Vírus ou malware atrapalhando o Windows Update

Olá,

Depois que o meu anti vírus acusou um malware estou desconfiado que meu computador tem algum problema.

O Windows Update está apresentando alguns problemas de atualização. Já não atualiza mais como antes ocorria normalmente.

Outro dia uma atualização de segurança foi baixado de lá e instalado no adicionar ou remover programas.

Quando fui verificar novamente o Windows Update essa mesma atualização insistia em aparecer.

Apenas para complementar estive observando o forum Blind PCs e notei que havia instalado um programa de segurança que segundo vocês causam prejuízos no computador. O programa que instalei é o XP Security Center.

Por favor, analizem meu log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:55:47, on 26/4/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Arquivos de programas\Macrium\Reflect\ReflectService.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\Arquivos de programas\SizeComplete Control. Demo Version\SizeComplete.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKCU\..\Run: [SizeComplete Control] "C:\Arquivos de programas\SizeComplete Control. Demo Version\SizeComplete.exe"
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EFBA262-098C-43F3-88FA-BBAD71720638}: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EFBA262-098C-43F3-88FA-BBAD71720638}: NameServer = 208.67.220.220 208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - C:\Arquivos de programas\Macrium\Reflect\ReflectService.exe

--
End of file - 5245 bytes

O programa que instalei é o XP Security Center.

Olá Glauber! Este "Xp Security Center" ainda está instalado no seu PC?
_______________________________

Abra o HijackThis, clique em Do a system scan only, marque a entrada abaixo e clique em Fix checked:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
_______________________________

Siga também as dicas deste tutorial:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
_______________________________

Na sua próxima resposta poste o log do Malwarebytes juntamente com um novo log do Hijackthis e nos diga como está o seu PC após estes procedimentos.

Ficamos no aguardo.

Olá Glauber! Este "Xp Security Center" ainda está instalado no seu PC?

Alberto, eu deletei o XP Security Center do meu PC, mas ele não possuia ferramenta de desinstalação. Então pode ser que ainda tenha rastros dele no registro.

Abra o HijackThis, clique em Do a system scan only, marque a entrada abaixo e clique em Fix checked:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Ok! Fiz conforme você me orientou.

Na sua próxima resposta poste o log do Malwarebytes juntamente com um novo log do Hijackthis e nos diga como está o seu PC após estes procedimentos.

Malwarebytes' Anti-Malware 1.45
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Versão da Base de Dados: 4046

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28/4/2010 12:24:37
mbam-log-2010-04-28 (12-24-37).txt

Tipo de Verificação: Verificação Completa (C:\|D:\|)
Objetos escaneados: 161398
Tempo decorrido: 59 minuto(s), 0 segundo(s)

Processos de Memória Infectados: 0
Módulos de Memória Infectados: 0
Chaves de Registro Infectadas: 0
Valores de Registro Infectados: 0
Itens de Dados no Registro Infectados: 0
Pastas Infectadas: 0
Arquivos Infectados: 2

Processos de Memória Infectados:
(Não foram detectados ítens maliciosos)

Módulos de Memória Infectados:
(Não foram detectados ítens maliciosos)

Chaves de Registro Infectadas:
(Não foram detectados ítens maliciosos)

Valores de Registro Infectados:
(Não foram detectados ítens maliciosos)

Itens de Dados no Registro Infectados:
(Não foram detectados ítens maliciosos)

Pastas Infectadas:
(Não foram detectados ítens maliciosos)

Arquivos Infectados:
C:\System Volume Information\_restore{B25B9079-498F-401A-AA2F-0D51E5DCC329}\RP288\A0055766.exe (Adware.UltraReach) -> Quarantined and deleted successfully.
C:\Documents and Settings\Usuario\Dados de aplicativos\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:32:08, on 28/4/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Arquivos de programas\Macrium\Reflect\ReflectService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\Arquivos de programas\SizeComplete Control. Demo Version\SizeComplete.exe
C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbserver.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Outlook Express\msimn.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKCU\..\Run: [SizeComplete Control] "C:\Arquivos de programas\SizeComplete Control. Demo Version\SizeComplete.exe"
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EFBA262-098C-43F3-88FA-BBAD71720638}: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EFBA262-098C-43F3-88FA-BBAD71720638}: NameServer = 208.67.220.220 208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - C:\Arquivos de programas\Macrium\Reflect\ReflectService.exe

--
End of file - 5583 bytes


Alberto, estranhamente apareceu no painel de controle e também no menu iniciar um programa que não havia instalado chamado Firebird 1.5 Server Manager.

Outra problema que vem ocorrendo é com relação ao Windows Update. Teve duas atualizações dele que não consegui mais instalar. Especificamente são essas as atualizações que insistem aparecer no Windows Update:

Atualização de segurança do Windows XP (KB979683)
Esta já aparece no Adicionar ou Remover Programas do Windows.

Microsoft .NET Framework 3.0: Pacote de Idiomas x86 (KB928416)
Esta aqui eu não consegui mais instalar mesmo seguindo os conselhos do site da microsoft que era de desinstalar por completo o Framework e instalar tudo novamente.

Aguardo seus comentários.

Alguns problemas foram removidos do seu PC.
______________________________

Siga, por gentileza, as dicas destes tutoriais:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
_________________________________

Na sua próxima resposta poste o log do Nod32 Online que estará em C:\Arquivos de programas\Eset\Eset Online Scanner\log.txt juntamente com um novo log do Hijackthis e o log do Norman e nos diga, por gentileza, como está o seu PC após seguir estes procedimentos. Ficamos no aguardo de sua resposta.

Olá Alberto,

Primeiramente tentei seguir os passos do tutorial do antivirus Nod32 Online.

No Internet Explorer 8 apareceu o seguinte erro:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Fiz umas 5 tentativas e só na última consegui fazer o escaneamento, porém sem configurar os passos número 1.

Eu acredito que meu Internet Explorer 8 ainda apresenta algum tipo de bloqueio quando precisa instalar aqueles controles activeX.

Mesmo fazendo o escaneamento com o antivirus Nod32 Online num certo momento houve um travamento e precisei desligar o computador. Chegou a escanear até 67% do disco D. Acredito que o Disco C foi totalmente escaneado. Além disso, estava muito lento esse escaneamento. Até então, tinha demorado cerca de 3 horas.

Vou deixar o log até o processo ter sido interrompido do antivirus Nod32 Online.

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=b7a6c78180db224f9f0c40c289daf57e
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-04-28 11:29:16
# local_time=2010-04-28 08:29:16 (-0300, Hora oficial do Brasil)
# country="Brazil"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 46711655 46711655 0 0
# compatibility_mode=1797 16775141 100 93 0 8895392 0 0
# compatibility_mode=8192 67108863 100 0 28109225 28109225 0 0
# scanned=45945
# found=2
# cleaned=2
# scan_time=9089
C:\Documents and Settings\All Users\Menu Iniciar\Programas\Pen Drive\PenClean.exe probably a variant of Win32/Spy.Agent trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{B25B9079-498F-401A-AA2F-0D51E5DCC329}\RP304\A0057241.exe probably a variant of Win32/Spy.Agent trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=b7a6c78180db224f9f0c40c289daf57e
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-04-29 05:33:43
# local_time=2010-04-29 02:33:43 (-0300, Hora oficial do Brasil)
# country="Brazil"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 46737910 46737910 0 0
# compatibility_mode=1797 16775125 100 93 0 8921647 0 0
# compatibility_mode=8192 67108863 100 0 28135480 28135480 0 0
# scanned=21451
# found=1
# cleaned=1
# scan_time=4701
C:\Arquivos de programas\WinRAR\patch.exe a variant of Win32/HackTool.Patcher.A application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

Com relação ao Norman Malware Cleaner, eu segui os passos do tutorial mas no modo seguro não consegui fazer a verificação. Veja o o erro:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Diante disso, reiniciei o computador e fiz pelo modo normal mesmo.

Segue aqui o log do Norman Malware Cleaner:

Norman Malware Cleaner
Version 1.6.2
Copyright 1990 - 2009, Norman ASA. Built 2010/04/28 16:19:24

Norman Scanner Engine Version: 6.04.08
Nvcbin.def Version: 6.04.00, Date: 2010/04/28 16:19:24, Variants: 5420323

Scan started: 29/04/2010 12:40:15

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 3
Logged on user: USER-8197FC7A06\Usuario

Set registry value: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = -> ""
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -> DisableRegistryTools = 0x00000000
Removed registry value: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDrives = 0x00000000
Removed registry value: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer -> NoDrives = 0x00000000
Set registry value: HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify = 0x00000001 -> 0x00000000

Scanning bootsectors...

Number of sectors found: 0
Number of sectors scanned: 0
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 0s


Scanning running processes and process memory...

Number of processes/threads found: 2334
Number of processes/threads scanned: 2334
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 1m 18s


Scanning file system...

Scanning: prescan

Scanning: C:\*.*

C:\Arquivos de programas\DreaMule\unins000.exe (Infected with Agent.TUQB)
Removed registry key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall -> DreaMule_is1
Deleted file

C:\Arquivos de programas\Lavalys\EVEREST Ultimate Edition\everest_cpuid.dll (Infected with W32/Smalltroj.XRLR)
Deleted file

C:\Arquivos de programas\Marcos Velasco Security\MV Defrag 1.9\unins000.exe (Infected with Agent.TUQB)
Removed registry key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall -> MV Defrag 1.9_is1
Deleted file

C:\Arquivos de programas\Marcos Velasco Security\MV RegClean 5.9\MVREGCLEAN.EXE (Infected with W32/Scar.AV)
Deleted file

C:\Arquivos de programas\Marcos Velasco Security\MV RegClean 5.9\unins000.exe (Infected with Agent.TUQB)
Removed registry key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall -> MV RegClean 5.9_is1
Deleted file

C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\BackItUp_ImageTool\root.img/root.img (Error whilst scanning file: I/O Error (0x0022000A))
C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\BackItUp_ImageTool\root.img (Possible archive bomb)

C:\Arquivos de programas\Nero\Nero8\Nero BackItUp\BackItUp_ImageTool\xfonts.7z/fonts/Type1/.fonts-config-timestamp (Error whilst scanning file: I/O Error (0x00000057))

C:\Arquivos de programas\Quicksys\RegDefrag\qsdkf.dll (Infected with W32/DLoader.WHXX)
Deleted file

C:\System Volume Information\_restore{B25B9079-498F-401A-AA2F-0D51E5DCC329}\RP304\A0057289.exe (Infected with Suspicious_Gen.DMIE)
Deleted file

C:\System Volume Information\_restore{B25B9079-498F-401A-AA2F-0D51E5DCC329}\RP304\A0057311.exe (Infected with Agent.TUQB)
Deleted file

C:\System Volume Information\_restore{B25B9079-498F-401A-AA2F-0D51E5DCC329}\RP304\A0057312.dll (Infected with W32/Smalltroj.XRLR)
Deleted file

C:\System Volume Information\_restore{B25B9079-498F-401A-AA2F-0D51E5DCC329}\RP304\A0057313.exe (Infected with Agent.TUQB)
Deleted file

C:\System Volume Information\_restore{B25B9079-498F-401A-AA2F-0D51E5DCC329}\RP304\A0057314.EXE (Infected with W32/Scar.AV)
Deleted file

C:\System Volume Information\_restore{B25B9079-498F-401A-AA2F-0D51E5DCC329}\RP304\A0057315.exe (Infected with Agent.TUQB)
Deleted file

C:\System Volume Information\_restore{B25B9079-498F-401A-AA2F-0D51E5DCC329}\RP304\A0057316.dll (Infected with W32/DLoader.WHXX)
Deleted file

Scanning: D:\*.*

D:\Documentos\Meus Documentos\APLICATIVOS\GRAVAR CD E DVD\Nero 8 Completo\Nero_8.0_Keygen.exe (Infected with W32/Suspicious_Gen2.LRAJ)
Deleted file

D:\Documentos\Meus Documentos\APLICATIVOS\PEN DRIVE\PenClean.exe (Infected with W32/Banker.ELLD)
Deleted file

D:\Documentos\Meus Documentos\APLICATIVOS\RELATÓRIO DO COMPUTADOR\Everest\Keygen\SND-LE46015-KG.EXE (Infected with W32/Suspicious_Gen2.RZOD)
Deleted file

D:\Documentos\Meus Documentos\APLICATIVOS\WINRAR\patch.exe (Infected with Suspicious_Gen.DMIE)
Deleted file

Scanning: postscan


Running post-scan cleanup routine:

Number of files found: 117179
Number of archives unpacked: 1519
Number of files scanned: 117174
Number of files not scanned: 5
Number of files skipped due to exclude list: 0
Number of infected files found: 18
Number of infected files repaired/deleted: 17
Number of infections removed: 17
Total scanning time: 59m 59s

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:59:39, on 29/4/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Arquivos de programas\SizeComplete Control. Demo Version\SizeComplete.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Arquivos de programas\Macrium\Reflect\ReflectService.exe
C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbserver.exe
C:\Arquivos de programas\Outlook Express\msimn.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKCU\..\Run: [SizeComplete Control] "C:\Arquivos de programas\SizeComplete Control. Demo Version\SizeComplete.exe"
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EFBA262-098C-43F3-88FA-BBAD71720638}: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EFBA262-098C-43F3-88FA-BBAD71720638}: NameServer = 208.67.220.220 208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - C:\Arquivos de programas\Macrium\Reflect\ReflectService.exe

--
End of file - 5583 bytes


Aquele programa firebird continua aparecendo no menu iniciar e no painel de controle. Posso desinstalá-lo?

O Windows Update continua mostrando aquelas atualizações que me referi anteriormente.

O que eu devo fazer agora?

Vários outros problemas foram removidos do seu PC.
__________________________________

A versão do Avira Antivir que você está usando é a versão 9 ou a versão 10? Se ainda estiver com a versão 9, desinstale-a e baixe o [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].

Para instalar, configurar e usar corretamente o Avira antivir é só seguir as dicas destes tutoriais:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

* Depois de instalar e configurar o Avira Antivir seguindo as dicas dos tutoriais acima, atualize-o (faça um update) e reinicie o seu computador e entre pelo Modo de Segurança (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a opção Modo Seguro ou Modo de Segurança). Aí quando o computador tiver reiniciado, clique com o botão direito do mouse sobre o símbolo do Avira (aquele guarda-chuva vermelho aberto ao lado do relógio do Windows) e escolha a opção Start AntiVir > clique na opção Scan system now > e aguarde a conclusão do escaneamento.

Obs: Caso não seja possível fazer o escaneamento com o Avira Antivir no Modo Seguro do Windows, faça-o no modo normal.
_______________________________________________________________

Quando você tiver removido os virus que o Avira Antivir encontrar, reinicie o computador normalmente. Clique com o botão direito do mouse sobre o ícone do Avira (aquele guarda-chuva vermelho aberto ao lado do relógio do Windows) e escolha a opção Start AntiVir > clique na opção Reports > dê um duplo clique com o botão esquerdo do mouse sobre o log mais recente e clique no botão Report file > Depois será aberta uma tela com o log, então é só selecionar este Log (Clique no menu: Editar » Selecionar Tudo), depois disso volte novamente no menu: Editar » e clique na opção: Copiar) > Depois disso é só voltar aqui no fórum e postar este log do Avira Antivir juntamente com um novo log do Hijackthis para que eles possam ser analizados.
Ficamos no aguardo de sua resposta.

A versão do Avira Antivir que você está usando é a versão 9 ou a versão 10? Se ainda estiver com a versão 9, desinstale-a e baixe o Avira Antivir Personal 10 Free.

Alberto, a versão do Avira que eu tenho instalada é a 10 e já havia configurado exatamente conforme esse tutorial que me passou.

Aqui está o log do Avira.

Avira AntiVir Personal
Report file date: sexta-feira, 30 de abril de 2010 10:43

Scanning for 2059229 virus strains and unwanted programs.

The program is running as an unrestricted full version.
Online services are available:

Licensee : Avira AntiVir Personal - FREE Antivirus
Serial number : 0000149996-ADJIE-0000001
Platform : Windows XP
Windows version : (Service Pack 3) [5.1.2600]
Boot mode : Normally booted
Username : SYSTEM
Computer name : USER-8197FC7A06

Version information:
BUILD.DAT : 10.0.0.567 32097 Bytes 19/4/2010 15:07:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 21/4/2010 04:02:35
AVSCAN.DLL : 10.0.3.0 46440 Bytes 21/4/2010 04:02:35
LUKE.DLL : 10.0.2.3 104296 Bytes 7/3/2010 21:33:04
LUKERES.DLL : 10.0.0.1 12648 Bytes 11/2/2010 02:40:49
VBASE000.VDF : 7.10.0.0 19875328 Bytes 6/11/2009 18:16:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 18:16:36
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/1/2010 18:16:36
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/1/2010 18:16:36
VBASE004.VDF : 7.10.4.203 1579008 Bytes 5/3/2010 18:16:36
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/4/2010 04:01:56
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/4/2010 04:01:57
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/4/2010 04:01:57
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/4/2010 04:01:57
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/4/2010 04:01:58
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/4/2010 04:01:58
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/4/2010 04:01:58
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/4/2010 04:01:59
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/4/2010 04:01:59
VBASE014.VDF : 7.10.6.123 126464 Bytes 19/4/2010 04:02:00
VBASE015.VDF : 7.10.6.152 123392 Bytes 21/4/2010 04:02:03
VBASE016.VDF : 7.10.6.178 122880 Bytes 22/4/2010 04:02:05
VBASE017.VDF : 7.10.6.206 120320 Bytes 26/4/2010 04:02:16
VBASE018.VDF : 7.10.6.232 99328 Bytes 28/4/2010 04:02:14
VBASE019.VDF : 7.10.6.233 2048 Bytes 28/4/2010 04:02:14
VBASE020.VDF : 7.10.6.234 2048 Bytes 28/4/2010 04:02:15
VBASE021.VDF : 7.10.6.235 2048 Bytes 28/4/2010 04:02:15
VBASE022.VDF : 7.10.6.236 2048 Bytes 28/4/2010 04:02:15
VBASE023.VDF : 7.10.6.237 2048 Bytes 28/4/2010 04:02:16
VBASE024.VDF : 7.10.6.238 2048 Bytes 28/4/2010 04:02:16
VBASE025.VDF : 7.10.6.239 2048 Bytes 28/4/2010 04:02:16
VBASE026.VDF : 7.10.6.240 2048 Bytes 28/4/2010 04:02:17
VBASE027.VDF : 7.10.6.241 2048 Bytes 28/4/2010 04:02:17
VBASE028.VDF : 7.10.6.242 2048 Bytes 28/4/2010 04:02:17
VBASE029.VDF : 7.10.6.243 2048 Bytes 28/4/2010 04:02:18
VBASE030.VDF : 7.10.6.244 2048 Bytes 28/4/2010 04:02:18
VBASE031.VDF : 7.10.6.254 153600 Bytes 29/4/2010 04:01:16
Engineversion : 8.2.1.224
AEVDF.DLL : 8.1.2.0 106868 Bytes 25/4/2010 04:02:36
AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 25/4/2010 04:02:35
AESCN.DLL : 8.1.5.0 127347 Bytes 26/3/2010 18:16:34
AESBX.DLL : 8.1.3.1 254324 Bytes 25/4/2010 04:02:39
AERDL.DLL : 8.1.4.6 541043 Bytes 25/4/2010 04:02:32
AEPACK.DLL : 8.2.1.1 426358 Bytes 26/3/2010 18:16:34
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 26/3/2010 18:16:34
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 25/4/2010 04:02:29
AEHELP.DLL : 8.1.11.3 242039 Bytes 25/4/2010 04:02:19
AEGEN.DLL : 8.1.3.7 373106 Bytes 25/4/2010 04:02:17
AEEMU.DLL : 8.1.2.0 393588 Bytes 25/4/2010 04:02:14
AECORE.DLL : 8.1.13.1 188790 Bytes 25/4/2010 04:02:13
AEBB.DLL : 8.1.1.0 53618 Bytes 25/4/2010 04:02:12
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14/1/2010 15:03:38
AVPREF.DLL : 10.0.0.0 44904 Bytes 14/1/2010 15:03:35
AVREP.DLL : 10.0.0.8 62209 Bytes 25/4/2010 04:02:42
AVREG.DLL : 10.0.3.0 53096 Bytes 21/4/2010 04:02:35
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 21/4/2010 04:02:35
AVARKT.DLL : 10.0.0.14 227176 Bytes 21/4/2010 04:02:35
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26/1/2010 12:53:30
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28/1/2010 15:57:58
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16/3/2010 18:38:56
NETNT.DLL : 10.0.0.0 11624 Bytes 19/2/2010 17:41:00
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28/1/2010 16:10:20
RCTEXT.DLL : 10.0.53.0 97128 Bytes 21/4/2010 04:02:34

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: c:\arquivos de programas\avira\antivir desktop\sysscan.avp
Logging.............................: low
Primary action......................: repair
Secondary action....................: delete
Scan master boot sector.............: on
Scan boot sector....................: on
Boot sectors........................: C:, D:,
Process scan........................: on
Extended process scan...............: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium
Deviating risk categories...........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Start of the scan: sexta-feira, 30 de abril de 2010 10:43

Starting search for hidden objects.
HKEY_LOCAL_MACHINE\Software\Microsoft\Environment\licence0
[NOTE] The registry entry is invisible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[NOTE] The registry entry is invisible.

The scan of running processes will be started
Scan process 'msdtc.exe' - '40' Module(s) have been scanned
Scan process 'dllhost.exe' - '59' Module(s) have been scanned
Scan process 'dllhost.exe' - '45' Module(s) have been scanned
Scan process 'vssvc.exe' - '48' Module(s) have been scanned
Scan process 'avscan.exe' - '66' Module(s) have been scanned
Scan process 'avcenter.exe' - '62' Module(s) have been scanned
Scan process 'firefox.exe' - '83' Module(s) have been scanned
Scan process 'msimn.exe' - '99' Module(s) have been scanned
Scan process 'alg.exe' - '33' Module(s) have been scanned
Scan process 'fbserver.exe' - '28' Module(s) have been scanned
Scan process 'SizeComplete.exe' - '19' Module(s) have been scanned
Scan process 'avgnt.exe' - '70' Module(s) have been scanned
Scan process 'ReflectService.exe' - '32' Module(s) have been scanned
Scan process 'MDM.EXE' - '22' Module(s) have been scanned
Scan process 'jqs.exe' - '89' Module(s) have been scanned
Scan process 'avshadow.exe' - '26' Module(s) have been scanned
Scan process 'fbguard.exe' - '23' Module(s) have been scanned
Scan process 'avguard.exe' - '53' Module(s) have been scanned
Scan process 'svchost.exe' - '34' Module(s) have been scanned
Scan process 'Explorer.EXE' - '119' Module(s) have been scanned
Scan process 'sched.exe' - '45' Module(s) have been scanned
Scan process 'spoolsv.exe' - '55' Module(s) have been scanned
Scan process 'svchost.exe' - '41' Module(s) have been scanned
Scan process 'svchost.exe' - '154' Module(s) have been scanned
Scan process 'svchost.exe' - '38' Module(s) have been scanned
Scan process 'svchost.exe' - '51' Module(s) have been scanned
Scan process 'lsass.exe' - '56' Module(s) have been scanned
Scan process 'services.exe' - '27' Module(s) have been scanned
Scan process 'winlogon.exe' - '67' Module(s) have been scanned
Scan process 'csrss.exe' - '12' Module(s) have been scanned
Scan process 'smss.exe' - '2' Module(s) have been scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan executable files (registry).
The registry was scanned ( '463' files ).


Starting the file scan:

Begin scan in 'C:\' <Sistema>
Begin scan in 'D:\' <Arquivos>


End of the scan: sexta-feira, 30 de abril de 2010 11:26
Used time: 42:44 Minute(s)

The scan has been done completely.

5616 Scanned directories
243557 Files were scanned
0 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
0 Files were moved to quarantine
0 Files were renamed
0 Files cannot be scanned
243557 Files not concerned
1809 Archives were scanned
0 Warnings
0 Notes
431324 Objects were scanned with rootkit scan
2 Hidden objects were found

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:23, on 30/4/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Arquivos de programas\Macrium\Reflect\ReflectService.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\Arquivos de programas\SizeComplete Control. Demo Version\SizeComplete.exe
C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbserver.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
c:\arquivos de programas\avira\antivir desktop\avcenter.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKCU\..\Run: [SizeComplete Control] "C:\Arquivos de programas\SizeComplete Control. Demo Version\SizeComplete.exe"
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EFBA262-098C-43F3-88FA-BBAD71720638}: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EFBA262-098C-43F3-88FA-BBAD71720638}: NameServer = 208.67.220.220 208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Arquivos de programas\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - C:\Arquivos de programas\Macrium\Reflect\ReflectService.exe

--
End of file - 5689 bytes

Fico no aguardo de sua resposta.

Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

Faça o download do [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Salve-o no Desktop (área de trabalho).
* Desabilite as proteções residente de: antivírus, antispywares e firewall ( menos o do Windows! )
* Feche todas as janelas e execute a ferramenta.
* Ps: A execução, por comando, também é possível:
* Vá em Iniciar --> Executar --> Digite ou cole:
"%userprofile%\desktop\Combofix.exe" /killall

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

* Clique em Ok.
* Na solicitação: "Negação de garantia de software" --> Clique em Sim.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

* Não possuindo o "[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]",aceite optar pela instalação do mesmo.
* Terminando,clique Sim ou Yes. --> Aguarde.

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Caso aconteça a notificação de: Aplicativo Win32 inválido ou alguma mensagem parecida com esta, delete a ferramenta ComboFix.exe e faça, novamente, seu download.
* Salve-a no Desktop,renomeada como: Kombo.exe
* Ps: Nomeie durante o salvamento,e não após salvá-la!
* Ps: Surgindo alguma mensagem de erro, rode o ComboFix.exe em "[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]". <-- Link!
* Ps: Na presença de atividades rootkit,teremos a seguinte janela de notificação:

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

* Ps: Anote essas detecções, e dê o OK. Neste caso poste estas detecções que você terá anotado em sua próxima resposta juntamente com os logs pedidos.
* Ps: Para completar as remoções, talvez haja necessidade da ferramenta reiniciar o computador. <-- Aguarde!
* Ps: Para evitar problemas, siga todas as recomendações propostas.
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

* Abrir-se-á a janela Auto Scan. --> Aguarde!
* Para finalizar remoções, o ComboFix poderá reiniciar o computador.
* Se houver necessidade, digite a opção ( 1 ) --> Aperte Enter! --> Aguarde a conclusão!
* Durante o scan, evite manusear o mouse ou teclado! <-- Importante!
* Caso, por algum motivo de força maior, precise parar ou sair do ComboFix,tecle "N" ou "2" --> Aperte Enter.
<><><><><><><><><><><><>

O log do Combofix estará em C:\ComboFix.txt
___________________________

Siga também as dicas deste tutorial:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
____________________________

Na sua próxima resposta poste este log do Spyware Doctor juntamente com um novo log do Hijackthis e o log que estará em C:\ComboFix.txt e nos diga como está o seu Pc depois disto.

Ficamos no aguardo.

PC Tools Spyware Doctor

Date

Status
1/5/2010 23:12:40:62
Serviço Iniciado
Aplicações de Serviço do Spyware Doctor iniciadas
1/5/2010 23:12:40:62
Mecanismo Antimalware
Configuração do mecanismo antimalware carregada com sucesso.
1/5/2010 23:12:48:656
Verificação Iniciada
Tipo de Verificação - Intelli-Scan
1/5/2010 23:12:53:406
Detectada uma infecção neste computador
Nome da Ameaça - Spyware.Known_Bad_Sites
Tipo - Favorito
Nível de Risco - Alto
Infecção - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] : C:\Documents and Settings\Usuario\Favoritos\GRAVAR DVD\COPIAR DVD PARA AVI\2 filmes em 1 DVD.URL
1/5/2010 23:12:53:406
Detectada uma infecção neste computador
Nome da Ameaça - Spyware.Known_Bad_Sites
Tipo - Favorito
Nível de Risco - Alto
Infecção - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] : C:\Documents and Settings\Usuario\Favoritos\GRAVAR DVD\COPIAR DVD PARA AVI\2 filmes em 1dvd5.URL
1/5/2010 23:12:54:46
Detectada uma infecção neste computador
Nome da Ameaça - Spyware.Known_Bad_Sites
Tipo - Favorito
Nível de Risco - Alto
Infecção - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] : C:\Documents and Settings\Usuario\Favoritos\LINKS DE TRABALHO E-MAIL\ORGANIZAÇÃO MMN\Home.URL
1/5/2010 23:13:16:984
Status do IntelliGuard
Todos os IntelliGuards foram Ativados
1/5/2010 23:13:24:109
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance
1/5/2010 23:13:24:109
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service
1/5/2010 23:13:24:125
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy
1/5/2010 23:13:24:125
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags
1/5/2010 23:13:24:125
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class
1/5/2010 23:13:24:125
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID

continua ...

1/5/2010 23:13:24:125
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc
1/5/2010 23:13:24:140
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities
1/5/2010 23:13:24:140
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Chave de Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control
1/5/2010 23:13:24:140
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Chave de Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000
1/5/2010 23:13:24:140
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Chave de Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME
1/5/2010 23:13:24:171
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type
1/5/2010 23:13:24:171
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl
1/5/2010 23:13:24:171
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start
1/5/2010 23:13:24:187
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath
1/5/2010 23:13:24:187
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group
1/5/2010 23:13:24:187
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0
1/5/2010 23:13:24:187
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count
1/5/2010 23:13:24:187
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance
1/5/2010 23:13:24:187
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Chave de Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum
1/5/2010 23:13:24:187
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Chave de Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme
1/5/2010 23:13:30:937
Detectada uma infecção neste computador
Nome da Ameaça - Trojan.Generic
Tipo - Chave de Registro
Nível de Risco - Médio
Infecção - HKEY_USERS\S-1-5-21-329068152-484061587-682003330-1003\Software\Wget
1/5/2010 23:14:01:312
Resultados do Immunizer
A seção do ActiveX foi imunizada. Itens 160 processados.
1/5/2010 23:15:44:78
Detectada uma infecção neste computador
Nome da Ameaça - Trojan.Generic
Tipo - Valor de Registro Modificado
Nível de Risco - Médio
Infecção - HKEY_USERS\S-1-5-21-329068152-484061587-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden
1/5/2010 23:15:44:203
Verificação Concluída
Tipo de Verificação - Intelli-Scan
Itens Processados - 301740
Ameaças Detectadas - 3
Infecções Detectadas - 26
Infecções Ignoradas - 0
1/5/2010 23:17:07:531
Infecção em quarentena
Nome da Ameaça - Spyware.Known_Bad_Sites
Tipo - Favorito
Nível de Risco - Alto
Infecção - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] : C:\Documents and Settings\Usuario\Favoritos\LINKS DE TRABALHO E-MAIL\ORGANIZAÇÃO MMN\Home.URL
1/5/2010 23:17:07:546
Infecção em quarentena
Nome da Ameaça - Spyware.Known_Bad_Sites
Tipo - Favorito
Nível de Risco - Alto
Infecção - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] : C:\Documents and Settings\Usuario\Favoritos\GRAVAR DVD\COPIAR DVD PARA AVI\2 filmes em 1dvd5.URL
1/5/2010 23:17:07:546
Infecção em quarentena
Nome da Ameaça - Spyware.Known_Bad_Sites
Tipo - Favorito
Nível de Risco - Alto
Infecção - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] : C:\Documents and Settings\Usuario\Favoritos\GRAVAR DVD\COPIAR DVD PARA AVI\2 filmes em 1 DVD.URL
1/5/2010 23:17:07:843
Infecção excluída
Nome da Ameaça - Spyware.Known_Bad_Sites
Tipo - Favorito
Nível de Risco - Alto
Infecção - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] : C:\Documents and Settings\Usuario\Favoritos\LINKS DE TRABALHO E-MAIL\ORGANIZAÇÃO MMN\Home.URL
1/5/2010 23:17:07:843
Infecção excluída
Nome da Ameaça - Spyware.Known_Bad_Sites
Tipo - Favorito
Nível de Risco - Alto
Infecção - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] : C:\Documents and Settings\Usuario\Favoritos\GRAVAR DVD\COPIAR DVD PARA AVI\2 filmes em 1dvd5.URL
1/5/2010 23:17:07:843
Infecção excluída
Nome da Ameaça - Spyware.Known_Bad_Sites
Tipo - Favorito
Nível de Risco - Alto
Infecção - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] : C:\Documents and Settings\Usuario\Favoritos\GRAVAR DVD\COPIAR DVD PARA AVI\2 filmes em 1 DVD.URL
1/5/2010 23:17:08:312
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Chave de Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme
1/5/2010 23:17:08:312
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Chave de Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum
1/5/2010 23:17:08:312
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance
1/5/2010 23:17:08:328

Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count
1/5/2010 23:17:08:328
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0
1/5/2010 23:17:08:343
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group
1/5/2010 23:17:08:343
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath
1/5/2010 23:17:08:359
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start
1/5/2010 23:17:08:359
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl
1/5/2010 23:17:08:375
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type
1/5/2010 23:17:08:375
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Chave de Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME
1/5/2010 23:17:08:390
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Chave de Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000
1/5/2010 23:17:08:390
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Chave de Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control
1/5/2010 23:17:08:390
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities
1/5/2010 23:17:08:406
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc
1/5/2010 23:17:08:421
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID
1/5/2010 23:17:08:421
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class
1/5/2010 23:17:08:421
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags
1/5/2010 23:17:08:437
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy
1/5/2010 23:17:08:437
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service
1/5/2010 23:17:08:453
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance
1/5/2010 23:17:08:562
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Chave de Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme
1/5/2010 23:17:08:562
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Chave de Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum
1/5/2010 23:17:08:562
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, NextInstance
1/5/2010 23:17:08:562
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, Count
1/5/2010 23:17:08:562
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum, 0
1/5/2010 23:17:08:562
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Group
1/5/2010 23:17:08:562
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ImagePath
1/5/2010 23:17:08:562
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Start
1/5/2010 23:17:08:562
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, ErrorControl
1/5/2010 23:17:08:562
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme, Type
1/5/2010 23:17:08:578
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Chave de Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME
1/5/2010 23:17:08:578
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Chave de Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000
1/5/2010 23:17:08:625
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Chave de Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000\Control
1/5/2010 23:17:08:625
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Capabilities
1/5/2010 23:17:08:625
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, DeviceDesc
1/5/2010 23:17:08:640
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ClassGUID
1/5/2010 23:17:08:640
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Class
1/5/2010 23:17:08:640
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, ConfigFlags
1/5/2010 23:17:08:640
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Legacy
1/5/2010 23:17:08:640
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000, Service
1/5/2010 23:17:08:640
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Valor do Registro
Nível de Risco - Informações
Infecção - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME, NextInstance
1/5/2010 23:17:08:781
Infecção em quarentena
Nome da Ameaça - Trojan.Generic
Tipo - Valor de Registro Modificado
Nível de Risco - Médio
Infecção - HKEY_USERS\S-1-5-21-329068152-484061587-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden
1/5/2010 23:17:08:781
Infecção em quarentena
Nome da Ameaça - Trojan.Generic
Tipo - Chave de Registro
Nível de Risco - Médio
Infecção - HKEY_USERS\S-1-5-21-329068152-484061587-682003330-1003\Software\Wget
1/5/2010 23:17:08:875
Infecção excluída
Nome da Ameaça - Trojan.Generic
Tipo - Valor de Registro Modificado
Nível de Risco - Médio
Infecção - HKEY_USERS\S-1-5-21-329068152-484061587-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden
1/5/2010 23:17:08:875
Infecção excluída
Nome da Ameaça - Trojan.Generic
Tipo - Chave de Registro
Nível de Risco - Médio
Infecção - HKEY_USERS\S-1-5-21-329068152-484061587-682003330-1003\Software\Wget
1/5/2010 23:17:10:937
Resumo de Infecções em Quarentena/Removidas
Quarentena - 26
Falha na Quarentena - 0
Removido - 26
Falha na Remoção - 0
1/5/2010 23:19:12:625
Verificação Iniciada
Tipo de Verificação - Verificação Completa
1/5/2010 23:31:18:890
Smart Update
O Smart Update determinou que o Spyware Doctor está atualizado
1/5/2010 23:31:24:46
Resultados do Immunizer
A seção do ActiveX foi imunizada. Nenhum item foi processado.
1/5/2010 23:57:06:234
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Arquivo
Nível de Risco - Informações
Infecção - C:\Documents and Settings\Usuario\desktop\ComboFix.exe
2/5/2010 00:05:12:109
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Arquivo
Nível de Risco - Informações
Infecção - C:\System Volume Information\_restore{B25B9079-498F-401A-AA2F-0D51E5DCC329}\RP311\A0057722.exe
2/5/2010 00:24:54:437
Detectada uma infecção neste computador
Nome da Ameaça - Application.NirCmd
Tipo - Arquivo
Nível de Risco - Informações
Infecção - C:\WINDOWS\SWXCACLS.exe
2/5/2010 00:29:55:281
Detectada uma infecção neste computador
Nome da Ameaça - Application.RemoveWGA
Tipo - Arquivo
Nível de Risco - Informações
Infecção - D:\Documentos\Meus Documentos\APLICATIVOS\WINDOWS XP\Ativação do Windows XP\XP\Validar Windows XP\RemoveWGA.exe
2/5/2010 00:33:16:406
Verificação Concluída
Tipo de Verificação - Verificação Completa
Itens Processados - 414162
Ameaças Detectadas - 2
Infecções Detectadas - 4
Infecções Ignoradas - 0
2/5/2010 00:34:12:984
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Arquivo
Nível de Risco - Informações
Infecção - C:\WINDOWS\SWXCACLS.exe
2/5/2010 00:34:14:203
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Arquivo
Nível de Risco - Informações
Infecção - C:\System Volume Information\_restore{B25B9079-498F-401A-AA2F-0D51E5DCC329}\RP311\A0057722.exe
2/5/2010 00:34:15:406
Infecção em quarentena
Nome da Ameaça - Application.NirCmd
Tipo - Arquivo
Nível de Risco - Informações
Infecção - C:\Documents and Settings\Usuario\desktop\ComboFix.exe
2/5/2010 00:34:15:703
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Arquivo
Nível de Risco - Informações
Infecção - C:\WINDOWS\SWXCACLS.exe
2/5/2010 00:34:15:718
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Arquivo
Nível de Risco - Informações
Infecção - C:\System Volume Information\_restore{B25B9079-498F-401A-AA2F-0D51E5DCC329}\RP311\A0057722.exe
2/5/2010 00:34:15:718
Infecção excluída
Nome da Ameaça - Application.NirCmd
Tipo - Arquivo
Nível de Risco - Informações
Infecção - C:\Documents and Settings\Usuario\desktop\ComboFix.exe
2/5/2010 00:34:15:859
Infecção em quarentena
Nome da Ameaça - Application.RemoveWGA
Tipo - Arquivo
Nível de Risco - Informações
Infecção - D:\Documentos\Meus Documentos\APLICATIVOS\WINDOWS XP\Ativação do Windows XP\XP\Validar Windows XP\RemoveWGA.exe
2/5/2010 00:34:15:953
Infecção excluída
Nome da Ameaça - Application.RemoveWGA
Tipo - Arquivo
Nível de Risco - Informações
Infecção - D:\Documentos\Meus Documentos\APLICATIVOS\WINDOWS XP\Ativação do Windows XP\XP\Validar Windows XP\RemoveWGA.exe
2/5/2010 00:34:17:984
Resumo de Infecções em Quarentena/Removidas
Quarentena - 4
Falha na Quarentena - 0
Removido - 4
Falha na Remoção - 0

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:39:26, on 2/5/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Arquivos de programas\Macrium\Reflect\ReflectService.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\Arquivos de programas\SizeComplete Control. Demo Version\SizeComplete.exe
C:\WINDOWS\System32\alg.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe
C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe
C:\Arquivos de programas\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\msdtc.exe
C:\Arquivos de programas\Spyware Doctor\pctsGui.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [ISTray] "C:\Arquivos de programas\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [SizeComplete Control] "C:\Arquivos de programas\SizeComplete Control. Demo Version\SizeComplete.exe"
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EFBA262-098C-43F3-88FA-BBAD71720638}: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EFBA262-098C-43F3-88FA-BBAD71720638}: NameServer = 208.67.220.220 208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - C:\Arquivos de programas\Macrium\Reflect\ReflectService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Arquivos de programas\Spyware Doctor\pctsSvc.exe

--
End of file - 5805 bytes

ComboFix 10-05-01.04 - Usuario 01/05/2010 22:28:25.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.991.660 [GMT -3:00]
Executando de: c:\documents and settings\Usuario\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\arquivos de programas\WindowsUpdate
c:\documents and settings\Usuario\Dados de aplicativos\Desktopicon
c:\documents and settings\Usuario\Dados de aplicativos\Desktopicon\config.ini
c:\documents and settings\Usuario\Dados de aplicativos\Desktopicon\mc.ico
c:\documents and settings\Usuario\llbg32.log
c:\windows\system32\VB6KO.DLL

.
(((((((((((((((( Arquivos/Ficheiros criados de 2010-04-02 to 2010-05-02 ))))))))))))))))))))))))))))
.

2010-04-27 14:07 . 2010-05-01 13:24 -------- d-----w- c:\arquivos de programas\Firebird
2010-04-27 14:07 . 2002-08-09 14:00 123904 ----a-w- c:\windows\system32\midas.dll
2010-04-27 14:06 . 2010-04-27 14:07 -------- d-----w- C:\Guia Brasileirão 2010
2010-04-21 22:50 . 2010-04-21 22:50 -------- d-----w- c:\arquivos de programas\VDOWNLOADER
2010-04-20 22:59 . 2010-04-20 22:59 -------- d-----w- c:\windows\system32\wbem\Repository
2010-04-20 22:14 . 2010-04-20 22:14 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Java
2010-04-20 22:14 . 2010-04-20 22:14 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-17 03:38 . 2010-04-17 19:17 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Google Chrome Backup
2010-04-17 03:21 . 2010-04-06 08:12 114360 ----a-w- c:\documents and settings\Usuario\Dados de aplicativos\Mozilla\Firefox\Profiles\h78tb9px.Glauber\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll
2010-04-14 20:09 . 2010-05-02 01:34 -------- d-----w- c:\windows\system32\CatRoot2
2010-04-14 14:22 . 2010-04-14 14:22 -------- d-----w- c:\windows\system32\URTTEMP
2010-04-13 04:12 . 2010-04-17 19:17 -------- d-----w- c:\arquivos de programas\MSECACHE
2010-04-08 22:49 . 2009-09-06 07:10 128512 -c----w- c:\windows\system32\dllcache\ftpsvc2.dll
2010-04-08 22:47 . 2009-07-27 23:17 135168 -c----w- c:\windows\system32\dllcache\shsvcs.dll
2010-04-08 22:46 . 2009-05-21 18:48 268288 -c----w- c:\windows\system32\dllcache\httpext.dll
2010-04-08 22:44 . 2010-04-08 22:44 -------- d-----w- c:\arquivos de programas\Microsoft CAPICOM 2.1.0.2
2010-04-08 22:40 . 2004-04-26 03:39 53248 ----a-w- c:\windows\system32\SSUBTMR6.DLL
2010-04-08 03:48 . 2007-10-07 17:27 10752 ----a-w- c:\windows\system32\aamd532.dll

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-02 01:14 . 2008-10-21 14:51 -------- d-----w- c:\arquivos de programas\CCleaner
2010-05-01 20:30 . 2008-10-24 13:26 -------- d-----w- c:\arquivos de programas\Defraggler
2010-05-01 17:53 . 2008-10-26 03:58 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Skype
2010-04-29 15:45 . 2008-11-16 01:16 -------- d-----w- c:\arquivos de programas\DreaMule
2010-04-27 15:27 . 2008-12-09 21:22 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware
2010-04-27 15:26 . 2009-05-18 04:48 5918776 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-04-20 22:14 . 2009-04-02 15:14 -------- d-----w- c:\arquivos de programas\Java
2010-04-17 22:30 . 2008-11-10 03:21 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Vso
2010-04-17 13:08 . 2008-10-24 13:44 -------- d-----r- c:\arquivos de programas\Skype
2010-04-14 14:56 . 2001-10-28 12:07 554090 ----a-w- c:\windows\system32\perfh016.dat
2010-04-14 14:56 . 2001-10-28 12:07 106198 ----a-w- c:\windows\system32\perfc016.dat
2010-04-12 14:32 . 2008-10-21 23:32 -------- d-----w- c:\arquivos de programas\Windows Desktop Search
2010-04-09 02:24 . 2002-01-09 19:02 -------- d-----w- c:\arquivos de programas\Microsoft.NET
2010-04-08 22:50 . 2008-10-21 22:34 -------- d-----w- c:\arquivos de programas\MSXML 4.0
2010-03-30 03:46 . 2008-12-09 21:22 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-30 03:45 . 2008-12-09 21:22 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-26 14:49 . 2010-03-26 14:49 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Avira
2010-03-26 14:45 . 2010-03-26 14:45 -------- d-----w- c:\arquivos de programas\Avira
2010-03-26 14:45 . 2002-01-09 19:48 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Avira
2010-03-22 21:49 . 2010-03-22 21:49 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Maximus
2010-03-22 14:26 . 2010-03-22 14:04 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\NCH Software
2010-03-22 14:26 . 2010-03-22 14:04 -------- d-----w- c:\arquivos de programas\NCH Software
2010-03-22 14:22 . 2010-03-22 14:02 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\NCH Swift Sound
2010-03-22 14:22 . 2010-03-22 14:02 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\NCH Swift Sound
2010-03-11 22:40 . 2009-08-24 13:53 258048 ------w- c:\windows\Setup1.exe
2010-03-11 22:40 . 2009-08-24 13:53 73216 ----a-w- c:\windows\ST6UNST.EXE
2010-03-10 06:16 . 2004-08-04 03:45 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-01 12:05 . 2010-03-26 14:45 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-02-25 06:17 . 2004-08-04 03:45 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-04 02:15 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 16:24 . 2009-04-30 20:59 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-02-12 04:34 . 2004-08-04 03:45 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-04 02:07 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-02-08 14:33 . 2010-02-08 14:33 43646 ----a-r- c:\documents and settings\Usuario\Dados de aplicativos\Microsoft\Installer\{AE3F60A0-11F7-4DE7-AD9D-3831096E14B5}\_783F41B03DEFB198D13F8F.exe
2010-02-08 14:33 . 2010-02-08 14:33 29926 ----a-r- c:\documents and settings\Usuario\Dados de aplicativos\Microsoft\Installer\{AE3F60A0-11F7-4DE7-AD9D-3831096E14B5}\_2ED31C7E60F2138CD4C3A1.exe
2010-02-08 14:33 . 2010-02-08 14:33 43646 ----a-r- c:\documents and settings\Usuario\Dados de aplicativos\Microsoft\Installer\{AE3F60A0-11F7-4DE7-AD9D-3831096E14B5}\_E66204B17C935A3FF02727.exe
2010-02-08 14:33 . 2010-02-08 14:33 43646 ----a-r- c:\documents and settings\Usuario\Dados de aplicativos\Microsoft\Installer\{AE3F60A0-11F7-4DE7-AD9D-3831096E14B5}\_D707CE1C009F1381803C2C.exe
2010-02-08 14:33 . 2010-02-08 14:33 43646 ----a-r- c:\documents and settings\Usuario\Dados de aplicativos\Microsoft\Installer\{AE3F60A0-11F7-4DE7-AD9D-3831096E14B5}\_21F3885A18D238E15AAE81.exe
2010-02-08 14:33 . 2010-02-08 14:33 109534 ----a-r- c:\documents and settings\Usuario\Dados de aplicativos\Microsoft\Installer\{AE3F60A0-11F7-4DE7-AD9D-3831096E14B5}\_6FEFF9B68218417F98F549.exe
2010-02-03 02:35 . 2010-02-03 02:35 503808 ----a-w- c:\documents and settings\Usuario\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-39c7c45f-n\msvcp71.dll
2010-02-03 02:35 . 2010-02-03 02:35 499712 ----a-w- c:\documents and settings\Usuario\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-39c7c45f-n\jmc.dll
2010-02-03 02:35 . 2010-02-03 02:35 348160 ----a-w- c:\documents and settings\Usuario\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-39c7c45f-n\msvcr71.dll
2010-02-03 02:35 . 2010-02-03 02:35 61440 ----a-w- c:\documents and settings\Usuario\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-7f93278e-n\decora-sse.dll
2010-02-03 02:35 . 2010-02-03 02:35 12800 ----a-w- c:\documents and settings\Usuario\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-7f93278e-n\decora-d3d.dll
2009-09-25 16:41 . 2009-09-25 16:41 1044480 ----a-w- c:\arquivos de programas\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41 200704 ----a-w- c:\arquivos de programas\mozilla firefox\plugins\ssldivx.dll
2009-11-18 19:07 . 2009-08-08 01:29 24223776 --sha-w- c:\windows\system32\drivers\fidbox.dat
.

------- Sigcheck -------

[-] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys
[-] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\system32\drivers\atapi.sys
[-] 2004-08-04 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys

[-] 2008-04-13 . B153AFFAC761E7F5FCFA822B9C4E97BC . 14336 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\asyncmac.sys
[-] 2008-04-13 . B153AFFAC761E7F5FCFA822B9C4E97BC . 14336 . . [5.1.2600.5512] . . c:\windows\system32\drivers\asyncmac.sys
[-] 2004-08-04 . 02000ABF34AF4C218C35D257024807D6 . 14336 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\asyncmac.sys

[-] 2001-10-28 . DA1F27D85E0D1525F6621372E7B685E9 . 4224 . . [5.1.2600.0] . . c:\windows\system32\dllcache\beep.sys
[-] 2001-10-28 . DA1F27D85E0D1525F6621372E7B685E9 . 4224 . . [5.1.2600.0] . . c:\windows\system32\drivers\beep.sys

[-] 2008-04-14 . D3D4832B494CBF9A87CF86D7517013CB . 25088 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\kbdclass.sys
[-] 2008-04-14 . D3D4832B494CBF9A87CF86D7517013CB . 25088 . . [5.1.2600.5512] . . c:\windows\system32\drivers\kbdclass.sys
[-] 2004-08-04 . 7FC1E330386610D5EB3E7C4C7893CA93 . 25088 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\kbdclass.sys

[-] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ndis.sys
[-] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ndis.sys
[-] 2004-08-04 . 558635D3AF1C7546D26067D5D9B6959E . 182912 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ndis.sys

[-] 2008-04-13 . 78A08DD6A8D65E697C18E1DB01C5CDCA . 574976 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ntfs.sys
[-] 2008-04-13 . 78A08DD6A8D65E697C18E1DB01C5CDCA . 574976 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ntfs.sys
[-] 2004-08-04 . B78BE402C3F63DD55521F73876951CDD . 574592 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ntfs.sys

[-] 2001-10-28 . 73C1E1F395918BC2C6DD67AF7591A3AD . 2944 . . [5.1.2600.0] . . c:\windows\system32\dllcache\null.sys
[-] 2001-10-28 . 73C1E1F395918BC2C6DD67AF7591A3AD . 2944 . . [5.1.2600.0] . . c:\windows\system32\drivers\null.sys

[-] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[-] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[-] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2004-08-04 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\tcpip.sys

[-] 2008-04-14 . 572AEDA840986672DA2BB9D4183E2AA9 . 77824 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\browser.dll
[-] 2008-04-14 . 572AEDA840986672DA2BB9D4183E2AA9 . 77824 . . [5.1.2600.5512] . . c:\windows\system32\browser.dll
[-] 2004-08-04 . B90D6814CF36244818E8B4F0A4AC6F84 . 77312 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\browser.dll

[-] 2008-04-14 . 9607142710D3B64AB7FCCE4BE4E30D37 . 13312 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\lsass.exe
[-] 2008-04-14 . 9607142710D3B64AB7FCCE4BE4E30D37 . 13312 . . [5.1.2600.5512] . . c:\windows\system32\lsass.exe
[-] 2004-08-04 . 35C6463B3C5F62D2B20C953B6E1538E9 . 13312 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\lsass.exe

[-] 2008-04-14 . B199C4F441DDAB10253ABC0AC4858BFF . 198144 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\netman.dll
[-] 2008-04-14 . B199C4F441DDAB10253ABC0AC4858BFF . 198144 . . [5.1.2600.5512] . . c:\windows\system32\netman.dll
[-] 2004-08-04 . BA900E1190BA4CCD70F218A23DEC89D1 . 198144 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\netman.dll

[-] 2008-04-14 . F0F5EEF8C4B0444E6E4D8E09F7A8F0A8 . 409088 . . [6.7.2600.5512] . . c:\windows\ServicePackFiles\i386\qmgr.dll
[-] 2008-04-14 . F0F5EEF8C4B0444E6E4D8E09F7A8F0A8 . 409088 . . [6.7.2600.5512] . . c:\windows\system32\qmgr.dll
[-] 2008-04-14 . F0F5EEF8C4B0444E6E4D8E09F7A8F0A8 . 409088 . . [6.7.2600.5512] . . c:\windows\system32\bits\qmgr.dll
[-] 2004-08-04 . C1AA680B70BD0771A0850E04C3E634A5 . 382464 . . [6.6.2600.2180] . . c:\windows\$NtServicePackUninstall$\qmgr.dll

[-] 2009-02-09 . B5AE6227853C4B6A723567A8DEF68F03 . 401408 . . [5.1.2600.5755] . . c:\windows\$hf_mig$\KB956572\SP3QFE\rpcss.dll
[-] 2009-02-09 . F3763E01E7536F7A6D0C6E392C603EC2 . 401408 . . [5.1.2600.5755] . . c:\windows\system32\rpcss.dll
[-] 2009-02-09 . F3763E01E7536F7A6D0C6E392C603EC2 . 401408 . . [5.1.2600.5755] . . c:\windows\system32\dllcache\rpcss.dll
[-] 2008-04-14 . E34A1B6160A90C7CB90BF2EE8D6AD921 . 399360 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\rpcss.dll
[-] 2004-08-04 . 7461E79FD81D467A03CD35091D384D2B . 395776 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\rpcss.dll

[-] 2009-02-09 . C52DEB6D8CD4B096BF1A9EC001F36507 . 111104 . . [5.1.2600.5755] . . c:\windows\system32\services.exe
[-] 2009-02-09 . C52DEB6D8CD4B096BF1A9EC001F36507 . 111104 . . [5.1.2600.5755] . . c:\windows\system32\dllcache\services.exe
[-] 2009-02-09 . 38867483E0CB504BB8F277E05729881E . 111104 . . [5.1.2600.5755] . . c:\windows\$hf_mig$\KB956572\SP3QFE\services.exe
[-] 2008-04-14 . EE7999BAACA84CFAA03726E677EE2A33 . 109056 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\services.exe
[-] 2004-08-04 . CC73C4430C2FC27FDE16A0A4E3678148 . 108544 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\services.exe

[-] 2008-04-14 . AF1D9AE15C11163F576DF6ED6194B53C . 57856 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\spoolsv.exe
[-] 2008-04-14 . AF1D9AE15C11163F576DF6ED6194B53C . 57856 . . [5.1.2600.5512] . . c:\windows\system32\spoolsv.exe
[-] 2004-08-04 . 3971289FA7072812CAF4D053BBC6352B . 57856 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\spoolsv.exe

[-] 2008-04-14 . 71D440F79B711627B12B567FB2EADB42 . 509952 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2008-04-14 . 71D440F79B711627B12B567FB2EADB42 . 509952 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2004-08-04 . 6F7BDE7A1126DEBF0CC359A54953EFC1 . 504320 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe

[-] 2008-04-14 . 085C5892D9C1E19B3CEFD1B79F5BBF13 . 617472 . . [5.82] . . c:\windows\ServicePackFiles\i386\comctl32.dll
[-] 2008-04-14 . 085C5892D9C1E19B3CEFD1B79F5BBF13 . 617472 . . [5.82] . . c:\windows\system32\comctl32.dll
[-] 2008-04-14 . 085C5892D9C1E19B3CEFD1B79F5BBF13 . 617472 . . [5.82] . . c:\windows\system32\dllcache\comctl32.dll
[-] 2004-08-04 . 021631D9D0729D9E52300CCEACE4F054 . 611328 . . [5.82] . . c:\windows\$NtServicePackUninstall$\comctl32.dll

[-] 2008-04-14 . 554798AAD881736DFC4D08C572DECD7A . 62464 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\cryptsvc.dll
[-] 2008-04-14 . 554798AAD881736DFC4D08C572DECD7A . 62464 . . [5.1.2600.5512] . . c:\windows\system32\cryptsvc.dll
[-] 2004-08-04 . 7836E32505D817311E8F8384A18C1128 . 60416 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\cryptsvc.dll

[-] 2008-07-07 20:28 . B024AB8B7692D47C8176BE92AB36D316 . 253952 . . [2001.12.4414.706] . . c:\windows\system32\es.dll
[-] 2008-07-07 20:28 . B024AB8B7692D47C8176BE92AB36D316 . 253952 . . [2001.12.4414.706] . . c:\windows\system32\dllcache\es.dll
[-] 2008-07-07 20:25 . 58586EB44E6FD9A711943647C8451741 . 253952 . . [2001.12.4414.706] . . c:\windows\$hf_mig$\KB950974\SP3QFE\es.dll
[-] 2008-04-14 02:20 . 957E7822860EB8E5CD9EDB7BA04B7E65 . 246272 . . [2001.12.4414.701] . . c:\windows\ServicePackFiles\i386\es.dll
[-] 2004-08-04 03:45 . 74C397E17E946D61012C301186C84124 . 243200 . . [2001.12.4414.258] . . c:\windows\$NtServicePackUninstall$\es.dll

[-] 2008-04-14 . 05C621EAA979D33A12F3B510FF4C6F9F . 110080 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\imm32.dll
[-] 2008-04-14 . 05C621EAA979D33A12F3B510FF4C6F9F . 110080 . . [5.1.2600.5512] . . c:\windows\system32\imm32.dll
[-] 2004-08-04 . 602B88592E0690D0DFB5E5F44A9EF820 . 110080 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\imm32.dll

[-] 2009-03-21 . 6A5A13A014F72F3C8E8A23B662C9DAF1 . 1028608 . . [5.1.2600.5781] . . c:\windows\system32\kernel32.dll
[-] 2009-03-21 . 6A5A13A014F72F3C8E8A23B662C9DAF1 . 1028608 . . [5.1.2600.5781] . . c:\windows\system32\dllcache\kernel32.dll
[-] 2009-03-21 . 03DA51CE83B0D693A10C91B139BBD221 . 1030656 . . [5.1.2600.5781] . . c:\windows\$hf_mig$\KB959426\SP3QFE\kernel32.dll
[-] 2008-04-14 . 68ECDAD8AE2768DE61C20C41A28CC0B0 . 1028608 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\kernel32.dll
[-] 2004-08-04 . AD72A244955E89EBBB8FABF02F8041C6 . 1022464 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\kernel32.dll

[-] 2008-04-14 . 1E47527C69E79ECC13326BFB2E178394 . 19968 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\linkinfo.dll
[-] 2008-04-14 . 1E47527C69E79ECC13326BFB2E178394 . 19968 . . [5.1.2600.5512] . . c:\windows\system32\linkinfo.dll
[-] 2004-08-04 . E9B587DBAE9F212A394618CE06013EAF . 18944 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\linkinfo.dll

[-] 2008-04-14 . 5F6337EAC9EA401AA0F9040CB6F16C80 . 22016 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\lpk.dll
[-] 2008-04-14 . 5F6337EAC9EA401AA0F9040CB6F16C80 . 22016 . . [5.1.2600.5512] . . c:\windows\system32\lpk.dll
[-] 2004-08-04 . CFFC7F8E8F898BE4561887EF301F8BF3 . 22016 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\lpk.dll

[-] 2008-04-14 . 63C2A8E1E33C8C714F11C91400F291E0 . 343040 . . [7.0.2600.5512] . . c:\windows\ServicePackFiles\i386\msvcrt.dll
[-] 2008-04-14 . 63C2A8E1E33C8C714F11C91400F291E0 . 343040 . . [7.0.2600.5512] . . c:\windows\system32\msvcrt.dll
[-] 2004-08-04 . FD5A817258E47E54F4CF8F5E071D1DD8 . 343040 . . [7.0.2600.2180] . . c:\windows\$NtServicePackUninstall$\msvcrt.dll

[-] 2008-06-20 . 401BBBCD7A0116BF42BE81171510486A . 247808 . . [5.1.2600.5625] . . c:\windows\system32\mswsock.dll
[-] 2008-06-20 . 401BBBCD7A0116BF42BE81171510486A . 247808 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\mswsock.dll
[-] 2008-06-20 . 5265EA72F599CF8277A34780F6369B60 . 247808 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\mswsock.dll
[-] 2008-04-14 . CF7C16037A5905AA5A173813D14D5C4A . 247808 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\mswsock.dll
[-] 2004-08-04 . DB19E9D916B10319A17572B3E7E63FAC . 247808 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\mswsock.dll

[-] 2008-04-14 . 49897D67B04E62F8E59EB8B1C7DF7072 . 407040 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\netlogon.dll
[-] 2008-04-14 . 49897D67B04E62F8E59EB8B1C7DF7072 . 407040 . . [5.1.2600.5512] . . c:\windows\system32\netlogon.dll
[-] 2004-08-04 . 82777C1BE8E9F0B1574DAC5BC29C7D6F . 407040 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\netlogon.dll

[7] 2010-02-17 . 124F4EC97A7683D1A67B3AECFE258ABD . 2194176 . . [5.1.2600.5938] . . c:\windows\Driver Cache\i386\ntoskrnl.exe
[7] 2010-02-17 . 124F4EC97A7683D1A67B3AECFE258ABD . 2194176 . . [5.1.2600.5938] . . c:\windows\system32\dllcache\ntoskrnl.exe
[7] 2010-02-16 . 8A47EB27E99109826F8A54BB64BE8131 . 2194304 . . [5.1.2600.5938] . . c:\windows\$hf_mig$\KB979683\SP3QFE\ntoskrnl.exe
[-] 2009-12-09 . C25035B93BDF12E2CB89C6F5BF8B99F1 . 2193536 . . [5.1.2600.5913] . . c:\windows\$hf_mig$\KB977165\SP3QFE\ntoskrnl.exe
[-] 2009-12-09 . EB331E36934D9016B66CDF694954A8AF . 2193408 . . [5.1.2600.5913] . . c:\windows\$NtUninstallKB979683$\ntoskrnl.exe
[-] 2009-12-09 . EB331E36934D9016B66CDF694954A8AF . 2193408 . . [5.1.2600.5913] . . c:\windows\system32\ntoskrnl.exe
[-] 2009-08-05 . 5478469B21B53EFCA944412D2DE6ABCA . 2193408 . . [5.1.2600.5857] . . c:\windows\$NtUninstallKB977165$\ntoskrnl.exe
[-] 2009-08-04 . 3B75E61D1546C05A959EDFE11F1510D1 . 2193536 . . [5.1.2600.5857] . . c:\windows\$hf_mig$\KB971486\SP3QFE\ntoskrnl.exe
[-] 2009-02-10 . B0BF079AF000D97D8C043D1DFF08086D . 2193408 . . [5.1.2600.5755] . . c:\windows\$hf_mig$\KB956572\SP3QFE\ntoskrnl.exe
[-] 2009-02-09 . C667CA055AA4E24A0733061282276AA5 . 2193280 . . [5.1.2600.5755] . . c:\windows\$NtUninstallKB971486$\ntoskrnl.exe
[-] 2008-08-14 . A42CC3CFC02A7B2BAEC7B0D45808B257 . 2193408 . . [5.1.2600.5657] . . c:\windows\$hf_mig$\KB956841\SP3QFE\ntoskrnl.exe
[-] 2008-04-14 . 185F6C64734019E7E9F626E53CC37FB4 . 2193280 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ntoskrnl.exe
[-] 2004-08-04 . 3B72A63F230DFB276FC96A99173A81BE . 2185216 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ntoskrnl.exe

[-] 2008-04-14 . C008BBC88156E0EE109C7FF445CD9555 . 17408 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\powrprof.dll
[-] 2008-04-14 . C008BBC88156E0EE109C7FF445CD9555 . 17408 . . [6.00.2900.5512] . . c:\windows\system32\powrprof.dll
[-] 2004-08-04 . 0F81EB414DE1D77DD315F4A3D324BC1E . 17408 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\powrprof.dll

[-] 2008-04-14 . 879E802EF4EF2405014B170EA41E552B . 184832 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\scecli.dll
[-] 2008-04-14 . 879E802EF4EF2405014B170EA41E552B . 184832 . . [5.1.2600.5512] . . c:\windows\system32\scecli.dll
[-] 2004-08-04 . E95230A31F912E07B19F8335D4DFF110 . 183808 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\scecli.dll

[-] 2008-04-14 . 39FD0DD101277F7261C7D602462C9A95 . 5120 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\sfc.dll
[-] 2008-04-14 . 39FD0DD101277F7261C7D602462C9A95 . 5120 . . [5.1.2600.5512] . . c:\windows\system32\sfc.dll
[-] 2004-08-04 . FA7EE4A359AE09930904881982D22AB8 . 5120 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\sfc.dll

[-] 2008-04-14 . ED2D69CD4B0EBE37EFE11D4DC4ABC68F . 14336 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\svchost.exe
[-] 2008-04-14 . ED2D69CD4B0EBE37EFE11D4DC4ABC68F . 14336 . . [5.1.2600.5512] . . c:\windows\system32\svchost.exe
[-] 2004-08-04 . 5DE3E7B6F7624552F2F06664F110820D . 14336 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\svchost.exe

[-] 2008-04-14 . FEFA8CEBD17A788FDCB9A1C78311AFC3 . 249856 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tapisrv.dll
[-] 2008-04-14 . FEFA8CEBD17A788FDCB9A1C78311AFC3 . 249856 . . [5.1.2600.5512] . . c:\windows\system32\tapisrv.dll
[-] 2004-08-04 . 573EFF2DBCAFDA95587FBB9B71F88464 . 246272 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\tapisrv.dll

[-] 2008-12-09 . 54907DB28872A7A6D3EE2B4747A23828 . 579072 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\user32.dll
[-] 2008-04-14 . 54907DB28872A7A6D3EE2B4747A23828 . 579072 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll
[-] 2008-04-14 . 54907DB28872A7A6D3EE2B4747A23828 . 579072 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[-] 2004-08-04 . E0FF28447D1038DE106D1F2FDF851647 . 577536 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\user32.dll

[-] 2008-04-14 . A7EA40F680163808D96F89B4FF991876 . 26112 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\userinit.exe
[-] 2008-04-14 . A7EA40F680163808D96F89B4FF991876 . 26112 . . [5.1.2600.5512] . . c:\windows\system32\userinit.exe
[-] 2004-08-04 . 4CA695EC1EE4C7CF2144DFA00EA0E1F7 . 24576 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\userinit.exe

[-] 2008-04-14 . 1FA3C4B2D7E35176E65FB69AB597B0F0 . 82432 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ws2_32.dll
[-] 2008-04-14 . 1FA3C4B2D7E35176E65FB69AB597B0F0 . 82432 . . [5.1.2600.5512] . . c:\windows\system32\ws2_32.dll
[-] 2004-08-04 . A5163442377D3C305BBFF612F80047D7 . 82944 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ws2_32.dll

[-] 2008-04-14 . 064EC7FF5F58B928C3E119402977FA6D . 1035776 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 064EC7FF5F58B928C3E119402977FA6D . 1035776 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2004-08-04 . FA61A19050AE14BEC1A26DE82390DD65 . 1034240 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\explorer.exe

[-] 2008-04-14 . 4423787F4261EE43B7341429AF0CBB77 . 171520 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\srsvc.dll
[-] 2008-04-14 . 4423787F4261EE43B7341429AF0CBB77 . 171520 . . [5.1.2600.5512] . . c:\windows\system32\srsvc.dll
[-] 2004-08-04 . 0B1D7BF8EB2BC685D154CB925F3629CB . 171008 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\srsvc.dll

[-] 2008-04-14 . 3DBE0D011E911AADFB6ED17EDC525066 . 13824 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\wscntfy.exe
[-] 2008-04-14 . 3DBE0D011E911AADFB6ED17EDC525066 . 13824 . . [5.1.2600.5512] . . c:\windows\system32\wscntfy.exe
[-] 2004-08-04 . EDE207E8FFBCB3909C078DCB60E29044 . 13824 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\wscntfy.exe

[-] 2008-04-14 . 568DF6E220B431A92B57C4C3BD97870D . 129024 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\xmlprov.dll
[-] 2008-04-14 . 568DF6E220B431A92B57C4C3BD97870D . 129024 . . [5.1.2600.5512] . . c:\windows\system32\xmlprov.dll
[-] 2004-08-04 . DA44ACE43CCA958C7917D5115FC4DDEF . 129536 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\xmlprov.dll

[-] 2008-04-14 . A8CDC8DECE4735B86BBEF28460996C30 . 56320 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\eventlog.dll
[-] 2008-04-14 . A8CDC8DECE4735B86BBEF28460996C30 . 56320 . . [5.1.2600.5512] . . c:\windows\system32\eventlog.dll
[-] 2004-08-04 . BD18C87A4E1EA136C44D374296B981DC . 55808 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\eventlog.dll

[-] 2008-04-14 . 698F9583D1EB213B09F12DD5826A46E2 . 1571840 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\sfcfiles.dll
[-] 2008-04-14 . 698F9583D1EB213B09F12DD5826A46E2 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
[-] 2004-08-04 . 1DD4FC7EEE3A45257528A34FDF7BC689 . 1548288 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\sfcfiles.dll

[-] 2009-05-25 04:56 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2009-05-25 04:56 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
[-] 2004-08-04 . F40BC97996B8E53799EEF1D63996674B . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe

[-] 2008-04-14 . 70870E16BA3E1B4336C53F483D67FF25 . 59904 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\regsvc.dll
[-] 2008-04-14 . 70870E16BA3E1B4336C53F483D67FF25 . 59904 . . [5.1.2600.5512] . . c:\windows\system32\regsvc.dll
[-] 2004-08-04 . D1F735C4079E58D016C1AA2227C28F47 . 59904 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\regsvc.dll

[-] 2008-04-14 . 9C2C97DF8224061D9F7EE18BCA61B02E . 193536 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\schedsvc.dll
[-] 2008-04-14 . 9C2C97DF8224061D9F7EE18BCA61B02E . 193536 . . [5.1.2600.5512] . . c:\windows\system32\schedsvc.dll
[-] 2004-08-04 . C386259AFC206462679867D3ED464C1D . 192000 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\schedsvc.dll

[-] 2008-04-14 . 4424AE68E670D1270F5026E1AF417933 . 71680 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ssdpsrv.dll
[-] 2008-04-14 . 4424AE68E670D1270F5026E1AF417933 . 71680 . . [5.1.2600.5512] . . c:\windows\system32\ssdpsrv.dll
[-] 2004-08-04 . C6822E1A5DAFDC1F9CCF8CB7B455AB53 . 71680 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ssdpsrv.dll

[-] 2008-04-14 . 0F4DB70DCE17B9DC1A5D835B1A5EE469 . 296960 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\termsrv.dll
[-] 2008-04-14 . 0F4DB70DCE17B9DC1A5D835B1A5EE469 . 296960 . . [5.1.2600.5512] . . c:\windows\system32\termsrv.dll
[-] 2004-08-04 . 23DFF6DAA7565CC5802E057A6B9F585E . 296960 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\termsrv.dll

[-] 2008-04-14 . 27683D3EE8FCB7E620B25C8A84B329D6 . 172032 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\appmgmts.dll
[-] 2008-04-14 . 27683D3EE8FCB7E620B25C8A84B329D6 . 172032 . . [5.1.2600.5512] . . c:\windows\system32\appmgmts.dll
[-] 2004-08-04 . 2E131621557A6EF486FC86D738CBC8B6 . 172032 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\appmgmts.dll

[-] 2001-10-28 . EBD5CF43AD9526EAB9B2A15A54760EA9 . 11904 . . [5.1.2600.0] . . c:\windows\system32\drivers\acpiec.sys

[-] 2008-04-13 16:39 . 8BED39E3C35D6A489438B8141717A557 . 142592 . . [5.1.2601.3142] . . c:\windows\ServicePackFiles\i386\aec.sys
[-] 2008-04-13 16:39 . 8BED39E3C35D6A489438B8141717A557 . 142592 . . [5.1.2601.3142] . . c:\windows\system32\drivers\aec.sys
[-] 2004-08-04 00:39 . 841F385C6CFAF66B58FBD898722BB4F0 . 142464 . . [5.1.2601.2078] . . c:\windows\$NtServicePackUninstall$\aec.sys

[-] 2008-04-13 . 08FD04AA961BDC77FB983F328334E3D7 . 42368 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\agp440.sys
[-] 2008-04-13 . 08FD04AA961BDC77FB983F328334E3D7 . 42368 . . [5.1.2600.5512] . . c:\windows\system32\drivers\agp440.sys

[-] 2008-04-13 . 3BB22519A194418D5FEC05D800A19AD0 . 36608 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ip6fw.sys
[-] 2008-04-13 . 3BB22519A194418D5FEC05D800A19AD0 . 36608 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ip6fw.sys
[-] 2004-08-04 . 4448006B6BC60E6C027932CFC38D6855 . 29056 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ip6fw.sys

[-] 2008-04-14 02:20 . DAE8EC624824A8AD8660C2EF5F1ECE0B . 927504 . . [4.1.0.61] . . c:\windows\ServicePackFiles\i386\mfc40u.dll
[-] 2008-04-14 02:20 . DAE8EC624824A8AD8660C2EF5F1ECE0B . 927504 . . [4.1.0.61] . . c:\windows\system32\mfc40u.dll
[-] 2001-10-28 12:06 . 168C72C281EC3BE3201AC95F42A577CF . 924432 . . [4.1.6140] . . c:\windows\$NtServicePackUninstall$\mfc40u.dll

[-] 2008-04-14 . 1DCE231F3E55B71B66AA0B7B8FD9BD97 . 33792 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\msgsvc.dll
[-] 2008-04-14 . 1DCE231F3E55B71B66AA0B7B8FD9BD97 . 33792 . . [5.1.2600.5512] . . c:\windows\system32\msgsvc.dll
[-] 2004-08-04 . 0B572FBB16E7E10D7DAB749CD390017C . 33792 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\msgsvc.dll

[-] 2004-08-11 03:45 . A477391B7A8B0A0DAABADB17CF533A4B . 25088 . . [10.0.3790.3646] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}\MsPMSNSv.dll
[-] 2004-08-11 03:45 . A477391B7A8B0A0DAABADB17CF533A4B . 25088 . . [10.0.3790.3646] . . c:\windows\system32\MsPMSNSv.dll
[-] 2004-08-11 03:45 . A477391B7A8B0A0DAABADB17CF533A4B . 25088 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
[-] 2004-08-04 03:45 . 2E693831AF9D63784F96018CE4E41897 . 52736 . . [9.0.1.56] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}$BACKUP$\System\MsPMSNSv.dll

[7] 2010-02-16 . 1F54DE75A9C8EC46E9FB53C1890C9ED3 . 2071040 . . [5.1.2600.5938] . . c:\windows\Driver Cache\i386\ntkrnlpa.exe
[7] 2010-02-16 . 1F54DE75A9C8EC46E9FB53C1890C9ED3 . 2071040 . . [5.1.2600.5938] . . c:\windows\system32\dllcache\ntkrnlpa.exe
[7] 2010-02-16 . E94AC126E7ADFD40DC4E38D2E91236D8 . 2071168 . . [5.1.2600.5938] . . c:\windows\$hf_mig$\KB979683\SP3QFE\ntkrnlpa.exe
[-] 2009-12-09 . 7D45AF0A376A7EEE59B2A4BCDC304C9C . 2070400 . . [5.1.2600.5913] . . c:\windows\$hf_mig$\KB977165\SP3QFE\ntkrnlpa.exe
[-] 2009-12-09 . FA72BE44F0715BD88A37C77559ACB3B7 . 2070272 . . [5.1.2600.5913] . . c:\windows\$NtUninstallKB979683$\ntkrnlpa.exe
[-] 2009-12-09 . FA72BE44F0715BD88A37C77559ACB3B7 . 2070272 . . [5.1.2600.5913] . . c:\windows\system32\ntkrnlpa.exe
[-] 2009-08-05 . 6FEC1B436323CC29B3008D7C5BF2A10F . 2070400 . . [5.1.2600.5857] . . c:\windows\$hf_mig$\KB971486\SP3QFE\ntkrnlpa.exe
[-] 2009-08-04 . B7A8A8A3B9C2E259689140F5F8E46842 . 2070272 . . [5.1.2600.5857] . . c:\windows\$NtUninstallKB977165$\ntkrnlpa.exe
[-] 2009-02-10 . DBAD62B9A518249C1A1408CF3AB9064A . 2070272 . . [5.1.2600.5755] . . c:\windows\$NtUninstallKB971486$\ntkrnlpa.exe
[-] 2009-02-09 . FF7FE874B6DA494303EE3DD9B97AB007 . 2070400 . . [5.1.2600.5755] . . c:\windows\$hf_mig$\KB956572\SP3QFE\ntkrnlpa.exe
[-] 2008-08-14 . 586A93E0C23F6A1893F6706F36B22598 . 2070272 . . [5.1.2600.5657] . . c:\windows\$hf_mig$\KB956841\SP3QFE\ntkrnlpa.exe
[-] 2008-04-14 . F84054BFD1D688B901AD907499879BBD . 2070144 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ntkrnlpa.exe
[-] 2004-08-04 . C9BAE5544B8AA39454C50D8FF83AE5A8 . 2061056 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ntkrnlpa.exe

[-] 2008-04-14 02:20 . 209683D85036AAA4E4D8CA732FA51A2B . 437248 . . [5.1.2400.5512] . . c:\windows\ServicePackFiles\i386\ntmssvc.dll
[-] 2008-04-14 02:20 . 209683D85036AAA4E4D8CA732FA51A2B . 437248 . . [5.1.2400.5512] . . c:\windows\system32\ntmssvc.dll
[-] 2004-08-04 03:45 . BC0F28B3C2AB6ACDA3361721442E4CB7 . 437248 . . [5.1.2400.2180] . . c:\windows\$NtServicePackUninstall$\ntmssvc.dll

[-] 2008-04-14 . E3C0A6F5732C9E9B2BD2FD3D0AFCEB87 . 186368 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\upnphost.dll
[-] 2008-04-14 . E3C0A6F5732C9E9B2BD2FD3D0AFCEB87 . 186368 . . [5.1.2600.5512] . . c:\windows\system32\upnphost.dll
[-] 2004-08-04 . 6E7F6BAEA10965B2065585149DC5E7E6 . 185344 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\upnphost.dll

[-] 2008-04-14 . 24713AE49611471DF8924D5FF562883D . 367616 . . [5.3.2600.5512] . . c:\windows\ServicePackFiles\i386\dsound.dll
[-] 2008-04-14 . 24713AE49611471DF8924D5FF562883D . 367616 . . [5.3.2600.5512] . . c:\windows\system32\dsound.dll
[-] 2004-08-04 . 583C0FB31E40883676779E09587620FF . 367616 . . [5.3.2600.2180] . . c:\windows\$NtServicePackUninstall$\dsound.dll
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSPower"="SiSPower.dll" [2005-04-12 49152]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Windows Search.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^Usuario^Menu Iniciar^Programas^Inicializar^ERUNT AutoBackup.lnk]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2010-03-02 13:28 282792 ----a-w- c:\arquivos de programas\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-09-20 17:35 202024 ----a-w- c:\arquivos de programas\Arquivos comuns\Nero\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-06-11 20:31 5724184 ----a-w- c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SizeComplete Control]
2008-03-10 21:28 204800 ----a-w- c:\arquivos de programas\SizeComplete Control. Demo Version\SizeComplete.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 14:43 248040 ----a-w- c:\arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
2008-05-02 04:15 15872 ----a-w- c:\arquivos de programas\Unlocker\UnlockerAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"RichVideo"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Arquivos de programas\\Shareaza\\Shareaza.exe"=
"c:\\Arquivos de programas\\Soulseek\\slsk.exe"=
"c:\\Arquivos de programas\\DreaMule\\emule.exe"=
"c:\\Arquivos de programas\\Conference\\Conference.dll"=
"c:\\Arquivos de programas\\Mozilla Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\Arquivos comuns\\Nero\\Nero Web\\SetupX.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"99:TCP"= 99:TCP:Express Delegate TCP/IP Port

R0 pssnap;Paramount Software Snapshot Filter;c:\windows\system32\drivers\pssnap.sys [28/1/2010 15:12 15328]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [26/3/2010 11:45 135336]
R2 ReflectService;Macrium Reflect Image Mounting Service;c:\arquivos de programas\Macrium\Reflect\ReflectService.exe [28/1/2010 15:12 220128]
S3 gwiopm;gwiopm; [x]
S3 PSMounter;Macrium Reflect Image Explorer Service;c:\windows\system32\drivers\psmounter.sys [28/1/2010 15:12 32736]
.
Conteúdo da pasta 'Tarefas Agendadas'

2010-05-02 c:\windows\Tasks\GlaryInitialize.job
- c:\arquivos de programas\Glary Utilities\initialize.exe [2009-06-01 18:55]
.
.
------- Scan Suplementar -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = local
uSearchURL,(Default) = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java
FF - ProfilePath - c:\documents and settings\Usuario\Dados de aplicativos\Mozilla\Firefox\Profiles\h78tb9px.Glauber\
FF - prefs.js: browser.startup.homepage - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
FF - component: c:\documents and settings\Usuario\Dados de aplicativos\Mozilla\Firefox\Profiles\h78tb9px.Glauber\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll
FF - plugin: c:\arquivos de programas\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\arquivos de programas\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\arquivos de programas\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Rootkit scan 2010-05-01 22:34
Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Environment*]
"Licence0"="04F0D21-79D8-7A25-D702-433F"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"6140710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
"6140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'explorer.exe'(1208)
c:\windows\system32\WININET.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
.
------------------------ Outros Processos em Execução ------------------------
.
c:\arquivos de programas\Avira\AntiVir Desktop\avguard.exe
c:\arquivos de programas\Java\jre6\bin\jqs.exe
c:\arquivos de programas\Avira\AntiVir Desktop\avshadow.exe
c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Tempo para conclusão: 2010-05-01 22:39:36 - Máquina reiniciou
ComboFix-quarantined-files.txt 2010-05-02 01:39

Pré-execução: 9 pasta(s) 10.424.340.480 bytes disponíveis
Pós execução: 12 pasta(s) 10.361.962.496 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 56D46AFAE9AE57C054877DD08DA2F47E

*****************************************************************************
Alberto, após ter passado a ferramenta do Spyware Doctor Starter Edition senti que o Avira ficou estranho.
Começou a mostrar vários vírus repetidas vezes onde fui obrigado a deletar da quarentena. Depois acabei desativando a proteção residente enquanto o Spyware Doctor Starter Edition fazia a verificação.

Apareceu também nos drives C e D, um arquivo chamado autorun.inf que também o Avira identificou como vírus, porém esse ele não conseguiu deletar e nem o Spyware Doctor Starter Edition. Como faço para resover isso?

Eu deletei vários arquivos seguindo o tutorial do Spyware Doctor Starter Edition, inclusive o Combofix apareceu para ser deletado.

O Combofix após eu reiniciar o micro mexeu em algumas configurações do menu iniciar e também tornou o internet explorer como navegador padrão. Como eu uso o Firefox, já alterei imediatamente isto. Também apareceu um ícone do Internet Explorer no desktop que foi deletado.

Eu acabei desintalando por completo com o Revo Uninstaler aquele Firebird que aparecia no painel de controle e no menu iniciar.

Gostaria de saber como eu faço para deletar o arquivo gol.cmd já que ele não possuia nenhum desinstalador.

Fico no aguardo de sua análise.

Alberto,

Apenas para complementar está aparecendo agora sempre que abro meu computador no disco C ou Disco D
a seguinte mensagem do Avira:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Tentei deletar, mas não é possível de se fazer isso.

Fico no aguardo de sua ajuda.

Eu acabei desintalando por completo com o Revo Uninstaler aquele Firebird que aparecia no painel de controle e no menu iniciar.

Você encontra mais informações sobre este Firebird nos endereços abaixo:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
_____________________________

Você sabe porque esta porta abaixo está aberta? Você deseja fechá-la ou deixamos como está?

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"99:TCP"= 99:TCP:Express Delegate TCP/IP Port

_____________________________

Apareceu também nos drives C e D, um arquivo chamado autorun.inf que também o Avira identificou como vírus, porém esse ele não conseguiu deletar e nem o Spyware Doctor Starter Edition. Como faço para resover isso?

Siga, por gentileza, as dicas destes tutoriais:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
______________________________

Poste o log do Usbfix que estará em C:\UsbFix.txt em sua próxima resposta juntamente com um novo log do Hijackthis e nos diga como está o PC após estes procedimentos.

Ficamos no aguardo.

Alberto,

Você encontra mais informações sobre este Firebird nos endereços abaixo:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Com relação ao Firebird eu desintalei ele por completo já que o mesmo para mim não era necessário.

Você sabe porque esta porta abaixo está aberta? Você deseja fechá-la ou deixamos como está?

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"99:TCP"= 99:TCP:Express Delegate TCP/IP Port

Sinceramente não sei porque esta porta está aberta. Para maior segurança eu gostaria de fechá-la.

Poste o log do Usbfix que estará em C:\UsbFix.txt em sua próxima resposta juntamente com um novo log do Hijackthis e nos diga como está o PC após estes procedimentos.

Aqui está o log do UsbFix:


############################## | UsbFix V6.110 |

User : Usuario () # USER-8197FC7A06
Update on 29/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:07:48 | 2/5/2010
Website : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Contact : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

AMD Sempron(tm) Processor 2800+
Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 10.0.1.44 [ (!) Disabled | Updated ]

C:\ -> Disco fixo local # 19,53 Go (9,48 Go free) [Sistema] # NTFS
D:\ -> Disco fixo local # 17,76 Go (14,1 Go free) [Arquivos] # NTFS
E:\ -> Disco CD-ROM
G:\ -> Disco removível # 953,58 Mo (297 Mo free) [KINGSTON] # FAT

################## | Ficheiros # pastas infeciosos |

Supprimido ! C:\Recycler\S-1-5-21-329068152-484061587-682003330-1003
Supprimido ! D:\Recycler\S-1-5-21-329068152-484061587-682003330-1003

################## | Registro |

Supprimido ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimido ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |


################## | Listing |

[09/01/2002 15:50|--a------|0] C:\AUTOEXEC.BAT
[15/12/2009 17:35|--a------|210] C:\Boot.bak
[01/05/2010 22:27|-rahs----|281] C:\boot.ini
[28/10/2001 09:06|-rahs----|4952] C:\Bootfont.bin
[27/04/2010 11:09|--a------|465920] C:\Bras10.FDB
[03/08/2004 23:00|--a------|261856] C:\cmldr
[01/05/2010 22:39|--a------|46028] C:\ComboFix.txt
[09/01/2002 15:50|--a------|0] C:\CONFIG.SYS
[09/01/2002 15:50|-rahs----|0] C:\IO.SYS
[09/01/2002 15:50|-rahs----|0] C:\MSDOS.SYS
[03/08/2004 22:38|-rahs----|47564] C:\NTDETECT.COM
[21/10/2008 18:52|-rahs----|251696] C:\ntldr
[?|?|?] C:\pagefile.sys
[30/03/2010 19:35|--a------|26] C:\register.js
[21/11/2008 11:36|--a------|5707] C:\Relat¢rio de Desfragmenta‡Æo de Registro.html
[28/10/2008 16:05|--a------|162] C:\Setup.DIY
[21/10/2008 21:53|--a------|3824] C:\sysoc.inf
[02/05/2010 15:11|--a------|2077] C:\UsbFix.txt
[?|?|?] D:\pagefile.sys
[25/03/2010 17:06|--a------|33656667] G:\ivdf_fusebundle_nt_en.zip
[16/05/2009 09:52|--a------|149] G:\ie8_barra_menus_cima.reg
[16/05/2009 09:52|--a------|149] G:\ie8_barra_menus_baixo.reg
[23/04/2010 10:41|--a------|2123677] G:\Relat¢rio do Everest.htm
[23/04/2010 11:24|--a------|137428] G:\Belarc Advisor Current Profile.htm

################## | Vaccinação |

# C:\autorun.inf -> Autorun.inf criado por UsbFix (El Desaparecido).
# D:\autorun.inf -> Autorun.inf criado por UsbFix (El Desaparecido).
# G:\autorun.inf -> Autorun.inf criado por UsbFix (El Desaparecido).

################## | Upload |

Favor enviar o arquivo : C:\UsbFix_Upload_Me_USER-8197FC7A06.zip : [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Obrigado pela sua contribuição .

################## | ! Fim do relatório # UsbFix V6.110 ! |

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:14:44, on 3/5/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Arquivos de programas\Macrium\Reflect\ReflectService.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\Arquivos de programas\SizeComplete Control. Demo Version\SizeComplete.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKCU\..\Run: [SizeComplete Control] "C:\Arquivos de programas\SizeComplete Control. Demo Version\SizeComplete.exe"
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EFBA262-098C-43F3-88FA-BBAD71720638}: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EFBA262-098C-43F3-88FA-BBAD71720638}: NameServer = 208.67.220.220 208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - C:\Arquivos de programas\Macrium\Reflect\ReflectService.exe

--
End of file - 4437 bytes

Eu tentei usar a ferramenta Flash disinfector, mas a mesma não funcionou corretamente. O Avira toda hora acusava uma mensagem de malware neste arquivo. Tive que desabilitar o Avira junto com a proteção residente. E, agora o autorun.inf aparece no drive C, no drive D e no drive G dentro do PenDrive.
Quando tento entrar nessa pasta do autorun.inf o avira acusa vírus em todos os drives citados anteriormente.

O que eu devo fazer agora?

Eu tentei usar a ferramenta Flash disinfector, mas a mesma não funcionou corretamente. O Avira toda hora acusava uma mensagem de malware neste arquivo. Tive que desabilitar o Avira junto com a proteção residente. E, agora o autorun.inf aparece no drive C, no drive D e no drive G dentro do PenDrive.
Quando tento entrar nessa pasta do autorun.inf o avira acusa vírus em todos os drives citados anteriormente.

O que eu devo fazer agora?

Na realidade isto é um falso-positivo (um engano por parte do Avira), o que é muito comum quando se trata das ferramentas de remoção de malwares.

Para evitar este problema é só desativar a proteção residente do Avira enquanto se está usando o Flash Disinfector, e volte a ativar a proteção quando a limpeza tiver terminado.

Quanto a este autorun criado nos drives, você deve estar falando da vacina que estes programas indicados deixam nos drives para evitar novas contaminações.

Mas para termos mais certeza que está tudo bem, façamos o seguinte:

Desative temporariamente a proteção residente de seu antivírus para evitar conflitos e volte a ativá-la depois de cumprir todas as etapas abaixo:

* Faça o download do PenClean:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

● Descompacte o Penclean.zip usando um descompactor (como o Winrar ou Winzip, por exemplo).
● Conecte o seu pendrive ou outra mídia que estiver infectada (se você tiver um) no computador e siga as etapas abaixo:
● Execute o arquivo PenClean.exe, e marque a opção: Verificar unidade > clique seta voltada para baixo e escolha a opção Todas as unidades. Depois disto clique no botão: Verificar.
● Se algo for detectado, o programa vai pedir para reiniciar o computador. Marque a opção para reiniciar e aguarde.

● Será salvo um log em C:\PenClean\PenClean.txt
___________________________

Sinceramente não sei porque esta porta está aberta. Para maior segurança eu gostaria de fechá-la.

Selecione o texto abaixo destacado em vermelho e copie para o Bloco de notas. Salve-o no Desktop (área de trabalho) com o nome de CFScript.txt

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"99:TCP"=-

Arraste o CFScript.txt para o ComboFix conforme a imagem abaixo:

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

Se solicitado pressione "Enter" para iniciar o processo de remoção;

Não use o mouse nem o teclado quando o ComboFix estiver rodando.

Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.

Obs: Se o Combofix não reiniciar seu computador automaticamente, faça-o manualmente.
______________________________

Na sua próxima resposta, cole que estará em C:\ComboFix.txt, um novo log do HijackThis, o log que estará em C:\PenClean\PenClean.txt e nos diga se o Flash Disinfector foi bem sucedido com a desativação temporária da proteção do Avira e como está seu PC depois destes procedimentos.

Ficamos no aguardo.

Na sua próxima resposta, cole que estará em C:\ComboFix.txt, um novo log do HijackThis, o log que estará em C:\PenClean\PenClean.txt e nos diga se o Flash Disinfector foi bem sucedido com a desativação temporária da proteção do Avira e como está seu PC depois destes procedimentos.

ComboFix 10-05-02.03 - Usuario 03/05/2010 12:32:27.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.55.1046.18.991.570 [GMT -3:00]
Executando de: c:\documents and settings\Usuario\Desktop\ComboFix.exe
Comandos utilizados :: c:\documents and settings\Usuario\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((( Arquivos/Ficheiros criados de 2010-04-03 to 2010-05-03 ))))))))))))))))))))))))))))
.

2010-05-03 15:19 . 2010-05-03 15:19 -------- d-----w- C:\PenClean
2010-04-27 14:07 . 2002-08-09 14:00 123904 ----a-w- c:\windows\system32\midas.dll
2010-04-27 14:06 . 2010-04-27 14:07 -------- d-----w- C:\Guia Brasileirão 2010
2010-04-21 22:50 . 2010-04-21 22:50 -------- d-----w- c:\arquivos de programas\VDOWNLOADER
2010-04-20 22:59 . 2010-04-20 22:59 -------- d-----w- c:\windows\system32\wbem\Repository
2010-04-20 22:14 . 2010-04-20 22:14 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Java
2010-04-20 22:14 . 2010-04-20 22:14 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-17 03:38 . 2010-04-17 19:17 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Google Chrome Backup
2010-04-17 03:21 . 2010-04-06 08:12 114360 ----a-w- c:\documents and settings\Usuario\Dados de aplicativos\Mozilla\Firefox\Profiles\h78tb9px.Glauber\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll
2010-04-14 20:09 . 2010-05-03 15:32 -------- d-----w- c:\windows\system32\CatRoot2
2010-04-14 14:22 . 2010-04-14 14:22 -------- d-----w- c:\windows\system32\URTTEMP
2010-04-13 04:12 . 2010-04-17 19:17 -------- d-----w- c:\arquivos de programas\MSECACHE
2010-04-08 22:49 . 2009-09-06 07:10 128512 -c----w- c:\windows\system32\dllcache\ftpsvc2.dll
2010-04-08 22:47 . 2009-07-27 23:17 135168 -c----w- c:\windows\system32\dllcache\shsvcs.dll
2010-04-08 22:46 . 2009-05-21 18:48 268288 -c----w- c:\windows\system32\dllcache\httpext.dll
2010-04-08 22:44 . 2010-04-08 22:44 -------- d-----w- c:\arquivos de programas\Microsoft CAPICOM 2.1.0.2
2010-04-08 22:40 . 2004-04-26 03:39 53248 ----a-w- c:\windows\system32\SSUBTMR6.DLL
2010-04-08 03:48 . 2007-10-07 17:27 10752 ----a-w- c:\windows\system32\aamd532.dll

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-03 14:41 . 2008-10-26 03:58 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Skype
2010-05-03 04:23 . 2008-10-21 14:51 -------- d-----w- c:\arquivos de programas\CCleaner
2010-05-02 17:50 . 2009-02-04 01:32 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\TEMP
2010-05-01 20:30 . 2008-10-24 13:26 -------- d-----w- c:\arquivos de programas\Defraggler
2010-04-29 15:45 . 2008-11-16 01:16 -------- d-----w- c:\arquivos de programas\DreaMule
2010-04-27 15:27 . 2008-12-09 21:22 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware
2010-04-27 15:26 . 2009-05-18 04:48 5918776 ----a-w- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-04-20 22:14 . 2009-04-02 15:14 -------- d-----w- c:\arquivos de programas\Java
2010-04-17 22:30 . 2008-11-10 03:21 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Vso
2010-04-17 13:08 . 2008-10-24 13:44 -------- d-----r- c:\arquivos de programas\Skype
2010-04-14 14:56 . 2001-10-28 12:07 554090 ----a-w- c:\windows\system32\perfh016.dat
2010-04-14 14:56 . 2001-10-28 12:07 106198 ----a-w- c:\windows\system32\perfc016.dat
2010-04-09 02:24 . 2002-01-09 19:02 -------- d-----w- c:\arquivos de programas\Microsoft.NET
2010-04-08 22:50 . 2008-10-21 22:34 -------- d-----w- c:\arquivos de programas\MSXML 4.0
2010-03-30 03:46 . 2008-12-09 21:22 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-30 03:45 . 2008-12-09 21:22 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-26 14:49 . 2010-03-26 14:49 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Avira
2010-03-26 14:45 . 2010-03-26 14:45 -------- d-----w- c:\arquivos de programas\Avira
2010-03-26 14:45 . 2002-01-09 19:48 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Avira
2010-03-22 21:49 . 2010-03-22 21:49 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\Maximus
2010-03-22 14:26 . 2010-03-22 14:04 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\NCH Software
2010-03-22 14:26 . 2010-03-22 14:04 -------- d-----w- c:\arquivos de programas\NCH Software
2010-03-22 14:22 . 2010-03-22 14:02 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\NCH Swift Sound
2010-03-22 14:22 . 2010-03-22 14:02 -------- d-----w- c:\documents and settings\Usuario\Dados de aplicativos\NCH Swift Sound
2010-03-11 22:40 . 2009-08-24 13:53 258048 ------w- c:\windows\Setup1.exe
2010-03-11 22:40 . 2009-08-24 13:53 73216 ----a-w- c:\windows\ST6UNST.EXE
2010-03-10 06:16 . 2004-08-04 03:45 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-01 12:05 . 2010-03-26 14:45 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-02-25 06:17 . 2004-08-04 03:45 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-04 02:15 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 16:24 . 2009-04-30 20:59 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-02-12 04:34 . 2004-08-04 03:45 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-04 02:07 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-02-08 14:33 . 2010-02-08 14:33 43646 ----a-r- c:\documents and settings\Usuario\Dados de aplicativos\Microsoft\Installer\{AE3F60A0-11F7-4DE7-AD9D-3831096E14B5}\_783F41B03DEFB198D13F8F.exe
2010-02-08 14:33 . 2010-02-08 14:33 29926 ----a-r- c:\documents and settings\Usuario\Dados de aplicativos\Microsoft\Installer\{AE3F60A0-11F7-4DE7-AD9D-3831096E14B5}\_2ED31C7E60F2138CD4C3A1.exe
2010-02-08 14:33 . 2010-02-08 14:33 43646 ----a-r- c:\documents and settings\Usuario\Dados de aplicativos\Microsoft\Installer\{AE3F60A0-11F7-4DE7-AD9D-3831096E14B5}\_E66204B17C935A3FF02727.exe
2010-02-08 14:33 . 2010-02-08 14:33 43646 ----a-r- c:\documents and settings\Usuario\Dados de aplicativos\Microsoft\Installer\{AE3F60A0-11F7-4DE7-AD9D-3831096E14B5}\_D707CE1C009F1381803C2C.exe
2010-02-08 14:33 . 2010-02-08 14:33 43646 ----a-r- c:\documents and settings\Usuario\Dados de aplicativos\Microsoft\Installer\{AE3F60A0-11F7-4DE7-AD9D-3831096E14B5}\_21F3885A18D238E15AAE81.exe
2010-02-08 14:33 . 2010-02-08 14:33 109534 ----a-r- c:\documents and settings\Usuario\Dados de aplicativos\Microsoft\Installer\{AE3F60A0-11F7-4DE7-AD9D-3831096E14B5}\_6FEFF9B68218417F98F549.exe
2010-02-03 02:35 . 2010-02-03 02:35 503808 ----a-w- c:\documents and settings\Usuario\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-39c7c45f-n\msvcp71.dll
2010-02-03 02:35 . 2010-02-03 02:35 499712 ----a-w- c:\documents and settings\Usuario\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-39c7c45f-n\jmc.dll
2010-02-03 02:35 . 2010-02-03 02:35 348160 ----a-w- c:\documents and settings\Usuario\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-39c7c45f-n\msvcr71.dll
2010-02-03 02:35 . 2010-02-03 02:35 61440 ----a-w- c:\documents and settings\Usuario\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-7f93278e-n\decora-sse.dll
2010-02-03 02:35 . 2010-02-03 02:35 12800 ----a-w- c:\documents and settings\Usuario\Dados de aplicativos\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-7f93278e-n\decora-d3d.dll
2009-09-25 16:41 . 2009-09-25 16:41 1044480 ----a-w- c:\arquivos de programas\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41 200704 ----a-w- c:\arquivos de programas\mozilla firefox\plugins\ssldivx.dll
2009-11-18 19:07 . 2009-08-08 01:29 24223776 --sha-w- c:\windows\system32\drivers\fidbox.dat
.

------- Sigcheck -------

[-] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys
[-] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\system32\drivers\atapi.sys
[-] 2004-08-04 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys

[-] 2008-04-13 . B153AFFAC761E7F5FCFA822B9C4E97BC . 14336 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\asyncmac.sys
[-] 2008-04-13 . B153AFFAC761E7F5FCFA822B9C4E97BC . 14336 . . [5.1.2600.5512] . . c:\windows\system32\drivers\asyncmac.sys
[-] 2004-08-04 . 02000ABF34AF4C218C35D257024807D6 . 14336 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\asyncmac.sys

[-] 2001-10-28 . DA1F27D85E0D1525F6621372E7B685E9 . 4224 . . [5.1.2600.0] . . c:\windows\system32\dllcache\beep.sys
[-] 2001-10-28 . DA1F27D85E0D1525F6621372E7B685E9 . 4224 . . [5.1.2600.0] . . c:\windows\system32\drivers\beep.sys

[-] 2008-04-14 . D3D4832B494CBF9A87CF86D7517013CB . 25088 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\kbdclass.sys
[-] 2008-04-14 . D3D4832B494CBF9A87CF86D7517013CB . 25088 . . [5.1.2600.5512] . . c:\windows\system32\drivers\kbdclass.sys
[-] 2004-08-04 . 7FC1E330386610D5EB3E7C4C7893CA93 . 25088 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\kbdclass.sys

[-] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ndis.sys
[-] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ndis.sys
[-] 2004-08-04 . 558635D3AF1C7546D26067D5D9B6959E . 182912 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ndis.sys

[-] 2008-04-13 . 78A08DD6A8D65E697C18E1DB01C5CDCA . 574976 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ntfs.sys
[-] 2008-04-13 . 78A08DD6A8D65E697C18E1DB01C5CDCA . 574976 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ntfs.sys
[-] 2004-08-04 . B78BE402C3F63DD55521F73876951CDD . 574592 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ntfs.sys

[-] 2001-10-28 . 73C1E1F395918BC2C6DD67AF7591A3AD . 2944 . . [5.1.2600.0] . . c:\windows\system32\dllcache\null.sys
[-] 2001-10-28 . 73C1E1F395918BC2C6DD67AF7591A3AD . 2944 . . [5.1.2600.0] . . c:\windows\system32\drivers\null.sys

[-] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[-] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[-] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2004-08-04 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\tcpip.sys

[-] 2008-04-14 . 572AEDA840986672DA2BB9D4183E2AA9 . 77824 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\browser.dll
[-] 2008-04-14 . 572AEDA840986672DA2BB9D4183E2AA9 . 77824 . . [5.1.2600.5512] . . c:\windows\system32\browser.dll
[-] 2004-08-04 . B90D6814CF36244818E8B4F0A4AC6F84 . 77312 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\browser.dll

[-] 2008-04-14 . 9607142710D3B64AB7FCCE4BE4E30D37 . 13312 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\lsass.exe
[-] 2008-04-14 . 9607142710D3B64AB7FCCE4BE4E30D37 . 13312 . . [5.1.2600.5512] . . c:\windows\system32\lsass.exe
[-] 2004-08-04 . 35C6463B3C5F62D2B20C953B6E1538E9 . 13312 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\lsass.exe

[-] 2008-04-14 . B199C4F441DDAB10253ABC0AC4858BFF . 198144 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\netman.dll
[-] 2008-04-14 . B199C4F441DDAB10253ABC0AC4858BFF . 198144 . . [5.1.2600.5512] . . c:\windows\system32\netman.dll
[-] 2004-08-04 . BA900E1190BA4CCD70F218A23DEC89D1 . 198144 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\netman.dll

[-] 2008-04-14 . F0F5EEF8C4B0444E6E4D8E09F7A8F0A8 . 409088 . . [6.7.2600.5512] . . c:\windows\ServicePackFiles\i386\qmgr.dll
[-] 2008-04-14 . F0F5EEF8C4B0444E6E4D8E09F7A8F0A8 . 409088 . . [6.7.2600.5512] . . c:\windows\system32\qmgr.dll
[-] 2008-04-14 . F0F5EEF8C4B0444E6E4D8E09F7A8F0A8 . 409088 . . [6.7.2600.5512] . . c:\windows\system32\bits\qmgr.dll
[-] 2004-08-04 . C1AA680B70BD0771A0850E04C3E634A5 . 382464 . . [6.6.2600.2180] . . c:\windows\$NtServicePackUninstall$\qmgr.dll

[-] 2009-02-09 . B5AE6227853C4B6A723567A8DEF68F03 . 401408 . . [5.1.2600.5755] . . c:\windows\$hf_mig$\KB956572\SP3QFE\rpcss.dll
[-] 2009-02-09 . F3763E01E7536F7A6D0C6E392C603EC2 . 401408 . . [5.1.2600.5755] . . c:\windows\system32\rpcss.dll
[-] 2009-02-09 . F3763E01E7536F7A6D0C6E392C603EC2 . 401408 . . [5.1.2600.5755] . . c:\windows\system32\dllcache\rpcss.dll
[-] 2008-04-14 . E34A1B6160A90C7CB90BF2EE8D6AD921 . 399360 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\rpcss.dll
[-] 2004-08-04 . 7461E79FD81D467A03CD35091D384D2B . 395776 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\rpcss.dll

[-] 2009-02-09 . C52DEB6D8CD4B096BF1A9EC001F36507 . 111104 . . [5.1.2600.5755] . . c:\windows\system32\services.exe
[-] 2009-02-09 . C52DEB6D8CD4B096BF1A9EC001F36507 . 111104 . . [5.1.2600.5755] . . c:\windows\system32\dllcache\services.exe
[-] 2009-02-09 . 38867483E0CB504BB8F277E05729881E . 111104 . . [5.1.2600.5755] . . c:\windows\$hf_mig$\KB956572\SP3QFE\services.exe
[-] 2008-04-14 . EE7999BAACA84CFAA03726E677EE2A33 . 109056 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\services.exe
[-] 2004-08-04 . CC73C4430C2FC27FDE16A0A4E3678148 . 108544 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\services.exe

[-] 2008-04-14 . AF1D9AE15C11163F576DF6ED6194B53C . 57856 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\spoolsv.exe
[-] 2008-04-14 . AF1D9AE15C11163F576DF6ED6194B53C . 57856 . . [5.1.2600.5512] . . c:\windows\system32\spoolsv.exe
[-] 2004-08-04 . 3971289FA7072812CAF4D053BBC6352B . 57856 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\spoolsv.exe

[-] 2008-04-14 . 71D440F79B711627B12B567FB2EADB42 . 509952 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2008-04-14 . 71D440F79B711627B12B567FB2EADB42 . 509952 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[-] 2004-08-04 . 6F7BDE7A1126DEBF0CC359A54953EFC1 . 504320 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\winlogon.exe

[-] 2008-04-14 . 085C5892D9C1E19B3CEFD1B79F5BBF13 . 617472 . . [5.82] . . c:\windows\ServicePackFiles\i386\comctl32.dll
[-] 2008-04-14 . 085C5892D9C1E19B3CEFD1B79F5BBF13 . 617472 . . [5.82] . . c:\windows\system32\comctl32.dll
[-] 2008-04-14 . 085C5892D9C1E19B3CEFD1B79F5BBF13 . 617472 . . [5.82] . . c:\windows\system32\dllcache\comctl32.dll
[-] 2004-08-04 . 021631D9D0729D9E52300CCEACE4F054 . 611328 . . [5.82] . . c:\windows\$NtServicePackUninstall$\comctl32.dll

[-] 2008-04-14 . 554798AAD881736DFC4D08C572DECD7A . 62464 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\cryptsvc.dll
[-] 2008-04-14 . 554798AAD881736DFC4D08C572DECD7A . 62464 . . [5.1.2600.5512] . . c:\windows\system32\cryptsvc.dll
[-] 2004-08-04 . 7836E32505D817311E8F8384A18C1128 . 60416 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\cryptsvc.dll

[-] 2008-07-07 20:28 . B024AB8B7692D47C8176BE92AB36D316 . 253952 . . [2001.12.4414.706] . . c:\windows\system32\es.dll
[-] 2008-07-07 20:28 . B024AB8B7692D47C8176BE92AB36D316 . 253952 . . [2001.12.4414.706] . . c:\windows\system32\dllcache\es.dll
[-] 2008-07-07 20:25 . 58586EB44E6FD9A711943647C8451741 . 253952 . . [2001.12.4414.706] . . c:\windows\$hf_mig$\KB950974\SP3QFE\es.dll
[-] 2008-04-14 02:20 . 957E7822860EB8E5CD9EDB7BA04B7E65 . 246272 . . [2001.12.4414.701] . . c:\windows\ServicePackFiles\i386\es.dll
[-] 2004-08-04 03:45 . 74C397E17E946D61012C301186C84124 . 243200 . . [2001.12.4414.258] . . c:\windows\$NtServicePackUninstall$\es.dll

[-] 2008-04-14 . 05C621EAA979D33A12F3B510FF4C6F9F . 110080 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\imm32.dll
[-] 2008-04-14 . 05C621EAA979D33A12F3B510FF4C6F9F . 110080 . . [5.1.2600.5512] . . c:\windows\system32\imm32.dll
[-] 2004-08-04 . 602B88592E0690D0DFB5E5F44A9EF820 . 110080 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\imm32.dll

[-] 2009-03-21 . 6A5A13A014F72F3C8E8A23B662C9DAF1 . 1028608 . . [5.1.2600.5781] . . c:\windows\system32\kernel32.dll
[-] 2009-03-21 . 6A5A13A014F72F3C8E8A23B662C9DAF1 . 1028608 . . [5.1.2600.5781] . . c:\windows\system32\dllcache\kernel32.dll
[-] 2009-03-21 . 03DA51CE83B0D693A10C91B139BBD221 . 1030656 . . [5.1.2600.5781] . . c:\windows\$hf_mig$\KB959426\SP3QFE\kernel32.dll
[-] 2008-04-14 . 68ECDAD8AE2768DE61C20C41A28CC0B0 . 1028608 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\kernel32.dll
[-] 2004-08-04 . AD72A244955E89EBBB8FABF02F8041C6 . 1022464 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\kernel32.dll

[-] 2008-04-14 . 1E47527C69E79ECC13326BFB2E178394 . 19968 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\linkinfo.dll
[-] 2008-04-14 . 1E47527C69E79ECC13326BFB2E178394 . 19968 . . [5.1.2600.5512] . . c:\windows\system32\linkinfo.dll
[-] 2004-08-04 . E9B587DBAE9F212A394618CE06013EAF . 18944 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\linkinfo.dll

[-] 2008-04-14 . 5F6337EAC9EA401AA0F9040CB6F16C80 . 22016 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\lpk.dll
[-] 2008-04-14 . 5F6337EAC9EA401AA0F9040CB6F16C80 . 22016 . . [5.1.2600.5512] . . c:\windows\system32\lpk.dll
[-] 2004-08-04 . CFFC7F8E8F898BE4561887EF301F8BF3 . 22016 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\lpk.dll

[-] 2008-04-14 . 63C2A8E1E33C8C714F11C91400F291E0 . 343040 . . [7.0.2600.5512] . . c:\windows\ServicePackFiles\i386\msvcrt.dll
[-] 2008-04-14 . 63C2A8E1E33C8C714F11C91400F291E0 . 343040 . . [7.0.2600.5512] . . c:\windows\system32\msvcrt.dll
[-] 2004-08-04 . FD5A817258E47E54F4CF8F5E071D1DD8 . 343040 . . [7.0.2600.2180] . . c:\windows\$NtServicePackUninstall$\msvcrt.dll

[-] 2008-06-20 . 401BBBCD7A0116BF42BE81171510486A . 247808 . . [5.1.2600.5625] . . c:\windows\system32\mswsock.dll
[-] 2008-06-20 . 401BBBCD7A0116BF42BE81171510486A . 247808 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\mswsock.dll
[-] 2008-06-20 . 5265EA72F599CF8277A34780F6369B60 . 247808 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\mswsock.dll
[-] 2008-04-14 . CF7C16037A5905AA5A173813D14D5C4A . 247808 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\mswsock.dll
[-] 2004-08-04 . DB19E9D916B10319A17572B3E7E63FAC . 247808 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\mswsock.dll

[-] 2008-04-14 . 49897D67B04E62F8E59EB8B1C7DF7072 . 407040 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\netlogon.dll
[-] 2008-04-14 . 49897D67B04E62F8E59EB8B1C7DF7072 . 407040 . . [5.1.2600.5512] . . c:\windows\system32\netlogon.dll
[-] 2004-08-04 . 82777C1BE8E9F0B1574DAC5BC29C7D6F . 407040 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\netlogon.dll

[7] 2010-02-17 . 124F4EC97A7683D1A67B3AECFE258ABD . 2194176 . . [5.1.2600.5938] . . c:\windows\Driver Cache\i386\ntoskrnl.exe
[7] 2010-02-17 . 124F4EC97A7683D1A67B3AECFE258ABD . 2194176 . . [5.1.2600.5938] . . c:\windows\system32\dllcache\ntoskrnl.exe
[7] 2010-02-16 . 8A47EB27E99109826F8A54BB64BE8131 . 2194304 . . [5.1.2600.5938] . . c:\windows\$hf_mig$\KB979683\SP3QFE\ntoskrnl.exe
[-] 2009-12-09 . C25035B93BDF12E2CB89C6F5BF8B99F1 . 2193536 . . [5.1.2600.5913] . . c:\windows\$hf_mig$\KB977165\SP3QFE\ntoskrnl.exe
[-] 2009-12-09 . EB331E36934D9016B66CDF694954A8AF . 2193408 . . [5.1.2600.5913] . . c:\windows\$NtUninstallKB979683$\ntoskrnl.exe
[-] 2009-12-09 . EB331E36934D9016B66CDF694954A8AF . 2193408 . . [5.1.2600.5913] . . c:\windows\system32\ntoskrnl.exe
[-] 2009-08-05 . 5478469B21B53EFCA944412D2DE6ABCA . 2193408 . . [5.1.2600.5857] . . c:\windows\$NtUninstallKB977165$\ntoskrnl.exe
[-] 2009-08-04 . 3B75E61D1546C05A959EDFE11F1510D1 . 2193536 . . [5.1.2600.5857] . . c:\windows\$hf_mig$\KB971486\SP3QFE\ntoskrnl.exe
[-] 2009-02-10 . B0BF079AF000D97D8C043D1DFF08086D . 2193408 . . [5.1.2600.5755] . . c:\windows\$hf_mig$\KB956572\SP3QFE\ntoskrnl.exe
[-] 2009-02-09 . C667CA055AA4E24A0733061282276AA5 . 2193280 . . [5.1.2600.5755] . . c:\windows\$NtUninstallKB971486$\ntoskrnl.exe
[-] 2008-08-14 . A42CC3CFC02A7B2BAEC7B0D45808B257 . 2193408 . . [5.1.2600.5657] . . c:\windows\$hf_mig$\KB956841\SP3QFE\ntoskrnl.exe
[-] 2008-04-14 . 185F6C64734019E7E9F626E53CC37FB4 . 2193280 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ntoskrnl.exe
[-] 2004-08-04 . 3B72A63F230DFB276FC96A99173A81BE . 2185216 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ntoskrnl.exe

[-] 2008-04-14 . C008BBC88156E0EE109C7FF445CD9555 . 17408 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\powrprof.dll
[-] 2008-04-14 . C008BBC88156E0EE109C7FF445CD9555 . 17408 . . [6.00.2900.5512] . . c:\windows\system32\powrprof.dll
[-] 2004-08-04 . 0F81EB414DE1D77DD315F4A3D324BC1E . 17408 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\powrprof.dll

[-] 2008-04-14 . 879E802EF4EF2405014B170EA41E552B . 184832 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\scecli.dll
[-] 2008-04-14 . 879E802EF4EF2405014B170EA41E552B . 184832 . . [5.1.2600.5512] . . c:\windows\system32\scecli.dll
[-] 2004-08-04 . E95230A31F912E07B19F8335D4DFF110 . 183808 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\scecli.dll

[-] 2008-04-14 . 39FD0DD101277F7261C7D602462C9A95 . 5120 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\sfc.dll
[-] 2008-04-14 . 39FD0DD101277F7261C7D602462C9A95 . 5120 . . [5.1.2600.5512] . . c:\windows\system32\sfc.dll
[-] 2004-08-04 . FA7EE4A359AE09930904881982D22AB8 . 5120 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\sfc.dll

[-] 2008-04-14 . ED2D69CD4B0EBE37EFE11D4DC4ABC68F . 14336 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\svchost.exe
[-] 2008-04-14 . ED2D69CD4B0EBE37EFE11D4DC4ABC68F . 14336 . . [5.1.2600.5512] . . c:\windows\system32\svchost.exe
[-] 2004-08-04 . 5DE3E7B6F7624552F2F06664F110820D . 14336 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\svchost.exe

[-] 2008-04-14 . FEFA8CEBD17A788FDCB9A1C78311AFC3 . 249856 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tapisrv.dll
[-] 2008-04-14 . FEFA8CEBD17A788FDCB9A1C78311AFC3 . 249856 . . [5.1.2600.5512] . . c:\windows\system32\tapisrv.dll
[-] 2004-08-04 . 573EFF2DBCAFDA95587FBB9B71F88464 . 246272 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\tapisrv.dll

[-] 2008-12-09 . 54907DB28872A7A6D3EE2B4747A23828 . 579072 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\user32.dll
[-] 2008-04-14 . 54907DB28872A7A6D3EE2B4747A23828 . 579072 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll
[-] 2008-04-14 . 54907DB28872A7A6D3EE2B4747A23828 . 579072 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[-] 2004-08-04 . E0FF28447D1038DE106D1F2FDF851647 . 577536 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\user32.dll

[-] 2008-04-14 . A7EA40F680163808D96F89B4FF991876 . 26112 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\userinit.exe
[-] 2008-04-14 . A7EA40F680163808D96F89B4FF991876 . 26112 . . [5.1.2600.5512] . . c:\windows\system32\userinit.exe
[-] 2004-08-04 . 4CA695EC1EE4C7CF2144DFA00EA0E1F7 . 24576 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\userinit.exe

[-] 2008-04-14 . 1FA3C4B2D7E35176E65FB69AB597B0F0 . 82432 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ws2_32.dll
[-] 2008-04-14 . 1FA3C4B2D7E35176E65FB69AB597B0F0 . 82432 . . [5.1.2600.5512] . . c:\windows\system32\ws2_32.dll
[-] 2004-08-04 . A5163442377D3C305BBFF612F80047D7 . 82944 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ws2_32.dll

[-] 2008-04-14 . 064EC7FF5F58B928C3E119402977FA6D . 1035776 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-04-14 . 064EC7FF5F58B928C3E119402977FA6D . 1035776 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2004-08-04 . FA61A19050AE14BEC1A26DE82390DD65 . 1034240 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\explorer.exe

[-] 2008-04-14 . 4423787F4261EE43B7341429AF0CBB77 . 171520 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\srsvc.dll
[-] 2008-04-14 . 4423787F4261EE43B7341429AF0CBB77 . 171520 . . [5.1.2600.5512] . . c:\windows\system32\srsvc.dll
[-] 2004-08-04 . 0B1D7BF8EB2BC685D154CB925F3629CB . 171008 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\srsvc.dll

[-] 2008-04-14 . 3DBE0D011E911AADFB6ED17EDC525066 . 13824 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\wscntfy.exe
[-] 2008-04-14 . 3DBE0D011E911AADFB6ED17EDC525066 . 13824 . . [5.1.2600.5512] . . c:\windows\system32\wscntfy.exe
[-] 2004-08-04 . EDE207E8FFBCB3909C078DCB60E29044 . 13824 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\wscntfy.exe

[-] 2008-04-14 . 568DF6E220B431A92B57C4C3BD97870D . 129024 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\xmlprov.dll
[-] 2008-04-14 . 568DF6E220B431A92B57C4C3BD97870D . 129024 . . [5.1.2600.5512] . . c:\windows\system32\xmlprov.dll
[-] 2004-08-04 . DA44ACE43CCA958C7917D5115FC4DDEF . 129536 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\xmlprov.dll

[-] 2008-04-14 . A8CDC8DECE4735B86BBEF28460996C30 . 56320 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\eventlog.dll
[-] 2008-04-14 . A8CDC8DECE4735B86BBEF28460996C30 . 56320 . . [5.1.2600.5512] . . c:\windows\system32\eventlog.dll
[-] 2004-08-04 . BD18C87A4E1EA136C44D374296B981DC . 55808 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\eventlog.dll

[-] 2008-04-14 . 698F9583D1EB213B09F12DD5826A46E2 . 1571840 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\sfcfiles.dll
[-] 2008-04-14 . 698F9583D1EB213B09F12DD5826A46E2 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
[-] 2004-08-04 . 1DD4FC7EEE3A45257528A34FDF7BC689 . 1548288 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\sfcfiles.dll

[-] 2009-05-25 04:56 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2009-05-25 04:56 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe
[-] 2004-08-04 . F40BC97996B8E53799EEF1D63996674B . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe

[-] 2008-04-14 . 70870E16BA3E1B4336C53F483D67FF25 . 59904 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\regsvc.dll
[-] 2008-04-14 . 70870E16BA3E1B4336C53F483D67FF25 . 59904 . . [5.1.2600.5512] . . c:\windows\system32\regsvc.dll
[-] 2004-08-04 . D1F735C4079E58D016C1AA2227C28F47 . 59904 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\regsvc.dll

[-] 2008-04-14 . 9C2C97DF8224061D9F7EE18BCA61B02E . 193536 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\schedsvc.dll
[-] 2008-04-14 . 9C2C97DF8224061D9F7EE18BCA61B02E . 193536 . . [5.1.2600.5512] . . c:\windows\system32\schedsvc.dll
[-] 2004-08-04 . C386259AFC206462679867D3ED464C1D . 192000 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\schedsvc.dll

[-] 2008-04-14 . 4424AE68E670D1270F5026E1AF417933 . 71680 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ssdpsrv.dll
[-] 2008-04-14 . 4424AE68E670D1270F5026E1AF417933 . 71680 . . [5.1.2600.5512] . . c:\windows\system32\ssdpsrv.dll
[-] 2004-08-04 . C6822E1A5DAFDC1F9CCF8CB7B455AB53 . 71680 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ssdpsrv.dll

[-] 2008-04-14 . 0F4DB70DCE17B9DC1A5D835B1A5EE469 . 296960 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\termsrv.dll
[-] 2008-04-14 . 0F4DB70DCE17B9DC1A5D835B1A5EE469 . 296960 . . [5.1.2600.5512] . . c:\windows\system32\termsrv.dll
[-] 2004-08-04 . 23DFF6DAA7565CC5802E057A6B9F585E . 296960 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\termsrv.dll

[-] 2008-04-14 . 27683D3EE8FCB7E620B25C8A84B329D6 . 172032 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\appmgmts.dll
[-] 2008-04-14 . 27683D3EE8FCB7E620B25C8A84B329D6 . 172032 . . [5.1.2600.5512] . . c:\windows\system32\appmgmts.dll
[-] 2004-08-04 . 2E131621557A6EF486FC86D738CBC8B6 . 172032 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\appmgmts.dll

[-] 2001-10-28 . EBD5CF43AD9526EAB9B2A15A54760EA9 . 11904 . . [5.1.2600.0] . . c:\windows\system32\drivers\acpiec.sys

[-] 2008-04-13 16:39 . 8BED39E3C35D6A489438B8141717A557 . 142592 . . [5.1.2601.3142] . . c:\windows\ServicePackFiles\i386\aec.sys
[-] 2008-04-13 16:39 . 8BED39E3C35D6A489438B8141717A557 . 142592 . . [5.1.2601.3142] . . c:\windows\system32\drivers\aec.sys
[-] 2004-08-04 00:39 . 841F385C6CFAF66B58FBD898722BB4F0 . 142464 . . [5.1.2601.2078] . . c:\windows\$NtServicePackUninstall$\aec.sys

[-] 2008-04-13 . 08FD04AA961BDC77FB983F328334E3D7 . 42368 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\agp440.sys
[-] 2008-04-13 . 08FD04AA961BDC77FB983F328334E3D7 . 42368 . . [5.1.2600.5512] . . c:\windows\system32\drivers\agp440.sys

[-] 2008-04-13 . 3BB22519A194418D5FEC05D800A19AD0 . 36608 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ip6fw.sys
[-] 2008-04-13 . 3BB22519A194418D5FEC05D800A19AD0 . 36608 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ip6fw.sys
[-] 2004-08-04 . 4448006B6BC60E6C027932CFC38D6855 . 29056 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ip6fw.sys

[-] 2008-04-14 02:20 . DAE8EC624824A8AD8660C2EF5F1ECE0B . 927504 . . [4.1.0.61] . . c:\windows\ServicePackFiles\i386\mfc40u.dll
[-] 2008-04-14 02:20 . DAE8EC624824A8AD8660C2EF5F1ECE0B . 927504 . . [4.1.0.61] . . c:\windows\system32\mfc40u.dll
[-] 2001-10-28 12:06 . 168C72C281EC3BE3201AC95F42A577CF . 924432 . . [4.1.6140] . . c:\windows\$NtServicePackUninstall$\mfc40u.dll

[-] 2008-04-14 . 1DCE231F3E55B71B66AA0B7B8FD9BD97 . 33792 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\msgsvc.dll
[-] 2008-04-14 . 1DCE231F3E55B71B66AA0B7B8FD9BD97 . 33792 . . [5.1.2600.5512] . . c:\windows\system32\msgsvc.dll
[-] 2004-08-04 . 0B572FBB16E7E10D7DAB749CD390017C . 33792 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\msgsvc.dll

[-] 2004-08-11 03:45 . A477391B7A8B0A0DAABADB17CF533A4B . 25088 . . [10.0.3790.3646] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}\MsPMSNSv.dll
[-] 2004-08-11 03:45 . A477391B7A8B0A0DAABADB17CF533A4B . 25088 . . [10.0.3790.3646] . . c:\windows\system32\MsPMSNSv.dll
[-] 2004-08-11 03:45 . A477391B7A8B0A0DAABADB17CF533A4B . 25088 . . [10.0.3790.3646] . . c:\windows\system32\dllcache\mspmsnsv.dll
[-] 2004-08-04 03:45 . 2E693831AF9D63784F96018CE4E41897 . 52736 . . [9.0.1.56] . . c:\windows\RegisteredPackages\{30C7234B-6482-4A55-A11D-ECD9030313F2}$BACKUP$\System\MsPMSNSv.dll

[7] 2010-02-16 . 1F54DE75A9C8EC46E9FB53C1890C9ED3 . 2071040 . . [5.1.2600.5938] . . c:\windows\Driver Cache\i386\ntkrnlpa.exe
[7] 2010-02-16 . 1F54DE75A9C8EC46E9FB53C1890C9ED3 . 2071040 . . [5.1.2600.5938] . . c:\windows\system32\dllcache\ntkrnlpa.exe
[7] 2010-02-16 . E94AC126E7ADFD40DC4E38D2E91236D8 . 2071168 . . [5.1.2600.5938] . . c:\windows\$hf_mig$\KB979683\SP3QFE\ntkrnlpa.exe
[-] 2009-12-09 . 7D45AF0A376A7EEE59B2A4BCDC304C9C . 2070400 . . [5.1.2600.5913] . . c:\windows\$hf_mig$\KB977165\SP3QFE\ntkrnlpa.exe
[-] 2009-12-09 . FA72BE44F0715BD88A37C77559ACB3B7 . 2070272 . . [5.1.2600.5913] . . c:\windows\$NtUninstallKB979683$\ntkrnlpa.exe
[-] 2009-12-09 . FA72BE44F0715BD88A37C77559ACB3B7 . 2070272 . . [5.1.2600.5913] . . c:\windows\system32\ntkrnlpa.exe
[-] 2009-08-05 . 6FEC1B436323CC29B3008D7C5BF2A10F . 2070400 . . [5.1.2600.5857] . . c:\windows\$hf_mig$\KB971486\SP3QFE\ntkrnlpa.exe
[-] 2009-08-04 . B7A8A8A3B9C2E259689140F5F8E46842 . 2070272 . . [5.1.2600.5857] . . c:\windows\$NtUninstallKB977165$\ntkrnlpa.exe
[-] 2009-02-10 . DBAD62B9A518249C1A1408CF3AB9064A . 2070272 . . [5.1.2600.5755] . . c:\windows\$NtUninstallKB971486$\ntkrnlpa.exe
[-] 2009-02-09 . FF7FE874B6DA494303EE3DD9B97AB007 . 2070400 . . [5.1.2600.5755] . . c:\windows\$hf_mig$\KB956572\SP3QFE\ntkrnlpa.exe
[-] 2008-08-14 . 586A93E0C23F6A1893F6706F36B22598 . 2070272 . . [5.1.2600.5657] . . c:\windows\$hf_mig$\KB956841\SP3QFE\ntkrnlpa.exe
[-] 2008-04-14 . F84054BFD1D688B901AD907499879BBD . 2070144 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ntkrnlpa.exe
[-] 2004-08-04 . C9BAE5544B8AA39454C50D8FF83AE5A8 . 2061056 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ntkrnlpa.exe

[-] 2008-04-14 02:20 . 209683D85036AAA4E4D8CA732FA51A2B . 437248 . . [5.1.2400.5512] . . c:\windows\ServicePackFiles\i386\ntmssvc.dll
[-] 2008-04-14 02:20 . 209683D85036AAA4E4D8CA732FA51A2B . 437248 . . [5.1.2400.5512] . . c:\windows\system32\ntmssvc.dll
[-] 2004-08-04 03:45 . BC0F28B3C2AB6ACDA3361721442E4CB7 . 437248 . . [5.1.2400.2180] . . c:\windows\$NtServicePackUninstall$\ntmssvc.dll

[-] 2008-04-14 . E3C0A6F5732C9E9B2BD2FD3D0AFCEB87 . 186368 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\upnphost.dll
[-] 2008-04-14 . E3C0A6F5732C9E9B2BD2FD3D0AFCEB87 . 186368 . . [5.1.2600.5512] . . c:\windows\system32\upnphost.dll
[-] 2004-08-04 . 6E7F6BAEA10965B2065585149DC5E7E6 . 185344 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\upnphost.dll

[-] 2008-04-14 . 24713AE49611471DF8924D5FF562883D . 367616 . . [5.3.2600.5512] . . c:\windows\ServicePackFiles\i386\dsound.dll
[-] 2008-04-14 . 24713AE49611471DF8924D5FF562883D . 367616 . . [5.3.2600.5512] . . c:\windows\system32\dsound.dll
[-] 2004-08-04 . 583C0FB31E40883676779E09587620FF . 367616 . . [5.3.2600.2180] . . c:\windows\$NtServicePackUninstall$\dsound.dll
.
(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SizeComplete Control"="c:\arquivos de programas\SizeComplete Control. Demo Version\SizeComplete.exe" [2008-03-10 204800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSPower"="SiSPower.dll" [2005-04-12 49152]
"avgnt"="c:\arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Windows Search.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^Usuario^Menu Iniciar^Programas^Inicializar^ERUNT AutoBackup.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-09-20 17:35 202024 ----a-w- c:\arquivos de programas\Arquivos comuns\Nero\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-06-11 20:31 5724184 ----a-w- c:\arquivos de programas\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-02-18 14:43 248040 ----a-w- c:\arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
2010-03-09 02:52 15872 ----a-w- c:\arquivos de programas\Unlocker\UnlockerAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"RichVideo"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Arquivos de programas\\Shareaza\\Shareaza.exe"=
"c:\\Arquivos de programas\\Soulseek\\slsk.exe"=
"c:\\Arquivos de programas\\DreaMule\\emule.exe"=
"c:\\Arquivos de programas\\Conference\\Conference.dll"=
"c:\\Arquivos de programas\\Mozilla Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\Arquivos comuns\\Nero\\Nero Web\\SetupX.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Arquivos de programas\\Skype\\Phone\\Skype.exe"=

R0 pssnap;Paramount Software Snapshot Filter;c:\windows\system32\drivers\pssnap.sys [28/1/2010 15:12 15328]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [26/3/2010 11:45 135336]
R2 ReflectService;Macrium Reflect Image Mounting Service;c:\arquivos de programas\Macrium\Reflect\ReflectService.exe [28/1/2010 15:12 220128]
S3 gwiopm;gwiopm; [x]
S3 PSMounter;Macrium Reflect Image Explorer Service;c:\windows\system32\drivers\psmounter.sys [28/1/2010 15:12 32736]
.
Conteúdo da pasta 'Tarefas Agendadas'

2010-05-03 c:\windows\Tasks\GlaryInitialize.job
- c:\arquivos de programas\Glary Utilities\initialize.exe [2009-06-01 18:55]
.
.
------- Scan Suplementar -------
.
uInternet Settings,ProxyOverride = local
uSearchURL,(Default) = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {1EFBA262-098C-43F3-88FA-BBAD71720638} = 208.67.220.220 208.67.222.222
DPF: Microsoft XML Parser for Java
FF - ProfilePath - c:\documents and settings\Usuario\Dados de aplicativos\Mozilla\Firefox\Profiles\h78tb9px.Glauber\
FF - prefs.js: browser.startup.homepage - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
FF - component: c:\documents and settings\Usuario\Dados de aplicativos\Mozilla\Firefox\Profiles\h78tb9px.Glauber\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll
FF - plugin: c:\arquivos de programas\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\arquivos de programas\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\arquivos de programas\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\arquivos de programas\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\arquivos de programas\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\arquivos de programas\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\arquivos de programas\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Rootkit scan 2010-05-03 12:35
Windows 5.1.2600 Service Pack 3 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Environment*]
"Licence0"="04F0D21-79D8-7A25-D702-433F"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"6140710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
"6140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'explorer.exe'(1536)
c:\windows\system32\WININET.dll
c:\arquivos de programas\SizeComplete Control. Demo Version\szc_oph.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
.
Tempo para conclusão: 2010-05-03 12:38:06
ComboFix-quarantined-files.txt 2010-05-03 15:38

Pré-execução: 10 pasta(s) 10.067.914.752 bytes disponíveis
Pós execução: 12 pasta(s) 10.048.040.960 bytes disponíveis

WindowsXP-KB310994-SP2-Pro-BootDisk-PTG.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 413C511DB8C3020FD1EAF375A3C11978

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:44:24, on 3/5/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avshadow.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Arquivos de programas\Macrium\Reflect\ReflectService.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\Arquivos de programas\SizeComplete Control. Demo Version\SizeComplete.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Outlook Express\msimn.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKCU\..\Run: [SizeComplete Control] "C:\Arquivos de programas\SizeComplete Control. Demo Version\SizeComplete.exe"
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EFBA262-098C-43F3-88FA-BBAD71720638}: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EFBA262-098C-43F3-88FA-BBAD71720638}: NameServer = 208.67.220.220 208.67.222.222
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Macrium Reflect Image Mounting Service (ReflectService) - Unknown owner - C:\Arquivos de programas\Macrium\Reflect\ReflectService.exe

--
End of file - 4555 bytes

Iniciando relatório do PenClean 2.0.6-20090606
Por Renato Victor Mejias
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
3/5/2010 12:19:28
-----------------------------------------------------------
Malware não detectado no computador!

-----------------------------------------------------------
Fim da análise no computador.

-----------------------------------------------------------
Malware não detectado no computador!

-----------------------------------------------------------
Fim da análise no computador.

-----------------------------------------------------------
Removida Vacina do Computador!

Alberto,

Voltei a usar o Flash Desinfector sem a proteção residente do Avira. Achei que ele executou a ferramenta muito rapidamente, foi praticamente em 1 segundo. Mas, pelo que apareceu no relatório do Pen Clean parece que não tem nenhum malware.
Só que as pastas autorun.inf continuam aparecendo em todos os drives (C,D,E,F,G).
Teria como deletar estas pastas definitivamente do meu computador, já que antes elas não apareciam. Eu dei uma pesquisada em outro fórum chamado linha defensiva e queria te consultar a respeito disto:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Outra dúvida é com relação a remoção de todas estas ferramentas e pastas que foram criadas no drive C.
No caso, o Flash Desinfector, o Pen Clean e o Combofix. Além disso, foram criadas várias pastas no drive C que se não me engano fazem parte do Combofix e do Console de inicialização da Microsoft que são Qoobox, cmdcons e cmldr.
Tem uma outra pasta que aparece no drive C que se chama iepv. Posso deletá-la?

Aguardo seu retorno.

Voltei a usar o Flash Desinfector sem a proteção residente do Avira. Achei que ele executou a ferramenta muito rapidamente, foi praticamente em 1 segundo.

É assim mesmo, ele é bem rápido realmente.
______________________________

Mas, pelo que apareceu no relatório do Pen Clean parece que não tem nenhum malware.

Realmente o log do Penclean está limpo.
______________________________

Só que as pastas autorun.inf continuam aparecendo em todos os drives (C,D,E,F,G).
Teria como deletar estas pastas definitivamente do meu computador, já que antes elas não apareciam. Eu dei uma pesquisada em outro fórum chamado linha defensiva e queria te consultar a respeito disto:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Veja neste site que você citou acima, o que diz o Renato Mejias:
Antes de prosseguirmos apenas gostaria de lhe informar que o Flash Desinfector cria essa pasta para proteger a unidade contra futuras infecções

Ou seja: Esta é uma vacina criada pelo Flash Disinfector que serve para evitar futuras contaminações de seu pendrive e outros drives por este tipo de malware. É muito importante deixar suas unidades vacinadas. Veja que o Usbfix, que é também outro ótimo programa, também vacina da mesma forma:

################## | Vaccinação |

# C:\autorun.inf -> Autorun.inf criado por UsbFix (El Desaparecido).
# D:\autorun.inf -> Autorun.inf criado por UsbFix (El Desaparecido).
# G:\autorun.inf -> Autorun.inf criado por UsbFix (El Desaparecido).

Veja no site abaixo que há outras informações importantes sobre o Flash Disinfector:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
______________________________

Outra dúvida é com relação a remoção de todas estas ferramentas e pastas que foram criadas no drive C.
No caso, o Flash Desinfector, o Pen Clean e o Combofix. Além disso, foram criadas várias pastas no drive C que se não me engano fazem parte do Combofix e do Console de inicialização da Microsoft que são Qoobox, cmdcons e cmldr.

Siga as dicas deste tutorial para fazer uma limpeza com o Tools Cleaner:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Como desinstalar o Combofix:

<@> Vá em Iniciar --> Executar --> Digite (ou copie e cole) Combofix /uninstall --> Clique OK.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

<@> Abrir-se-á a seguinte janela: ( Abrir arquivo - Aviso de Segurança )
<@> Clique em Executar --> Aguarde!
<@> Surgirá, finalmente,a mensagem: "ComboFix está desinstalado" --> Clique OK.
<@> Caso encontre, apague: C:\ComboFix <-- A pasta! + C:\ComboFix.txt <-- Relatório!
<@> Ou, vá em Iniciar --> Executar --> Digite ou cole:

"%userprofile%\desktop\combofix" /uninstall

<@> Clique OK.
_________________________________

Tem uma outra pasta que aparece no drive C que se chama iepv. Posso deletá-la?

Quais arquivos estão dentro desta pasta?
__________________________________

Instale estes programas e use-os agora e semanalmente para fazer uma limpeza do seu PC e para deixá-lo mais eficiente e otimizado:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Siga também as dicas deste tutorial:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
_______________________________

Depois disto nos diga como está seu PC.

Ficamos na espera.

Veja neste site que você citou acima, o que diz o Renato Mejias:
Antes de prosseguirmos apenas gostaria de lhe informar que o Flash Desinfector cria essa pasta para proteger a unidade contra futuras infecções
Ou seja: Esta é uma vacina criada pelo Flash Disinfector que serve para evitar futuras contaminações de seu pendrive e outros drives por este tipo de malware. É muito importante deixar suas unidades vacinadas. Veja que o Usbfix, que é também outro ótimo programa, também vacina da mesma forma:

################## | Vaccinação |

# C:\autorun.inf -> Autorun.inf criado por UsbFix (El Desaparecido).
# D:\autorun.inf -> Autorun.inf criado por UsbFix (El Desaparecido).
# G:\autorun.inf -> Autorun.inf criado por UsbFix (El Desaparecido).

O grande problema Alberto é que o Avira fica toda hora dizendo que estas pastas do autorun.inf estão com malware. Será que não seria melhor deletá-las de vez como o Renato Mejias explicou naquele tópico que te passei?

Tem uma outra pasta que aparece no drive C que se chama iepv. Posso deletá-la?
Quais arquivos estão dentro desta pasta?

Nesta pasta consta estes 4 arquivos que são:
iepv
iepv.cfg
iepv_sites
readme

Sobre aqueles programas que você citou, eu já tinha 3 deles instalados: CCleaner, MV RegClean
e o Spyware Blaster.
Só não tenho o Auslogics Disk Defrag. Tenho um outro que acredito ter a mesma função de desfragmentação de disco chamado defraggler que inclusive é da mesma empresa do CCleaner.
Eu tenho um outro programa instalado chamado Glary Utilities. É necessário manter ele no PC ou posso deletá-lo?

Sobre aquelas dicas de deixar o computador mais rápido, eu geralmente já faço isso pelo menos uma vez por mês.

Com relação ao computador ainda não senti muitas diferenças. Tem momentos que acho que ele fica estranho. Às vezes o mouse e o teclado não respondem e outra dúvida é com relação a uma das entradas usb que também não funciona. Já procurei no gerenciador de dispositivos e lá não tem nada de errado, mas quando vou conectar um pendrive ou mp3 não abre.

Aguardo seus comentários.

Olá!

Já que quer tanto remover este arquivo, por favor faça o seguinte:

Faça o download do [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e salve no seu desktop.

• Insira todas as unidades que foram vacinadas pelo PenClean ou pelo Flash Disinfector.
  
• Copie o programa para a raiz das unidades (Por exemplo: para o seu Disco Local (C:), copie o arquivo para a pasta C:\).
  
• Execute a ferramenta.
  
• Digite Y e tecle Enter para iniciar a ferramenta.
  
• Aguarde, pode demorar!
  
• Quando terminar, uma janela será aberta. Aperte qualquer tecla e o programa fechará. Além disso, um documento do bloco de notas abrirá. Poste o conteúdo deste documento na sua próxima resposta.
  
• Observação: Execute o programa em todos os seus discos locais e mídias removíveis que foram vacinadas e poste os respectivos logs.

Abraços

Olá LordEvil,

Eu acabei usando a ferramenta Avenger seguindo esses passos:

1. Faça o download do Avenger2 para o seu Desktop.

* Clique direito do mouse em Avenger.zip e escolha "Extrair tudo...", para que a pasta da ferramenta avenger seja extraida para o seu desktop

2. Copie (control + c) agora todo o texto que está dentro do "Quote":

QUOTE
Begin copying here:
Folders to delete:

C:\autorun.inf

Nota: O script acima foi elaborado especifícamente para esta infeção e computardor. Utilizá-lo em outro computador, poderá originar graves problemas.

3. Rode agora o Avenger, clicando no ícone que está no desktop.

* Clique direito do mouse na janela debaixo de Input script here:, e escolha colar ou (control + v).
* Clique em Execute
* Escolha "Yes" duas vezes, quando questionado.

4. O Avenger, automaticamente irá fazer o seguinte:

* Reiníciará o seu computador. (Nos casos em que existam "Drivers to delete", reiniciará duas vezes.)
* Durante o reinício, rapidamente abre uma janela preta (command window) no desktop, isso é normal.
* Após o reinicio, será gerado um log que abrirá com os resultados das ações efectuadas pelo Avenger. Este log pode ser encontrado em: C:\avenger.txt
* O Avenger também gera um backup (segurança) de todos os arquivos, etc., que eliminámos, zipa esse backup e move para C:\avenger\backup.zip.

5. Na sua próxima resposta e poste, o conteúdo do arquivo avenger.txt

Fiz isto em todas as unidades e consegui deletar a pasta.

Só queria saber se posso deletar essa pasta que se localiza no disco C:\iepv aqui também:

Nesta pasta consta estes 4 arquivos que são:
iepv
iepv.cfg
iepv_sites
readme

Fico no aguardo.

Olá!

Amigo, leia isto:

Olá LordEvil,

Eu acabei usando a ferramenta Avenger seguindo esses passos:

1. Faça o download do Avenger2 para o seu Desktop.

* Clique direito do mouse em Avenger.zip e escolha "Extrair tudo...", para que a pasta da ferramenta avenger seja extraida para o seu desktop

2. Copie (control + c) agora todo o texto que está dentro do "Quote":

QUOTE
Begin copying here:
Folders to delete:

C:\autorun.inf

Nota: O script acima foi elaborado especifícamente para esta infeção e computardor. Utilizá-lo em outro computador, poderá originar graves problemas.

3. Rode agora o Avenger, clicando no ícone que está no desktop.

* Clique direito do mouse na janela debaixo de Input script here:, e escolha colar ou (control + v).
* Clique em Execute
* Escolha "Yes" duas vezes, quando questionado.

4. O Avenger, automaticamente irá fazer o seguinte:

* Reiníciará o seu computador. (Nos casos em que existam "Drivers to delete", reiniciará duas vezes.)
* Durante o reinício, rapidamente abre uma janela preta (command window) no desktop, isso é normal.
* Após o reinicio, será gerado um log que abrirá com os resultados das ações efectuadas pelo Avenger. Este log pode ser encontrado em: C:\avenger.txt
* O Avenger também gera um backup (segurança) de todos os arquivos, etc., que eliminámos, zipa esse backup e move para C:\avenger\backup.zip.

5. Na sua próxima resposta e poste, o conteúdo do arquivo avenger.txt

Fiz isto em todas as unidades e consegui deletar a pasta.

Só queria saber se posso deletar essa pasta que se localiza no disco C:\iepv aqui também:

Nesta pasta consta estes 4 arquivos que são:
iepv
iepv.cfg
iepv_sites
readme

Fico no aguardo.

O Avenger é uma ferramenta poderosíssima que pode danificar seu computador se não o executar corretamente. Por favor, cheque se ainda existe o arquivo autorun.inf nas pastas fazendo o que eu disse no meu [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e me dê os resultados do arquivo que irá abrir assim que a ferramenta for executada (OBS: é 1 arquivo para cada execução. Poste todos)

Além disso, poste o log do The Avenger, localizado em C:\Avenger.txt

Abraços

Olá LordEvil,

Executei a ferramenta Autorun Cleaner by LordEvil.

Em todas as unidades apareceu o seguinte log:

Evil Softwares: autorun.inf cleaner

The file does not exist:
autorun.inf

Não tenho mais como postar o log do Avenger, pois após utilizá-lo usei aquela outra ferramenta recomendada pelo Alberto chamada Tolls Cleaner.

Veja o log dela:

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\avenger: trouvé !
C:\Documents and Settings\All Users\Menu Iniciar\Programas\Anti-Vírus e Anti-Spyware\HijackThis.exe: trouvé !
C:\Documents and Settings\All Users\Menu Iniciar\Programas\Anti-Vírus e Anti-Spyware\hijackthis.log: trouvé !
C:\Documents and Settings\Usuario\desktop\avenger.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Anti-Vírus e Anti-Spyware\HijackThis.exe: supprimé !
C:\Documents and Settings\Usuario\desktop\avenger.exe: supprimé !
C:\Documents and Settings\All Users\Menu Iniciar\Programas\Anti-Vírus e Anti-Spyware\hijackthis.log: supprimé !
C:\avenger: supprimé !

Eu queria saber se posso deletar essa outra pasta que aparece no disco C:

iepv

Dentro dela aparecem os seguintes arquivos:

iepv
iepv.cfg
iepv_sites
readme

Fico no aguardo.

Olá!

Desculpe-me a demora para responder a esta pergunta!

Faça o seguinte:

Abra o Bloco de Notas, copie (CTRL + C) e copie (CTRL + V) o texto que abaixo está no "CODE":

Código:

@echo off
dir /a c:\iepv > C:\DirLook.txt
notepad C:\DirLook.txt
del C:\DirLook.txt
del %0

• Escolha salvar como colocando em tipo de arquivo: todos os arquivos.
  
• Salve o arquivo com o nome DirLook.bat
  
• Ficará um ícone como este [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
  
• Duplo-clique em DirLook.bat e deixe o programa ser rodado. O icone deverá desaparecer do desktop.
  
• Poste o conteúdo da janela que abriu em sua próxima resposta.

Abraços