1 222.189.238.151
O1 - Hosts: 127.1 222.179.185.78
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 593ffcey.cn
O1 - Hosts: 127.1 set.yay520.cn
O1 - Hosts: 127.1 tenmoc999.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 121.kcuf-01.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 up.bizmd.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 hai067.com
O1 - Hosts: 127.1 hai088.com
O1 - Hosts: 127.1 778899.jd8j.cn
O1 - Hosts: 127.1 sql.78-11.net
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 max-2.cn
O1 - Hosts: 127.1 a.asp-o.cn
O1 - Hosts: 127.1 b.asp-o.cn
O1 - Hosts: 127.1 c.asp-o.cn
O1 - Hosts: 127.1 x.kprobb.cn
O1 - Hosts: 127.1 js.php-k.cn
O1 - Hosts: 127.1 max-1.cn
O1 - Hosts: 127.1 max-3.cn
O1 - Hosts: 127.1 max-4.cn
O1 - Hosts: 127.1 max-5.cn
O1 - Hosts: 127.1 max-6.cn
O1 - Hosts: 127.1 max-7.cn
O1 - Hosts: 127.1 max-8.cn
O1 - Hosts: 127.1 max-9.cn
O1 - Hosts: 127.1 max-10.cn
O1 - Hosts: 127.1 max-11.cn
O1 - Hosts: 127.1 max-12.cn
O1 - Hosts: 127.1 twocannon250.com.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 biqulu.cn
O1 - Hosts: 127.1 2008.qq2006.com.cn
O1 - Hosts: 127.1 giaitrisex.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 mekiep.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 a.9ymm.com
O1 - Hosts: 127.1 bobo.7wyt.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 asp-15.cn
O1 - Hosts: 127.1 asp-12.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 6.a88a.com
O1 - Hosts: 127.1 w.b2c3.cn
O1 - Hosts: 127.1 m.c5x8.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 u.cnmrx.net
O1 - Hosts: 127.1 duowan.czm.cn
O1 - Hosts: 127.1 xccxcxcxcxcx.cn
O1 - Hosts: 127.1 google-yahoo.org.cn
O1 - Hosts: 127.1 tudou-net.org.cn
O1 - Hosts: 127.1 downloads.zango.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 bis.180solutions.com
O1 - Hosts: 127.1 installs.hotbar.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 static.zangocash.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 aa.9234.net
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 97love.info
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 zyzhuiku.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 lang18.com
O1 - Hosts: 127.1 sao6666.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll (file missing)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [3PMmUpdate] rundll32 "C:\WINDOWS\Update.dll",Main
O4 - HKLM\..\Run: [HBService32] System.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [iBest.baloon] "C:\Arquivos de programas\Discador iBest Internet Ilimitada\baloon.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 - HKLM\System\CCS\Services\Tcpip\..\{55B8D9DD-51A0-45DF-9B94-E4EC23A549A5}: NameServer = 200.204.0.138 200.204.0.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{55B8D9DD-51A0-45DF-9B94-E4EC23A549A5}: NameServer = 200.204.0.138 200.204.0.10
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: HBmhly.dll,HBSO2.dll,HBFY.dll,HBKDXY.dll,HBZHUXIAN.dll,HBBO.dll,HBCHIBI.dll,HBQQSG.dll,HBQQFFO.dll,HBZG.dll
O21 - SSODL: Upnp - {DE01DA19-A6A8-EB80-4D47-248DEB2A9399} - C:\WINDOWS\system32\upnpsrv.dll (file missing)
O21 - SSODL: msnmsg - {DA191DE0-AA86-4ED0-4B87-293D48B2AE99} - C:\Program Files\Messenger\msgmr.dll (file missing)
O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll (file missing)

Você esqueceu de postar o log do Nod32 Online que estará neste local:
C:\Arquivos de programas\EsetOnlineScanner\log

Não me esqueci não. Não estou conseguindo postar o log do Easet pois aparece uma mensagem sobre a largura da página...

Mas no relatório constam que foram removidos alguns virus?

Quais os sintomas que o seu computador está apresentando atualmente de estranho?

Enfim, o log do Easet online:

# version=4
# OnlineScanner.ocx=1.0.0.635
# OnlineScannerDLLA.dll=1, 0, 0, 79
# OnlineScannerDLLW.dll=1, 0, 0, 78
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3534 (20081018)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.066 (20070917)
# EOSSerial=fda78c8e549952449ae6361ece4c5c66
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2008-10-18 05:19:22
# local_time=2008-10-18 03:19:22 (-0300, Horário
brasileiro de verão)
# country="Brazil"
# osver=5.1.2600 NT Service Pack 2
# scanned=92524
# found=100
# scan_time=2092
C:\Documents and Settings\Sidney Marcus\Configurações
locais\Temp
\wmsetup.dll Win32/TrojanDownloader.Murlo.NN trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\3GGN0570\27[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean -
deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\67SBBDAG\04[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\67SBBDAG\06[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\67SBBDAG\09[1].
cab Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\67SBBDAG\101[1].
cab Win32
/Agent.OHU trojan (unable to clean - deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\67SBBDAG\13[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\67SBBDAG\13[2].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\67SBBDAG\18[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\67SBBDAG\21[2].
cab a variant
of Win32/PSW.OnLineGames.NRF trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\67SBBDAG\22[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\67SBBDAG\22[2].
cab a variant
of Win32/PSW.OnLineGames.NRF trojan (unable to clean
- deleted)
00000000000000000000000000000000

2ª Parte:

C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\67SBBDAG\99[1].
cab a variant
of Win32/PSW.OnLineGames.NRF trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\67SBBDAG\update
[2].gif
Win32/Agent.OAG trojan (unable to clean - deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\CANZI1UJ\03[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\CANZI1UJ\05[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\CANZI1UJ\06[2].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\CANZI1UJ\07[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\CANZI1UJ\07[2].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\CANZI1UJ\10[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\CANZI1UJ\10[2].
cab a variant of
Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\CANZI1UJ\11[2].
cab Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\CANZI1UJ\12[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\CANZI1UJ\17[1].
cab a variant
of Win32/PSW.OnLineGames.NRF trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\CANZI1UJ\24[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\CANZI1UJ\24[2].
cab a variant
of Win32/PSW.OnLineGames.NRF trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\CANZI1UJ\abc[2].
cab Win32
/TrojanDropper.Small.AXV trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\MJNI95QP\20[1].
cab a variant
of Win32/PSW.OnLineGames.NRF trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\MJNI95QP\abb[1].
gif Win32
/TrojanDownloader.Murlo.NN trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\MZL3DJFC\01[2].
cab Win32
/Qhost.NEO trojan (unable to clean - deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\MZL3DJFC\02[1].
cab a variant
of Win32/PSW.OnLineGames.NRF trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\MZL3DJFC\04[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\MZL3DJFC\05[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\MZL3DJFC\09[1].
cab Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\MZL3DJFC\18[2].
cab a variant
of Win32/PSW.OnLineGames.NRF trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\MZL3DJFC\19[1].
cab a variant
of Win32/PSW.OnLineGames.NRF trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\MZL3DJFC\25[1].
cab Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\MZL3DJFC\25[2].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\MZL3DJFC\26[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\ROL9Z35K\08[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Conte.IE5\ROL9Z35K\08[2].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\ROL9Z35K\11[1].
cab Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\ROL9Z35K\12[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\ROL9Z35K\14[2].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted)
00000000000000000000000000000000

3ª Parte:

C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\ROL9Z35K\15[2].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\ROL9Z35K\16[1].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\ROL9Z35K\23[1].
cab a variant
of Win32/PSW.OnLineGames.NRF trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\ROL9Z35K\26[2].
cab a variant
of Win32/PSW.OnLineGames.NRD trojan (unable to clean
- deleted) 00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\ROL9Z35K\eee[1].
cab Win32
/Agent.NZZ trojan (unable to clean - deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\ROL9Z35K\v[1].
asp Win32
/Spy.FtpSend.B trojan (unable to clean - deleted)
00000000000000000000000000000000
C:\Documents and Settings\Sidney Marcus\Configurações
locais
\Temporary Internet Files\Content.IE5\YN57MI1A\update
[1].gif Win32
/Agent.OAG trojan (unable to clean - deleted)
00000000000000000000000000000000
C:\LinhaDefensiva\QUA\Arquivos\system32\System.exe.vir
Win32
/PSW.OnLineGames.NRF trojan (unable to clean - deleted)
00000000000000000000000000000000
C:\Program Files\Messenger\msgmr.dll Win32/Agent.OAG
trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\SDFix\backups\backups.zip multiple infiltrations
(deleted) 00000000000000000000000000000000
C:\SDFix\backups\backups.zip »ZIP »backups/7.tmp
Win32/PSW.OnLineGames.NRG trojan (error while cleaning
- operation
unavailable for this type of object - error while
deleting -
operation unavailable for this type of object - was
a part of the
deleted object) 00000000000000000000000000000000
C:\SDFix\backups\backups.zip »ZIP »backups/System.exe
Win32
/PSW.OnLineGames.NRF trojan (error while cleaning -
operation
unavailable for this type of object - error while
deleting -
operation unavailable for this type of object - was a
part of the
deleted object) 00000000000000000000000000000000
C:\SDFix\backups\HOSTS Win32/Qhost trojan (unable to
clean - deleted) 00000000000000000000000000000000
C:\WINDOWS\Update.dll Win32/Qhost.NEO trojan (unable
to clean -
deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\AppPatch\AcSpecf.dll Win32/Spy.FtpSend.B
trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\AppPatch\AcXtrnel.sdb Win32/Spy.
FtpSend.B trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
Win32
/Agent.QNW trojan (unable to clean - deleted (after the
next restart)) 00000000000000000000000000000000
C:\WINDOWS\Fonts\Framdee.ttf Win32/Agent.OAA trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\08223B03.dll Win32/PSW.
OnLineGames.NRD trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\122B901E.dll a variant of Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted
(after the next restart)) 00000000000000000000000000000000
C:\WINDOWS\system32\43ACDCC5.dll a variant of Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted
(after the
next restart)) 00000000000000000000000000000000
C:\WINDOWS\system32\4901228.sys a variant of Win32
/PSW.Agent.NIM trojan (unable to clean - deleted
(after the next restart)) 00000000000000000000000000000000
C:\WINDOWS\system32\495271CA.dll Win32/PSW.OnLineGames.
NRD trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\4BF9CBA3.dll a variant of Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted
(after the next restart)) 00000000000000000000000000000000
C:\WINDOWS\system32\4c70249.sys Win32/PSW.Agent.NIM trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\4D023DE9.dll a variant of Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted
(after the next restart)) 00000000000000000000000000000000
C:\WINDOWS\system32\4F34C688.dll a variant of Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted
(after the next restart)) 00000000000000000000000000000000
C:\WINDOWS\system32\4F34C688.VIR a variant of Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted)
00000000000000000000000000000000
C:\WINDOWS\system32\58FF3024.dll a variant of Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted
(after the next restart)) 00000000000000000000000000000000
C:\WINDOWS\system32\7ADC2AB1.dll a variant of Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted)
00000000000000000000000000000000
C:\WINDOWS\system32\82710040.dll a variant of Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted
(after the next restart)) 00000000000000000000000000000000
C:\WINDOWS\system32\8882fa1.sys a variant of Win32/PSW.Agent
.NIM trojan
(unable to clean - deleted)
00000000000000000000000000000000
C:\WINDOWS\system32\9CA963CA.dll a variant of Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted
(after the next restart)) 00000000000000000000000000000000
C:\WINDOWS\system32\aecff9.sys Win32/PSW.Agent.NIM trojan
(unable to clean - deleted) 00000000000000000000000000000000
C:\WINDOWS\system32\C.tmp Win32/PSW.OnLineGames.
ODH trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\C250CF20.dll a variant of Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted
(after the next restart)) 00000000000000000000000000000000
C:\WINDOWS\system32\c551839.sys Win32/PSW.Agent.NIM trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\C56BCC10.dll a variant of Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted
(after the next restart)) 00000000000000000000000000000000
C:\WINDOWS\system32\d4f876.sys Win32/PSW.Agent.NIM trojan
(unable to clean - deleted) 00000000000000000000000000000000
C:\WINDOWS\system32\D91BC61E.dll a variant of Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted
(after the next restart)) 00000000000000000000000000000000
C:\WINDOWS\system32\DA63E650.dll Win32/PSW.OnLineGames.
NRD trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\DE02F764.dll a variant of Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted
(after the next restart)) 00000000000000000000000000000000
C:\WINDOWS\system32\E4814792.dll a variant of Win32
/PSW.OnLineGames.NRD trojan (unable to clean - deleted
(after the next restart)) 00000000000000000000000000000000
C:\WINDOWS\system32\HBBO.dll Win32/PSW.OnLineGames.NRH
trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\HBCHIBI.dll Win32/PSW.OnLineGames.NRI
trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\HBFY.dll Win32/PSW.OnLineGames.
NRH trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\HBKDXY.dll Win32/PSW.OnLineGames.
NRI trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\HBmhly.dll Win32/PSW.OnLineGames.
VPI trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\HBQQFFO.dll Win32/PSW.OnLineGames.
NRG trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\HBQQSG.dll Win32/PSW.OnLineGames.
NRG trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\HBSO2.dll Win32/PSW.OnLineGames.
ODH trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\HBZG.dll Win32/PSW.OnLineGames.
ODW trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\HBZHUXIAN.dll Win32/PSW.OnLineGames.
NRI trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\System.exe Win32/PSW.OnLineGames.
NRF trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\upnpsrv.dll Win32/Agent.OHU trojan
(unable to clean - deleted (after the next restart))
00000000000000000000000000000000
C:\WINDOWS\system32\drivers\etc\HOSTS Win32/Qhost trojan
(unable to clean - deleted)
00000000000000000000000000000000


Obs.: Espero não ter prejudicado a sua leitura.

É isso!

Bom trabalho, foram removidos 100 virus do seu PC pelo Nod32 Online. Mas ainda há outras contaminações.
_____________________________

No seu log do Hijackthis não está constando que você tenha instalado um antivirus. É muito importante usar um bom antivirus gratuito, como este:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Para instalar, configurar e usar corretamente o Avira antivir é só seguir as dicas destes tutoriais:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Instale o Avira e faça um escaneamento completo com ele seguindo as dicas dos tuoriais acima e depois poste um novo log do Hijackthis e nos diga como está o seu PC depois deste procedimento. Ficamos no aguardo.

Seguem os logs:
1ª parte:

Avira AntiVir Personal
Report file date: sábado, 18 de outubro de 2008 19:15

Scanning for 1692263 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: SIDNEY

Version information:
BUILD.DAT : 8.1.0.331 16934 Bytes 12/8/2008 11:46:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/6/2008 12:57:53
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/5/2008 11:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12/6/2008 16:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/5/2008 11:58:52
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/7/2007 14:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/6/2008 17:54:15
ANTIVIR2.VDF : 7.0.7.12 4066816 Bytes 8/10/2008 20:38:52
ANTIVIR3.VDF : 7.0.7.58 315904 Bytes 17/10/2008 20:39:49
Engineversion : 8.2.0.5
AEVDF.DLL : 8.1.0.6 102772 Bytes 18/10/2008 20:45:19
AESCRIPT.DLL : 8.1.1.9 319867 Bytes 18/10/2008 20:45:09
AESCN.DLL : 8.1.1.3 123252 Bytes 18/10/2008 20:44:46
AERDL.DLL : 8.1.1.2 438644 Bytes 18/10/2008 20:44:35
AEPACK.DLL : 8.1.2.4 369014 Bytes 18/10/2008 20:43:57
AEOFFICE.DLL : 8.1.0.28 196987 Bytes 18/10/2008 20:43:22
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 18/10/2008 20:43:04
AEHELP.DLL : 8.1.1.2 115062 Bytes 18/10/2008 20:41:17
AEGEN.DLL : 8.1.0.41 319861 Bytes 18/10/2008 20:41:06
AEEMU.DLL : 8.1.0.9 393588 Bytes 18/10/2008 20:40:38
AECORE.DLL : 8.1.2.6 172406 Bytes 18/10/2008 20:40:16
AEBB.DLL : 8.1.0.3 53618 Bytes 18/10/2008 20:39:58
AVWINLL.DLL : 1.0.0.12 15105 Bytes 9/7/2008 12:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/5/2008 13:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 18/10/2008 20:39:53
AVREG.DLL : 8.0.0.1 33537 Bytes 9/5/2008 15:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/2/2008 12:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/6/2008 16:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/1/2008 21:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/6/2008 16:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25/1/2008 16:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/6/2008 17:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/6/2008 17:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\arquivos de

programas\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla

Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook

Mailbox,
Macro heuristic..................: on
File heuristic...................: medium
Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

2ª parte:

Start of the scan: sábado, 18 de outubro de 2008 19:15

Starting search for hidden objects.
c:\windows\$ntservicepackuninstall$\linkinfo.dll
[INFO] The file is not visible.
[NOTE] A backup was created as '4968559b.qua' ( QUARANTINE )
c:\windows\servicepackfiles\i386\linkinfo.dll
[INFO] The file is not visible.
[NOTE] A backup was created as '4968559c.qua' ( QUARANTINE )
c:\windows\softwaredistribution\download\db4af1ac6589f72c1b526a2c3dd4eb

21\backup\linkinfo.dll
[INFO] The file is not visible.
[NOTE] A backup was created as '4adb97e5.qua' ( QUARANTINE )
c:\windows\system32\linkinfo.dll
[INFO] The file is not visible.
[NOTE] A backup was created as '4addbfad.qua' ( QUARANTINE )
c:\windows\system32\drivers\nvmini.sys
[INFO] The file is not visible.
[DETECTION] Contains recognition pattern of the RKIT/Agent.GA root

kit
[INFO] No SpecVir entry was found!
[NOTE] A backup was created as '496755a9.qua' ( QUARANTINE )
c:\system32\drivers\nvmini.sys
[INFO] The registry entry is invisible.
[WARNING] The file could not be copied to the quarantine

directory.
[WARNING] Error in ARK lib
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nvmini
[INFO] The registry entry is invisible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nvmini
[INFO] The registry entry is invisible.
'36836' objects were checked, '8' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'WINWORD.EXE' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'msmsgs.exe' - '1' Module(s) have been scanned
Scan process 'baloon.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned

23 processes with 23 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan the registry.

The registry was scanned ( '45' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\Sidney Marcus\Configurações locais\Temporary

Internet Files\Content.IE5\ROL9Z35K\102[2].cab
[DETECTION] Is the TR/Drop.Smm.6 Trojan
[NOTE] The file was moved to '492c5749.qua'!
C:\Documents and Settings\Sidney Marcus\Configurações locais\Temporary

Internet Files\Content.IE5\ROL9Z35K\mcfscan[1].cab
[0] Archive type: CAB (Microsoft)
--> names.da_
[WARNING] No further files can be extracted from this archive.

The archive will be closed
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000007

.sys
[DETECTION] Contains recognition pattern of the RKIT/Agent.GA root

kit
[NOTE] The file was moved to '492a5975.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000008

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a5978.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000009

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a5979.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000010

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '48406972.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000011

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a597a.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000012

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '48406973.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000013

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a597b.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000014

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '48406974.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000015

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a597c.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000016

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '48406975.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000017

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a597d.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000018

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '48406976.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000019

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a597e.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000020

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '48406977.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000021

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a5970.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000027

.dll
[DETECTION] Is the TR/Crypt.XDR.Gen Trojan
[NOTE] The file was moved to '492a5984.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000029

.ttf
[DETECTION] Is the TR/Dldr.Small.yvn.4 Trojan
[NOTE] The file was moved to '492a5985.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000030

.dll
[DETECTION] Is the TR/Dldr.Agent.dle.1 Trojan
[NOTE] The file was moved to '492a5986.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000036

.sys
[DETECTION] Contains recognition pattern of the RKIT/Agent.GA root

kit
[NOTE] The file was moved to '4840698f.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000038

.dll
[DETECTION] Is the TR/Crypt.XDR.Gen Trojan
[NOTE] The file was moved to '492a5998.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000039

.ttf
[DETECTION] Is the TR/Dldr.Small.yvn.4 Trojan
[NOTE] The file was moved to '492a5987.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000040

.dll
[DETECTION] Is the TR/Dldr.Agent.dle.1 Trojan
[NOTE] The file was moved to '48406980.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000041

.dll
[DETECTION] Is the TR/Agent.AKOK Trojan
[NOTE] The file was moved to '492a5988.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000045

.dll
[DETECTION] Is the TR/PSW.19968.7 Trojan
[NOTE] The file was moved to '48406981.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000046

.dll
[DETECTION] Is the TR/SmallGame.L.8 Trojan
[NOTE] The file was moved to '492a5989.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000047

.dll
[DETECTION] Is the TR/SmallGame.N.6 Trojan
[NOTE] The file was moved to '48406982.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000048

.dll
[DETECTION] Contains a recognition pattern of the (harmful)

BDS/Agent.slg.3 back-door program
[NOTE] The file was moved to '492a598b.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000049

.dll
[DETECTION] Is the TR/Thief.Soulwork.J.3 Trojan
[NOTE] The file was moved to '492a598a.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000050

.dll
[DETECTION] Is the TR/SmallGame.A.40 Trojan
[NOTE] The file was moved to '4c7d1b7b.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0000052

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a598c.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0002035

.sys
[DETECTION] Contains recognition pattern of the RKIT/Agent.GA root

kit
[NOTE] The file was moved to '4c7d1b7c.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0003036

.sys
[DETECTION] Contains recognition pattern of the RKIT/Agent.GA root

kit
[NOTE] The file was moved to '4c7d1b7d.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0003037

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a598e.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0003038

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '4c7d1b7f.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0003039

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a598d.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0003040

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '4c7d1b7e.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0003041

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '4c7d1b81.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0003047

.dll
[DETECTION] Is the TR/Crypt.XDR.Gen Trojan
[NOTE] The file was moved to '492a5972.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0003048

.ttf
[DETECTION] Is the TR/Dldr.Small.yvn.4 Trojan
[NOTE] The file was moved to '4c7d1b83.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0003049

.dll
[DETECTION] Is the TR/Dldr.Agent.dle.1 Trojan
[NOTE] The file was moved to '492a598f.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0003054

.sys
[DETECTION] Contains recognition pattern of the RKIT/Agent.GA root

kit
[NOTE] The file was moved to '4c7d1b60.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0004054

.sys
[DETECTION] Contains recognition pattern of the RKIT/Agent.GA root

kit
[NOTE] The file was moved to '492a5991.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0005053

.sys
[DETECTION] Contains recognition pattern of the RKIT/Agent.GA root

kit
[NOTE] The file was moved to '492a5990.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0005054

.dll
[DETECTION] Is the TR/Crypt.XDR.Gen Trojan
[NOTE] The file was moved to '4c7d1b61.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0005055

.dll
[DETECTION] Is the TR/Qhost.kmd Trojan
[NOTE] The file was moved to '492a5992.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0005056

.exe
[DETECTION] Is the TR/Spy.Agent.nxa Trojan
[NOTE] The file was moved to '4c7d1b62.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0005059

.dll
[DETECTION] Is the TR/PSW.19968.7 Trojan
[NOTE] The file was moved to '492a5993.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0005063

.sys
[DETECTION] Contains recognition pattern of the RKIT/Agent.GA root

kit
[NOTE] The file was moved to '4c7d1b63.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0005064

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a5994.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0005065

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '4c7d1b65.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0005066

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '4c7d1b64.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0005067

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a5995.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0005068

.dll

3ª parte:

[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a5996.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0005069

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '4c7d1b67.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0005070

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '4c7d1b69.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0005071

.dll
[DETECTION] Is the TR/Agent.AKOK Trojan
[NOTE] The file was moved to '4c7d1b66.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP1\A0005072

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a5997.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0005189

.ttf
[DETECTION] Is the TR/Dldr.Small.yvn.4 Trojan
[NOTE] The file was moved to '492a599f.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0005190

.dll
[DETECTION] Is the TR/Dldr.Agent.dle.1 Trojan
[NOTE] The file was moved to '4c7d1b50.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0005201

.ttf
[DETECTION] Is the TR/Dldr.Small.yvn.4 Trojan
[NOTE] The file was moved to '492a59a0.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0005202

.dll
[DETECTION] Is the TR/Dldr.Agent.dle.1 Trojan
[NOTE] The file was moved to '4c7d1b51.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0005203

.sys
[DETECTION] Is the TR/Trash.Gen Trojan
[NOTE] The file was moved to '492a59a1.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0005204

.dll
[DETECTION] Is the TR/PSW.OnlineGames.tlsl.1 Trojan
[NOTE] The file was moved to '4c7d1b52.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0005205

.sys
[DETECTION] Contains recognition pattern of the RKIT/Agent.GA root

kit
[NOTE] The file was moved to '492a59a3.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0005208

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a59a2.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0005209

.dll
[DETECTION] Is the TR/SmallGame.N.6 Trojan
[NOTE] The file was moved to '4c7d1b53.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0005210

.dll
[DETECTION] Is the TR/Agent.14848.86 Trojan
[NOTE] The file was moved to '492a59a4.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0005211

.dll
[DETECTION] Is the TR/SmallGame.A.40 Trojan
[NOTE] The file was moved to '4c7d1b54.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0005212

.dll
[DETECTION] Contains a recognition pattern of the (harmful)

BDS/Agent.slg.3 back-door program
[NOTE] The file was moved to '492a59a5.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0005213

.dll
[DETECTION] Contains a recognition pattern of the (harmful)

BDS/Agent.TDS.1 back-door program
[NOTE] The file was moved to '4c7d1b56.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0005214

.dll
[DETECTION] Is the TR/Agent.aewr.5 Trojan
[NOTE] The file was moved to '4c7d1b55.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0005219

.dll
[DETECTION] Is the TR/SmallGame.L.8 Trojan
[NOTE] The file was moved to '492a59a6.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0006197

.ttf
[DETECTION] Is the TR/Dldr.Small.yvn.4 Trojan
[NOTE] The file was moved to '492a59a7.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP2\A0006198

.dll
[DETECTION] Is the TR/Dldr.Agent.dle.1 Trojan
[NOTE] The file was moved to '4c7d1b58.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0006214

.ttf
[DETECTION] Is the TR/Dldr.Small.yvn.4 Trojan
[NOTE] The file was moved to '492a59a8.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0006215

.dll
[DETECTION] Is the TR/Dldr.Agent.dle.1 Trojan
[NOTE] The file was moved to '4c7d1b59.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0006216

.sys
[DETECTION] Contains recognition pattern of the RKIT/Agent.GA root

kit
[NOTE] The file was moved to '492a59aa.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0008211

.ttf
[DETECTION] Is the TR/Dldr.Small.yvn.4 Trojan
[NOTE] The file was moved to '492a59a9.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0008212

.dll
[DETECTION] Is the TR/Dldr.Agent.dle.1 Trojan
[NOTE] The file was moved to '4c7d1b5a.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0008213

.sys
[DETECTION] Contains recognition pattern of the RKIT/Agent.GA root

kit
[NOTE] The file was moved to '492a59ab.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0008226

.ttf
[DETECTION] Is the TR/Dldr.Small.yvn.4 Trojan
[NOTE] The file was moved to '4c7d1b5b.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0008227

.dll
[DETECTION] Is the TR/Dldr.Agent.dle.1 Trojan
[NOTE] The file was moved to '492a59ac.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0008228

.sys

4ª parte:

[DETECTION] Contains recognition pattern of the RKIT/Agent.GA root

kit
[NOTE] The file was moved to '4c7d1b5c.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009225

.sys
[DETECTION] Contains recognition pattern of the RKIT/Agent.GA root

kit
[NOTE] The file was moved to '492a59ad.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009226

.dll
[DETECTION] Contains recognition pattern of the W32/Rectix.A

Windows virus
[NOTE] The file was moved to '4c7d1b5d.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009227

.exe
[DETECTION] Is the TR/Spy.Agent.nxa Trojan
[NOTE] The file was moved to '492a59ae.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009231

.exe
[DETECTION] Is the TR/Spy.Agent.nxa Trojan
[NOTE] The file was moved to '4c7d1b5e.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009266

.ttf
[DETECTION] Is the TR/Dldr.Small.yvn.4 Trojan
[NOTE] The file was moved to '492a59af.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009267

.dll
[DETECTION] Is the TR/Dldr.Agent.dle.1 Trojan
[NOTE] The file was moved to '4c7d1b40.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009273

.dll
[DETECTION] Is the TR/Crypt.XDR.Gen Trojan
[NOTE] The file was moved to '492a59b0.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009276

.dll
[DETECTION] Is the TR/Thief.Soulwork.J.3 Trojan
[NOTE] The file was moved to '4c7d1b41.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009290

.dll
[DETECTION] Is the TR/Qhost.kmd Trojan
[NOTE] The file was moved to '492a59b2.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009291

.sdb
[DETECTION] Is the TR/Dldr.Agent.dle Trojan
[NOTE] The file was moved to '4c7d1b43.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009292

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a59b4.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009293

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a59b3.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009294

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '4c7d1b44.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009295

.sys
[DETECTION] Is the TR/PSW.OnlineGames.ZWI.2 Trojan
[NOTE] The file was moved to '492a59b5.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009296

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '4c7d1b45.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009297

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a59b6.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009298

.sys
[DETECTION] Is the TR/PSW.OnlineGames.tnfj Trojan
[NOTE] The file was moved to '4c7d1b46.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009299

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a59b7.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009300

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '4c7d1b48.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009301

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '4c7d1b47.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009302

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a59b8.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009303

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '4c7d1b49.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009304

.sys
[DETECTION] Is the TR/Thief.OnLineGames.tmug Trojan
[NOTE] The file was moved to '492a59b9.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009305

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '4c7d1b4a.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009306

.sys
[DETECTION] Is the TR/PSW.OnlineGames.tjox Trojan
[NOTE] The file was moved to '492a59bb.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009307

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a59ba.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009308

.sys
[DETECTION] Is the TR/Thief.OnLineGames.tnuy Trojan
[NOTE] The file was moved to '4c7d1b4b.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009309

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a59bc.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009310

.sys
[DETECTION] Is the TR/PSW.OnlineGames.ZWI Trojan
[NOTE] The file was moved to '4c7d1b4c.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009311

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a59bd.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009312

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '4c7d1b4e.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009313

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '4c7d1b4d.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009314

.dll
[DETECTION] Is the TR/Spy.Gen Trojan
[NOTE] The file was moved to '492a59be.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009315

.dll
[DETECTION] Is the TR/SmallGame.N.6 Trojan
[NOTE] The file was moved to '492a59bf.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009316

.dll
[DETECTION] Is the TR/SmallGame.L.8 Trojan
[NOTE] The file was moved to '4c7d1b30.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009317

.dll
[DETECTION] Contains a recognition pattern of the (harmful)

BDS/Agent.slg.3 back-door program
[NOTE] The file was moved to '492a59c1.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009318

.dll
[DETECTION] Is the TR/SmallGame.A.39 Trojan
[NOTE] The file was moved to '4c7d1b4f.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009319

.dll
[DETECTION] Is the TR/PSW.19968.7 Trojan
[NOTE] The file was moved to '4c7d1b57.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009320

.dll
[DETECTION] Is the TR/Agent.agms.8 Trojan
[NOTE] The file was moved to '4c7d1b5f.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009321

.dll
[DETECTION] Is the TR/Agent.14848.86 Trojan
[NOTE] The file was moved to '4c7d1b32.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009322

.dll
[DETECTION] Contains a recognition pattern of the (harmful)

BDS/Agent.TDS.2 back-door program
[NOTE] The file was moved to '492a59c3.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009323

.dll
[DETECTION] Is the TR/SmallGame.A.40 Trojan
[NOTE] The file was moved to '4c7d1b34.qua'!
C:\System Volume

Information\_restore{A917C73A-E52C-48A4-9F84-71FC98111F54}\RP3\A0009324

.dll
[DETECTION] Is the TR/Agent.AKOK Trojan
[NOTE] The file was moved to '492a59c5.qua'!
C:\WINDOWS\system32\Tools\Restart.exe
[DETECTION] Contains recognition pattern of the SPR/Destart.A

program
[NOTE] The file was moved to '496d60cc.qua'!


End of the scan: sábado, 18 de outubro de 2008 20:17
Used time: 1:02:22 Hour(s)

The scan has been done completely.

1369 Scanning directories
89874 Files were scanned
129 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
133 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
89744 Files not concerned
1955 Archives were scanned
3 Warnings
133 Notes
36836 Objects were scanned with rootkit scan
8 Hidden objects were found

E do Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 20:26:28, on 18/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition

Classic\sched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition

Classic\avguard.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition

Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Discador iBest Internet Ilimitada\baloon.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Sidney Marcus\Meus documentos\Como proteger o

micro\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

&http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL

= [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 localhost
O1 - Hosts: 127.1 fffff8888fsgfbghj88.cn
O1 - Hosts: 127.1 61.134.37.12
O1 - Hosts: 127.1 ko.ssa387.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 12345.ssa387.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 wwwwhf.cn
O1 - Hosts: 127.1 a89369093.sq.u9idc.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 tw.lovechina.tw.cn
O1 - Hosts: 127.1 222.189.238.151
O1 - Hosts: 127.1 222.179.185.78
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 593ffcey.cn
O1 - Hosts: 127.1 set.yay520.cn
O1 - Hosts: 127.1 tenmoc999.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 121.kcuf-01.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 up.bizmd.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 hai067.com
O1 - Hosts: 127.1 hai088.com
O1 - Hosts: 127.1 778899.jd8j.cn
O1 - Hosts: 127.1 sql.78-11.net
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 max-2.cn
O1 - Hosts: 127.1 a.asp-o.cn
O1 - Hosts: 127.1 b.asp-o.cn
O1 - Hosts: 127.1 c.asp-o.cn
O1 - Hosts: 127.1 x.kprobb.cn
O1 - Hosts: 127.1 js.php-k.cn
O1 - Hosts: 127.1 max-1.cn
O1 - Hosts: 127.1 max-3.cn
O1 - Hosts: 127.1 max-4.cn
O1 - Hosts: 127.1 max-5.cn
O1 - Hosts: 127.1 max-6.cn
O1 - Hosts: 127.1 max-7.cn
O1 - Hosts: 127.1 max-8.cn
O1 - Hosts: 127.1 max-9.cn
O1 - Hosts: 127.1 max-10.cn
O1 - Hosts: 127.1 max-11.cn
O1 - Hosts: 127.1 max-12.cn
O1 - Hosts: 127.1 twocannon250.com.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 biqulu.cn
O1 - Hosts: 127.1 2008.qq2006.com.cn
O1 - Hosts: 127.1 giaitrisex.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 mekiep.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 a.9ymm.com
O1 - Hosts: 127.1 bobo.7wyt.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 asp-15.cn
O1 - Hosts: 127.1 asp-12.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 6.a88a.com
O1 - Hosts: 127.1 w.b2c3.cn
O1 - Hosts: 127.1 m.c5x8.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 u.cnmrx.net
O1 - Hosts: 127.1 duowan.czm.cn
O1 - Hosts: 127.1 xccxcxcxcxcx.cn
O1 - Hosts: 127.1 google-yahoo.org.cn
O1 - Hosts: 127.1 tudou-net.org.cn
O1 - Hosts: 127.1 downloads.zango.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 bis.180solutions.com
O1 - Hosts: 127.1 installs.hotbar.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 static.zangocash.com
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 aa.9234.net
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 97love.info
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 zyzhuiku.cn
O1 - Hosts: 127.1 [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O1 - Hosts: 127.1 lang18.com
O1 - Hosts: 127.1 sao6666.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

- C:\Arquivos de programas\Adobe\Acrobat

5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} -

C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll (file missing)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [3PMmUpdate] rundll32 "C:\WINDOWS\Update.dll",Main
O4 - HKLM\..\Run: [HBService32] System.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir

PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [iBest.baloon] "C:\Arquivos de programas\Discador

iBest Internet Ilimitada\baloon.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de

programas\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xportar para o Microsoft Excel -

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Enviar para o OneNote -

{2670000A-7350-4f3c-8081-5663EE0C6C49} -

C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote -

{2670000A-7350-4f3c-8081-5663EE0C6C49} -

C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de

programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Arquivos de programas\Internet

Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF:

SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus

scanner) -

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0

Installer Class) -

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner

Control) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI

Utility Class) -

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} -

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945}

- C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs:

HBmhly.dll,HBSO2.dll,HBFY.dll,HBKDXY.dll,HBZHUXIAN.dll,HBBO.dll,HBCHIBI

.dll,HBQQSG.dll,HBQQFFO.dll,HBZG.dll
O21 - SSODL: Upnp - {DE01DA19-A6A8-EB80-4D47-248DEB2A9399} -

C:\WINDOWS\system32\upnpsrv.dll (file missing)
O21 - SSODL: msnmsg - {DA191DE0-AA86-4ED0-4B87-293D48B2AE99} -

C:\Program Files\Messenger\msgmr.dll (file missing)
O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} -

C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler

(AntiVirScheduler) - Avira GmbH - C:\Arquivos de

programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard

(AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir

PersonalEdition Classic\avguard.exe

É isso!

Foram removidos vários outros virus pelo Avira Antivir. Agora vamos tentar refazer o procedimento com o HostsXpert:

[*] Dê um duplo clique em HostsXpert.exe para
executar o programa.
[*] Se disponivel, clique em "Make Hosts
Writable?" (estará no canto superior direito).
[*] Clique em "Restore Microsoft's Hosts file" e depois clique em
"OK".
[*] Clique no X para sair do programa.

Caso você tenha excluido o HostsXpert, faça novamente o download dele no link abaixo:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

[*] Extraia (unzip) HostsXpert.zip para uma pasta permanente do seu drive
(exemplo C:\HostsXpert)
Depois disso é só seguir as outras instruções acima para usá-lo corretamente. Depois disso poste um novo log do hijackthis. Ficamos no aguardo.

Segue o log do Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 09:35:42, on 19/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition

Classic\sched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition

Classic\avguard.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition

Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Discador iBest Internet Ilimitada\discador.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Sidney Marcus\Meus documentos\Como proteger o

micro\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

&http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL

= [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

- C:\Arquivos de programas\Adobe\Acrobat

5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} -

C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll (file missing)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [3PMmUpdate] rundll32 "C:\WINDOWS\Update.dll",Main
O4 - HKLM\..\Run: [HBService32] System.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir

PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [iBest.baloon] "C:\Arquivos de programas\Discador

iBest Internet Ilimitada\baloon.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de

programas\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: E&xportar para o Microsoft Excel -

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Enviar para o OneNote -

{2670000A-7350-4f3c-8081-5663EE0C6C49} -

C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote -

{2670000A-7350-4f3c-8081-5663EE0C6C49} -

C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de

programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Arquivos de programas\Internet

Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF:

SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus

scanner) -

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0

Installer Class) -

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner

Control) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI

Utility Class) -

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 -

HKLM\System\CCS\Services\Tcpip\..\{55B8D9DD-51A0-45DF-9B94-E4EC23A549A5

}: NameServer = 200.204.0.138 200.204.0.10
O17 -

HKLM\System\CS1\Services\Tcpip\..\{55B8D9DD-51A0-45DF-9B94-E4EC23A549A5

}: NameServer = 200.204.0.138 200.204.0.10
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} -

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945}

- C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs:

HBmhly.dll,HBSO2.dll,HBFY.dll,HBKDXY.dll,HBZHUXIAN.dll,HBBO.dll,HBCHIBI

.dll,HBQQSG.dll,HBQQFFO.dll,HBZG.dll
O21 - SSODL: Upnp - {DE01DA19-A6A8-EB80-4D47-248DEB2A9399} -

C:\WINDOWS\system32\upnpsrv.dll (file missing)
O21 - SSODL: msnmsg - {DA191DE0-AA86-4ED0-4B87-293D48B2AE99} -

C:\Program Files\Messenger\msgmr.dll (file missing)
O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} -

C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler

(AntiVirScheduler) - Avira GmbH - C:\Arquivos de

programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard

(AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir

PersonalEdition Classic\avguard.exe

É isso!

Obs.:
1) Ao ligar o micro se apresenta uma mensagem de erro:

"C:\Windows\Update.dll - Não foi possível encontrar o módulo especificado";

2) O computador se inicia automaticamente ao solicitar desconexão pelo discador;

3) O computador se inicia automaticamente quando conectado à internet inserimos o pen-drive. Logo após a famosa mensagem de que o computador se recuperou de um grave erro.

Abra o HijackThis, clique em Do a system scan only, marque as entradas abaixo e clique em Fix checked:

O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} -
C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll (file missing)

O4 - HKLM\..\Run: [3PMmUpdate] rundll32 "C:\WINDOWS\Update.dll",Main

O4 - HKLM\..\Run: [HBService32] System.exe

O20 - AppInit_DLLs: HBmhly.dll,HBSO2.dll,HBFY.dll,HBKDXY.dll,HBZHUXIAN.dll,HBBO.dll,HBCHIBI.dll,HBQQ SG.dll,HBQQFFO.dll,HBZG.dll

O21 - SSODL: Upnp - {DE01DA19-A6A8-EB80-4D47-248DEB2A9399} - C:\WINDOWS\system32\upnpsrv.dll (file missing)

O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll (file missing)
________________________________

Faça o download do [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Salve numa pasta em C:/

Abra o KillBox. Marque a opção Delete on Reboot. Copie a linha abaixo (selecione e clique em Copiar ou pressione Ctrl + C ):

C:\WINDOWS\Update.dll

Volte ao KillBox. Clique em File/ Paste from clipboard. Clique no botão All Files, clique no X ao perguntar Reboot now? Confirme.

Depois disso poste um novo log do Hijackthis para ser analizado.