trojan que resiste à remoção

Prezados,

tenho tentado em vão deletar um trojan com o programa a-squared free, que ele detectou, denominado win32 spy.
sempre que termino a varredura e deleto, qdo faço nova varredura, ele aparece novamente. como posso resolver isto??

grato.

Oi San! Seja bem-vindo ao Fórum PC Seguro.

1) Crie uma pasta própria (como por exemplo C:/HijackThis).

Faça o download do [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e no momento de salvá-lo escolha a opção de salvá-lo nesta pasta que você acabou de criar e descompacte o hijackthis.zip dentro dela.

Após concluir o download, execute-o.

Clique no botão: Do a system scan and save a logfile. Depois será aberta uma tela com o log, então é só selecionar este Log (Clique no menu: Editar » Selecionar Tudo), depois disso volte novamente no menu: Editar » e clique na opção: Copiar).

Depois disso é só voltar aqui no fórum e postar este log do Hijackthis para que ele possa ser analizado.

Ficamos no aguardo de sua resposta.

Após realizadas as etapas indicadas, estou postando aqui os resultados (da janela do bloco de notas que se abriu, após a execução do hijackthis). Espero que eu tenha copiado corretamente:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:59:19, on 6/2/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Lavasoft\Ad-Aware\AAWService.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\a-squared Free\a2service.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Arquivos de programas\Comodo\Firewall\cmdagent.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Arquivos de programas\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe
C:\Arquivos de programas\Comodo\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\Arquivos de programas\ATnotes\ATnotes.exe
C:\Arquivos de programas\RALINK\Common\RaUI.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\hijacki\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Arquivos de programas\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Arquivos de programas\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [Ad-Watch] C:\Arquivos de programas\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ATnotes.exe] C:\Arquivos de programas\ATnotes\ATnotes.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Arquivos de programas\RALINK\Common\RaUI.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 - HKLM\System\CCS\Services\Tcpip\..\{44530A9D-D17B-4E78-ADEF-8D43E6A0A3FE}: NameServer = 200.187.80.5 200.187.80.6
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: GbPluginAbn - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Arquivos de programas\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Arquivos de programas\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Arquivos de programas\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

--
End of file - 8768 bytes

Abra o HijackThis, clique em Do a system scan only, marque a entrada abaixo e clique em Fix checked:

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
__________________________________________________________________________

Siga, por gentileza, as dicas deste tutorial para fazer uma limpeza de seu PC com o Malwarebytes:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
________________________________

Poste o log gerado pelo Malwarebytes Anti-Malware juntamente com um novo log do Hijackthis na sua próxima resposta e nos diga como está o seu computador depois de seguir este procedimento acima.

Ficamos no aguardo de sua resposta.

ok. realizarei as próximas indicações, e em breve posto os resultados.
obrigado.

só para complementar a informação, o trojan que o a squared free acusa chama-se
spy.win32.Banbra!IK. a localização que ele dá é a seguinte: C: Arquiv~\Gbplugin\Gbpsv.exe

Tudo bem, San. Estamos no aguardo.

Olá! Após realizar as ações recomendadas, e aguardar uns dias (no caso 3), aparentemente sem problemas, estou postando os novos logs.

hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:29:49, on 10/2/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\a-squared Free\a2service.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Arquivos de programas\Comodo\Firewall\cmdagent.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Arquivos de programas\Java\jre6\bin\jusched.exe
C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe
C:\Arquivos de programas\Comodo\Firewall\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe
C:\Arquivos de programas\ATnotes\ATnotes.exe
C:\Arquivos de programas\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\Arquivos de programas\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe
C:\hijacki\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Arquivos de programas\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Arquivos de programas\Comodo\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ATnotes.exe] C:\Arquivos de programas\ATnotes\ATnotes.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Arquivos de programas\RALINK\Common\RaUI.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O17 - HKLM\System\CCS\Services\Tcpip\..\{44530A9D-D17B-4E78-ADEF-8D43E6A0A3FE}: NameServer = 200.187.80.5 200.187.80.6
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: GbPluginAbn - C:\ARQUIV~1\GbPlugin\gbiehabn.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Arquivos de programas\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Arquivos de programas\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared files\RichVideo.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Arquivos de programas\Spyware Terminator\sp_rsser.exe

--
End of file - 8633 bytes


Malware antimalware:

Malwarebytes' Anti-Malware 1.33
Versão do banco de dados: 1736
Windows 5.1.2600 Service Pack 2

10/2/2009 14:20:59
mbam-log-2009-02-10 (14-20-59).txt

Tipo de Verificação: Completa (C:\|D:\|)
Objetos verificados: 106976
Tempo decorrido: 19 minute(s), 37 second(s)

Processos da Memória infectados: 0
Módulos de Memória Infectados: 0
Chaves do Registro infectadas: 0
Valores do Registro infectados: 0
Ítens do Registro infectados: 0
Pastas infectadas: 0
Arquivos infectados: 1

Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:
(Nenhum ítem malicioso foi detectado)

Chaves do Registro infectadas:
(Nenhum ítem malicioso foi detectado)

Valores do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Ítens do Registro infectados:
(Nenhum ítem malicioso foi detectado)

Pastas infectadas:
(Nenhum ítem malicioso foi detectado)

Arquivos infectados:
C:\System Volume Information\_restore{4257C4C8-30B9-4788-A553-00E0D7D01545}\RP190\A0094525.dll (Adware.AskSBAR) -> Quarantined and deleted successfully.

Foi removido um problema pelo Malwarebytes, mas quanto à questão de esperar, não precisa esperar não, pode postar o log na hora que você terminar o procedimento.

Siga, por gentileza, as dicas deste tutorial para fazer um escaneamento de seu PC pelo Nod32 Online:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Após o término do escaneamento será gerado um relatório (log) que estará no seguinte local do seu computador:
C:\Arquivos de programas\EsetOnlineScanner\log

Na sua próxima resposta poste este log do Nod32 Online juntamente com um novo log do Hijackthis e nos diga, por gentileza, como está o seu PC após seguir este procedimento.

Ficamos no aguardo de sua resposta.

Caro amigo,
após postar estes ultimos logs, executei novamente o primeiro programa no qual eu havia identificado trojan, o a squared. infelizmente, lá estava de novo o mesmo trojan detectado. percebi q tanto o antimalware quanto o a squared localizam-no numa pasta no arquivo de programas, denomidada GBplugin, q nao sei a qual programa se relaciona. ao tentar deleta-la manualmente, um dos arquivos impede a eliminaçao, um arquivo de nome abn.gpc (tipo arqivo GPC). o problema pode estar neste local? Observação que esqueci de dar: meu antivíros é o avira.

San escreveu:Caro amigo,
após postar estes ultimos logs, executei novamente o primeiro programa no qual eu havia identificado trojan, o a squared. infelizmente, lá estava de novo o mesmo trojan detectado. percebi q tanto o antimalware quanto o a squared localizam-no numa pasta no arquivo de programas, denomidada GBplugin, q nao sei a qual programa se relaciona. ao tentar deleta-la manualmente, um dos arquivos impede a eliminaçao, um arquivo de nome abn.gpc (tipo arqivo GPC). o problema pode estar neste local? Observação que esqueci de dar: meu antivíros é o avira.

Você costuma acessar bancos online? Este GBplugin é instalado nos sites de bancos para evitar fraudes em transações bancárias. Mas faça o procedimento com o Nod32 Online conforme dito na resposta anterior e poste o resultado para analizarmos.

Ficamos no aguardo.

procedi ao escaneamento pelo nod32 mas o mesmo nao detectou arquivo algum, dando apenas uma tela verde no final
informando a ausencia de arquivos infectados.

San escreveu:procedi ao escaneamento pelo nod32 mas o mesmo nao detectou arquivo algum, dando apenas uma tela verde no final
informando a ausencia de arquivos infectados.

Tudo bem, e como está o seu PC atualmente?

Bem, aparentemente nao estou tendo problemas. Houve um problema com ícones alterando-se mas acho q nao tem ligação.
nao tenho travamentos ou outro problema q pareça mais grave. executando o a squared novamente, após o nod32, reparei q ele
detecta o trojan no momento em que varre a memória. qdo um programa detecta e outro nao, como saber o qual está com a razão?
o tal squared continua apontando o mesmo nome, no mesmo lugar q citei, mas reparei q surge qdo ele verifica infecção na memória.
é isso, obrigado pelas ajudas q tem sido a mim dadas.

Em qual endereço exatamente fica este arquivo que o A-Squared aponta como sendo um problema?

Boa tarde prezado camarada Alberto.
pois bem. hoje, para levantar os dados completos da possível infecção,
atualizei o A Squared, e fiz o escaneamento. Quando ele inicia, em "analisando
a memória", a detecção e local sao os seguintes, respectivamente:
Trojan-SPy.Win32.Banbra!IK
Local: Processo: [1064] C:\ARQUIV~1\GbPlugin\GbpSv.exe

é isso.

Este arquivo que você citou é instalado ao se usar sites de Bancos online. Não é virus, é um dispositivo de segurança instalado por eles.

Neste caso foi um falso-positivo do A-Squared (um engano por parte dele). O A-Squared é um bom programa, mas costuma ter realmente muitos falso-positivos. Sugiro que você desinstale o A-Squared e use o Malwarebytes para um escaneamento semanal juntamente os outros antispywares que você já tem.
___________________________________________________________________________________________

Instale estes programas e use-os semanalmente para deixar seu computador mais eficiente e otimizado:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
___________________________________________________________________________________________

Se o seu Windows for original, baixe e instale o Service Pack 3 no site abaixo:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
___________________________________________________________________________________________

Há programas desnecessários iniciando junto com o Windows, o que torna o seu PC mais lento. Para corrigir isto, siga as dicas deste tutorial:

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

De preferência deixe apenas os programas de segurança (anti-vírus/anti-spywares/firewall) iniciarem junto com o Windows.

Use também o programa Ccleaner, indicado neste tutorial acima, para fazer uma limpeza e otimização do PC de tempos em tempos.
___________________________________________________________________________________________

Depois de seguir as dicas acima nos diga, por gentileza, como está o seu PC e se o problema foi resolvido. Ficamos no aguardo.

Boa tarde. Instalarei os programas sugeridos e farei as mudanças
relativas a inicialização dos programas com o windows. uma dúvida:
meu sistema de segurança é feito pelo spyware terminator (com proteção residente),
comodo 3.5 como firewall. e avira antivirus. devo troca-los ou podem funcionar com os programas sugeridos?
detalhe: estou permanentemente conectado na net.

Obrigado pela ajuda. em breve posto os resultados do desempenho da máquina após as mudanças.

San escreveu:Boa tarde. Instalarei os programas sugeridos e farei as mudanças
relativas a inicialização dos programas com o windows. uma dúvida:
meu sistema de segurança é feito pelo spyware terminator (com proteção residente),
comodo 3.5 como firewall. e avira antivirus. devo troca-los ou podem funcionar com os programas sugeridos?
detalhe: estou permanentemente conectado na net.

Obrigado pela ajuda. em breve posto os resultados do desempenho da máquina após as mudanças.

Pode continuar a usar os seus programas de segurança. Todos estes que te indiquei são compatíveis com eles.

Já tenho ccleaner; li o tutorial para inicialização de programas, e apesar de sugerir deixar apenas programas de segurança,
nao faz mençao a desabilitar outros, como por exemplo: system32; arquivos do monitor;java, entre outros que desconheço a funçao.
Há problema em desabilitar todos estes, deixando só antivirus, antispy e firewall? Considerando que minha net é via radio, e quando o windows inicia, a conexao já é feita.
obrigado.

San escreveu:Já tenho ccleaner; li o tutorial para inicialização de programas, e apesar de sugerir deixar apenas programas de segurança,
nao faz mençao a desabilitar outros, como por exemplo: system32; arquivos do monitor;java, entre outros que desconheço a funçao.
Há problema em desabilitar todos estes, deixando só antivirus, antispy e firewall? Considerando que minha net é via radio, e quando o windows inicia, a conexao já é feita.
obrigado.

Esta questão dos programas que se iniciam com o Windows é uma questão de preferência da pessoa, mas há alguns programas que estão iniciando com o seu Windows que são desnecessários, como estes abaixo:

[GrooveMonitor] "C:\Arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

[NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

Prezados, desculpem minha inconveniencia em ficar fazendo perguntas, mas é q algumas coisas me intrigam quando se trata
de pequenos detalhes no uso cotidiano do computador; depois destes ultimos dias, quando fui gentilmente orientado sobre a questao
da possível infecção, percebi que mudou por algum motivo certos ícones no meu windows explorer; nao sei se tem relação com a questão
anterior ou se foi alguma bobagem que fiz; tenho o hd particionado, e a unidade que corresponde à letra D:, nao está mais representada
pelo ícone costumeiro, mas pelo simbolo do internet explorer; e quando aberto no Meu computador, fica representada por aquela bandeirinha do windows (qdo nao está associado a nenhum programa). Já tentei mudar mas nao consigo, quando se trata da letra da unidade, nao tem a opção de escolher um novo ícone, como nas pastas. Além disto, certos programas que eram representados pelos ícones dos respectivos programas que lhes executam, como arquivos de música com o ícone do media player, tbm mudaram a aparencia, além de outros como arquivos do mozilla, de imagem, que agora ficam com a tal bandeirinha. O que pode ter ocorrido?

obrigado.

Vamos então fazer o escaneamento com este outro programa para vermos se resta algo de negativo em seu PC:

Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet:

*Desative temporariamente seu antivírus
*Baixe o programa do link abaixo e salve-o no desktop (área de trabalho):
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
*Feche o Internet Explorer e o Windows Explorer
* Dê um duplo-clique no arquivo Combofix.exe e aguarde o início
*Leia o contrato, tecle [1] > [ENTER]
*Importante: enquanto o ComboFix estiver em execução, não use o mouse nem o teclado, pois seu desktop ficará em branco!!
*Ao final do procedimento, o programa será fechado automaticamente e será mostrado um relatório
*Cole o relatório criado em C:\combofix.txt em sua próxima resposta e nos diga como está o PC depois disto.

Ficamos no aguardo.

Relatório Combofix

ComboFix 09-02-12.03 - Sandro 2009-02-14 8:35:31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.1919.1451 [GMT -3:00]
Executando de: c:\documents and settings\Sandro\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: COMODO Firewall *enabled*

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Sandro\Dados de aplicativos\inst.exe
D:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GBPSV
-------\Service_GbpSv


(((((((((((((((( Arquivos/Ficheiros criados de 2009-01-14 to 2009-02-14 ))))))))))))))))))))))))))))
.

2009-02-13 15:35 . 2009-02-13 16:33 <DIR> d-------- c:\arquivos de programas\SpywareBlaster
2009-02-13 14:57 . 2009-02-13 15:33 <DIR> d-------- c:\arquivos de programas\Marcos Velasco Security
2009-02-12 13:44 . 2003-08-11 15:30 45,056 --a------ c:\windows\system32\StatusBarXP.ocx
2009-02-10 15:43 . 2009-02-10 16:52 <DIR> d-------- c:\arquivos de programas\EsetOnlineScanner
2009-02-10 09:05 . 2009-02-10 09:05 <DIR> d-------- c:\windows\Options
2009-02-10 09:05 . 2009-02-10 09:05 <DIR> d-------- c:\arquivos de programas\D-Link CIF Webcam
2009-02-10 09:05 . 2003-04-09 11:17 227,200 --a------ c:\windows\system32\drivers\cccp106.sys
2009-02-10 09:05 . 2003-03-08 16:02 192,512 --a------ c:\windows\select2.exe
2009-02-10 09:05 . 2003-03-19 13:01 15,542 --a------ c:\windows\cccp106.ini
2009-02-10 09:05 . 2003-03-19 13:01 13,023 --a------ c:\windows\cccp106.src
2009-02-10 09:05 . 2003-04-09 16:27 307 --a------ c:\windows\DC2110a.ini
2009-02-06 18:30 . 2009-02-06 18:30 <DIR> d-------- c:\documents and settings\Sandro\Dados de aplicativos\Malwarebytes
2009-02-06 18:30 . 2009-02-06 18:30 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Malwarebytes
2009-02-06 18:30 . 2009-02-13 18:44 <DIR> d-------- c:\arquivos de programas\Malwarebytes' Anti-Malware
2009-02-06 18:30 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-06 18:30 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-06 14:55 . 2009-02-10 14:29 <DIR> d-------- C:\hijacki
2009-02-05 21:13 . 2009-02-10 14:24 <DIR> d-------- c:\documents and settings\All Users\Dados de aplicativos\Lavasoft
2009-02-05 21:13 . 2009-02-10 14:24 <DIR> d-------- c:\arquivos de programas\Lavasoft
2009-01-14 08:56 . 2009-01-14 08:58 <DIR> d-------- c:\arquivos de programas\Paint.NET

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-28 21:10 --------- d-----w c:\arquivos de programas\Messenger Plus! Live
2009-02-14 01:28 --------- d-----w c:\arquivos de programas\eMule
2009-02-13 19:35 --------- d---a-w c:\documents and settings\All Users\Dados de aplicativos\TEMP
2009-02-12 19:46 --------- d-----w c:\documents and settings\Sandro\Dados de aplicativos\Megacubo
2009-02-12 18:00 --------- d-----w c:\arquivos de programas\a-squared Free
2009-02-12 17:39 --------- d-----w c:\arquivos de programas\RALINK
2009-02-10 12:05 --------- d--h--w c:\arquivos de programas\InstallShield Installation Information
2009-02-10 12:05 --------- d-----w c:\arquivos de programas\Arquivos comuns\InstallShield
2009-02-09 20:00 --------- d-----w c:\arquivos de programas\Spyware Terminator
2009-02-02 21:27 --------- d-----w c:\documents and settings\Sandro\Dados de aplicativos\Vso
2009-01-18 13:12 --------- d-----w c:\documents and settings\Sandro\Dados de aplicativos\Move Networks
2009-01-15 18:36 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\DVD Shrink
2009-01-13 15:40 --------- d-----w c:\arquivos de programas\GameVicio
2009-01-10 15:46 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Age of Empires 3
2009-01-10 14:20 --------- d-----w c:\arquivos de programas\Microsoft Games
2009-01-09 16:44 --------- d-----w c:\documents and settings\Sandro\Dados de aplicativos\Cabos
2009-01-06 17:31 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Microsoft Help
2009-01-05 19:27 --------- d-----w c:\documents and settings\Sandro\Dados de aplicativos\Media Player Classic
2008-12-28 14:43 --------- d-----w c:\documents and settings\Espaço público\Dados de aplicativos\Dealio
2008-12-25 13:22 --------- d-----w c:\arquivos de programas\FormatFactory
2008-12-22 20:19 --------- d-----w c:\documents and settings\All Users\Dados de aplicativos\Spyware Terminator
2008-12-09 15:54 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-04 18:21 147,192 ----a-w c:\windows\system32\guard32.dll
2008-08-25 20:17 47,360 ----a-w c:\documents and settings\Sandro\Dados de aplicativos\pcouffin.sys
.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SpywareTerminator"="c:\arquivos de programas\Spyware Terminator\SpywareTerminatorShield.exe" [2008-08-24 2834432]
"COMODO Firewall Pro"="c:\arquivos de programas\Comodo\Firewall\cfp.exe" [2008-12-04 1797880]
"COMODO Internet Security"="c:\arquivos de programas\Comodo\Firewall\cfp.exe" [2008-12-04 1797880]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{E37CB5F0-51F5-4395-A808-5FA49E399007}"= "c:\arquiv~1\GbPlugin\gbiehabn.dll" [2008-05-16 369064]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginAbn]
2008-05-16 15:01 369064 c:\arquiv~1\GbPlugin\gbiehabn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATnotes.exe]
--a------ 2005-01-05 15:45 1015808 c:\arquivos de programas\ATnotes\ATnotes.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-06-01 13:32 94208 c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-03 20:45 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 c:\arquivos de programas\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 c:\arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2008-05-03 05:46 13529088 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2008-05-03 05:46 86016 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-12-09 12:57 136600 c:\arquivos de programas\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 18:43 69632 c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2008-05-03 05:46 1630208 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2006-08-14 14:00 16050176 c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Arquivos de programas\\Microsoft Games\\Age of Empires III\\age3x.exe"=

R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [2008-11-18 101776]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [2008-11-18 31504]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2008-08-24 138752]
R3 CCCP106;D-Link CIF Webcam;c:\windows\system32\drivers\cccp106.sys [2009-02-10 227200]
R3 RMSPPPOE;FasterNet - Protocol (WAN Miniport);c:\windows\system32\drivers\RMSPPPOE.SYS [2008-08-24 31424]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6834e8b6-7141-11dd-afc0-806d6172696f}]
\Shell\AutoRun\command - E:\Run.exe
.
Conteúdo da pasta 'Tarefas Agendadas'

2009-02-13 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\arquivos de programas\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []
.
.
------- Scan Suplementar -------
.
uStart Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {18C0B53B-456E-4224-B109-5387BD8DF305} = 200.187.80.5,200.187.80.6
DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
FF - ProfilePath - c:\documents and settings\Sandro\Dados de aplicativos\Mozilla\Firefox\Profiles\jqarjglj.default\
FF - prefs.js: browser.startup.homepage - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
FF - component: c:\documents and settings\Sandro\Dados de aplicativos\Mozilla\Firefox\Profiles\jqarjglj.default\extensions\{87F8774F-B485-47E2-A755-A40A8A5E8874}\components\GbMzhAbn.dll
FF - plugin: c:\windows\system32\npmirage.dll

---- FIREFOX POLICIES ----
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
Rootkit scan 2009-02-14 08:38:14
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(712)
c:\arquiv~1\GbPlugin\gbiehabn.dll
.
------------------------ Outros Processos em Execução ------------------------
.
c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\arquivos de programas\Comodo\Firewall\cmdagent.exe
c:\arquivos de programas\Java\jre6\bin\jqs.exe
c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\mdm.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\arquivos de programas\Spyware Terminator\sp_rsser.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Tempo para conclusão: 2009-02-14 8:39:40 - Máquina reiniciou [Sandro]
ComboFix-quarantined-files.txt 2009-02-14 11:39:38

Pré-execução: 11 pasta(s) 84,265,492,480 bytes disponíveis
Pós execução: 11 pasta(s) 84,227,649,536 bytes disponíveis

187 --- E O F --- 2008-08-24 15:57:01


Prezados amigos, aparentemente o pc após estas últimas verificações e varreduras
está funcionando bem, o ícone da unidade D voltou ao normal. Creio que os problemas foram
resolvidos.
Muito obrigado pela ajuda, pela gentileza e seriedade dedicadas. Atitudes como a de vcs é
que nos faz acreditar que na internet nao tem só vermes ocupados em prejudicar a vida alheia,
mas tbm pessoas nobres de espírito zeladoras da justiça e do bem comum. Valeu!

Olá San!

Ainda há mais um procedimento a ser feito:

Delete a pasta qoobox que está localizada em C:\, delete também o Log ComboFix.txt também localizado em C:\.

Nota: Se tiver um pen drive, MP3, MP4, ou qualquer tipo de mídia removível, conecte-o(s) ao computador.

Selecione e copie todo este conteúdo abaixo dentro do CÓDIGO (começando da palavra Registry). Cole-o no Bloco de Notas de seu PC e salve-o no desktop como CFScript.txt

Código:

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6834e8b6-7141-11dd-afc0-806d6172696f}]

Arraste o CFScript para o ComboFix como na imagem aqui abaixo e aguarde a execução automática da ferramenta:

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

● Se for solicitado à você, pressione Enter para iniciar o processo de remoção;
● Não use o mouse nem o teclado quando o ComboFix estiver rodando;
● Quando terminar, será gerado um novo log que estará em C:\ComboFix.txt;
● Talvez seu computador seja reiniciado automaticamente. Caso não ocorra, reinicie-o manualmente.

Na sua próxima resposta, cole o log que estará em C:\ComboFix.txt e nos diga como está o PC depois disto.

Ficamos no aguardo.