Tenho um rootkit dentro de uma pasta na minha área de trabalho. já usei todos os antirootkits pra tirar, eles nem mostram, nem o hijackthis.
O único que mostrou foi o rootkit revealer, que peguei através de entrevista da linha defensiva no g1. mas o rootkit revealer não tira, só mostra.
ele aparece assim lá:
c:\documents and settings\mi\desktop\tudojuntoe misturado upload\mulherplanta.gif.:zone identifier
O arquivo aparece como oculto ou como arquivo do sistema sei lá, tá transparente.
Queria saber como faço para tirar o arquivo pelo dos.
Não tenho conhecimento nenhum em dos nem em prompt do dos.
Preciso das dicas passo a passo.
Desde já agradeço muito a cooperação de vocs.

MIRTES

Seja bem-vindo(a) à Linha Defensiva

Meu nome é José Melo,

Para que possamos ter sucesso ao final dos procedimentos, sugiro que siga estritamente o que lhe for proposto e não use qualquer ferramenta ou programa, que não seja os aqui recomendados;
Não desinstale nenhuma ferramenta que esteja sendo usada, até a finalização dos procedimentos;
Qualquer dúvida quanto a qualquer procedimento aqui indicado, não hesite em perguntar aqui no tópico ou via Mensagem Pessoal;
Caso tenha um tópico em andamento em outro fórum, recomendo que o abandone para que os procedimentos não sejam conflitantes;
Se preferir receber por e-mail um aviso toda vez que houver resposta no seu tópico, clique em no alto da página e em Assinar este tópico.
Se tiver mais de um antivírus instalado, mantenha somente um para evitar conflitos e lentidão ao sistema. Faça o mesmo para antispyware com proteção residente.

- Por favor, leia as instruções contidas no link abaixo:
http://www.linhadefensiva.org/remocao-de-virus/

- Não crie um novo tópico. Clique no botão logo abaixo e cole o log do HijackThis;

- Prossiga com os procedimentos indicados neste tópico até o final e, caso tenha qualquer dúvida, pergunte.

BOA TARDE, JOSÉ MELO!
SEGUE LOG.
OBRIGADA POR ENQUANTO



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21:22, on 5/3/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Arquivos de programas\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe
C:\ARQUIV~1\AVG\AVG8\avgrsx.exe
C:\ARQUIV~1\AVG\AVG8\avgnsx.exe
C:\Arquivos de programas\No-IP\DUC20.exe
c:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe
C:\ARQUIV~1\AVG\AVG8\avgemc.exe
C:\Arquivos de programas\AVG\AVG8\avgcsrvx.exe
C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe
C:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exe
C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe
C:\Arquivos de programas\SpacialAudio\SimpleCast\SimpleCast.exe
C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe
C:\ARQUIV~1\ALWILS~1\Avast5\avastUI.exe
C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Arquivos de programas\MagicDisc\MagicDisc.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\No-IP\DUC20.exe
C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\MI\Desktop\HIJACKTHIS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll
O2 - BHO: FlpLauncher Class - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\ARQUIV~1\E-BOOK~1\FLIPVI~1\fvbho140.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Arquivos de programas\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARQUIV~1\MI1933~1\Office12\GRA8E1~1.DLL
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Easy Gif Animator Toolbar Helper - {96372AB6-15EB-4316-B497-71C741BC548C} - C:\Arquivos de programas\Easy Gif Animator Extension\v3.3.0.2\EasyGifAnimator_Toolbar.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARQUIV~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Arquivos de programas\MSN\Toolbar\3.0.1203.0\msneshellx.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARQUIV~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Arquivos de programas\MSN\Toolbar\3.0.1203.0\msneshellx.dll
O3 - Toolbar: Easy Gif Animator Toolbar - {35065594-9169-4A34-B167-FC4865038E53} - C:\Arquivos de programas\Easy Gif Animator Extension\v3.3.0.2\EasyGifAnimator_Toolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: HopSurf toolbar - {E9FAB13D-4600-49E1-90D1-EE961C859D39} - C:\Arquivos de programas\Comodo\HopSurfToolbar\HopSurfToolbar_IE.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [StartCCC] "C:\Arquivos de programas\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARQUIV~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Arquivos de programas\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [ISW] "C:\Arquivos de programas\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast5] C:\ARQUIV~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Arquivos de programas\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun
O4 - HKLM\..\Run: [FlipViewer Library] "C:\Arquivos de programas\E-Book Systems\FlipViewer\FlipViewerLibrary.exe" /showmode=hide
O4 - HKLM\..\Run: [Adobe_ID0E3DHM] C:\ARQUIV~1\ARQUIV~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Arquivos de programas\Arquivos comuns\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\MI\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Arquivos de programas\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: MagicDisc.lnk = C:\Arquivos de programas\MagicDisc\MagicDisc.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: No-IP DUC.lnk = C:\Arquivos de programas\No-IP\DUC20.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: MagicDisc.lnk = C:\Arquivos de programas\MagicDisc\MagicDisc.exe (User 'Default user')
O4 - .DEFAULT Startup: No-IP DUC.lnk = C:\Arquivos de programas\No-IP\DUC20.exe (User 'Default user')
O4 - Startup: MagicDisc.lnk = C:\Arquivos de programas\MagicDisc\MagicDisc.exe
O4 - Startup: No-IP DUC.lnk = C:\Arquivos de programas\No-IP\DUC20.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Acrobat Synchronizer.lnk = C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O8 - Extra context menu item: Abrir em uma nova guia do plano de fundo - res://C:\Arquivos de programas\Windows Live Toolbar\Components\pt-br\msntabres.dll.mui/229?3e3b4afebc714c1594e6bd959c8fa680
O8 - Extra context menu item: Abrir em uma nova guia do primeiro plano - res://C:\Arquivos de programas\Windows Live Toolbar\Components\pt-br\msntabres.dll.mui/230?3e3b4afebc714c1594e6bd959c8fa680
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Append to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MI1933~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARQUIV~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: HopSurf - {ED98F8D1-09AC-4107-B2FF-91DBE011B0C5} - C:\Arquivos de programas\Comodo\HopSurfToolbar\HopSurfToolbar_IE.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8401AF8-E699-4C80-A91E-4AC72E236340}: NameServer = 208.67.220.220,208.67.220.222
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARQUIV~1\MI1933~1\Office12\GR99D3~1.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Arquivos de programas\Arquivos comuns\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Arquivos de programas\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NoIPDUCService - Vitalwerks LLC - C:\Arquivos de programas\No-IP\DUC20.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 14136 bytes

- Faça o download do ComboFix de sUBs e salve-o no desktop;
OBS: Para que a ferramenta seja executada é necessário que esteja no desktop (área de trabalho)

• Desative, temporariamente, o antivírus;
• Feche todas as janelas abertas;
• Dê um duplo clique no ComboFix;
• Na próxima janela clique em Executar, aceite o contrato e aguarde até que o relatório seja gerado;
  OBS: Caso não queira que seja instalado o console de recuperação do Windows, clique em "Não" e depois concorde que a verificação prossiga.
  Ao ser instalado o console, na inicialização do sistema será apresentada a tela para seleção dos sistemas operacionais.
  Mais informações sobre o Console: http://support.microsoft.com/kb/307654/pt-br
• Caso ocorra algum erro, reinicie o computador em Modo Seguro (pressione a tecla F8 intermitentemente, ou F5 em alguns casos, durante a inicialização) e repita o procedimento;
• O ComboFix "poderá" reiniciar o PC automaticamente para completar o processo de remoção.
• Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.
• Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
• Para parar ou sair do ComboFix, tecle "N".
• Se perder a conexão com a internet, reinicie o computador. Caso o problema persista, abra Conexões de Rede no Painel de Controle, clique com o botão direito do mouse sobre a sua conexão com a internet e em "Reparar";
• Anexe o ComboFix.txt à sua resposta conforme as instruções abaixo
  http://www.linhadefensiva.org/forum/index.php?showtopic=595

Oi, José Melo!

Fiz mais ou menos como voce mandou,(fechei o avg, o avira e o avast na barra de ferramentas, sumiram. o combofix disse que avg e avira ainda estavam funcionando, tentei fechar no ctrl+alt+delete eles não quiseram ser fechados) fechei os firewalls e os antispywares. só que quando o pc reiniciou o spybot search & destroy voltou e começou a perguntar se podia apagar entradas, eu fui permitindo, até que apareceu apagar nt load, todas entradas do registro, aí eu me descabelei, e não permiti.
tive que reiniciar o pc porque o speed não funcionava, aí deu que o windows se recuperou de um erro grave. gerou um log tambem.
e o meu rootkit mulherplanta.gif. continua lá.
segue anexo log do combofix.
obrigada por enquanto.
boa noite!
beijos!

Oi, Jose Melo!
Fiz, como mandou, a mulher planta esta la ainda, alem de ser invisivel, não tem tamanho: 0 bytes.
e quando eu mando excluir diz que:
não e possivel excluir arquivo, não e possivel ler o arquivo ou disco de origem.
segue log.
obrigada
beijos




LOG COMBOFIX:

ComboFix 10-03-06.03 - MI 07/03/2010 8:12.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.55.1046.18.3070.2198 [GMT -3:00]
Executando de: c:\documents and settings\MI\Desktop\ComboFix.exe
Comandos utilizados :: c:\documents and settings\MI\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: avast! Antivirus *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

ATENÇAO - ESTA MAQUINA não TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!

FILE ::
"c:\documents and settings\mi\desktop\tudojuntoe misturado upload\mulherplanta.gif."
"c:\windows\system32\41424D.sys"
.

((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\LOG.TXT
c:\windows\system32\41424D.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Serviços )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_41424D
-------\Service_41424D


(((((((((((((((( Arquivos/Ficheiros criados de 2010-02-07 to 2010-03-07 ))))))))))))))))))))))))))))
.

2010-03-06 15:14 . 2001-09-06 02:20 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2010-03-06 15:14 . 2001-09-06 02:20 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2010-03-01 11:26 . 2010-03-01 11:26 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\SUPERAntiSpyware.com
2010-03-01 11:24 . 2010-03-01 11:24 -------- d-----w- c:\arquivos de programas\SUPERAntiSpyware
2010-03-01 11:24 . 2010-03-01 11:24 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Wise Installation Wizard
2010-03-01 03:25 . 2010-03-01 03:25 -------- d-----w- c:\documents and settings\MI\Dados de aplicativos\GlarySoft
2010-03-01 02:30 . 2010-03-01 02:30 -------- d-----w- c:\arquivos de programas\CCleaner
2010-03-01 02:25 . 2010-03-01 02:26 -------- d-----w- c:\arquivos de programas\Glary Utilities
2010-02-23 04:17 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
2010-02-16 01:34 . 2010-02-16 01:51 -------- d-----w- c:\arquivos de programas\Opera
2010-02-15 15:50 . 2010-02-15 16:24 -------- d-----w- c:\arquivos de programas\Windows Live
2010-02-13 20:42 . 2010-02-13 20:42 -------- d-----w- c:\windows\Sun
2010-02-13 20:40 . 2010-02-13 20:39 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-02-12 20:58 . 2007-03-09 03:02 75512 ----a-w- c:\windows\zllsputility.exe
2010-02-12 20:54 . 2007-03-09 03:01 71408 ----a-w- c:\windows\system32\zlcommdb.dll
2010-02-12 20:54 . 2007-03-09 03:01 83696 ----a-w- c:\windows\system32\zlcomm.dll
2010-02-12 20:51 . 2007-03-09 03:01 1087216 ----a-w- c:\windows\system32\zpeng24.dll
2010-02-12 20:50 . 2010-02-12 20:59 -------- d-----w- c:\windows\system32\ZoneLabs
2010-02-12 20:50 . 2010-02-12 20:50 -------- d-----w- c:\arquivos de programas\Zone Labs
2010-02-12 20:35 . 2010-03-07 11:03 -------- d-----w- c:\windows\Internet Logs
2010-02-07 20:39 . 2010-02-07 20:39 -------- d-----w- c:\documents and settings\MI\Dados de aplicativos\Thinstall
2010-02-07 20:10 . 2010-03-06 03:57 -------- d-----w- c:\arquivos de programas\Revo Uninstaller
2010-02-07 17:23 . 2010-02-12 20:31 -------- d-----w- c:\documents and settings\MI\Dados de aplicativos\CheckPoint

.
((((((((((((((((((((((((((((((((((((( Relatório Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-07 01:13 . 2009-04-09 04:30 4212 ---h--w- c:\windows\system32\zllictbl.dat
2010-03-06 12:30 . 2009-11-18 03:13 -------- d-----w- c:\arquivos de programas\FlippingBook PDF Publisher
2010-03-06 03:32 . 2009-11-18 05:17 -------- d-----w- c:\arquivos de programas\FLIP Flash Album Deluxe
2010-03-06 03:29 . 2009-11-15 18:07 -------- d-----w- c:\arquivos de programas\Slideshow XL
2010-03-06 03:29 . 2009-11-15 14:22 -------- d-----w- c:\arquivos de programas\Flash Slideshow Maker Professional
2010-03-06 01:15 . 2009-04-18 20:29 -------- d-----w- c:\arquivos de programas\Google
2010-03-05 23:06 . 2009-04-10 01:39 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Spybot - Search & Destroy
2010-03-01 03:45 . 2009-07-19 02:33 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Screaming Bee
2010-03-01 03:45 . 2009-05-05 00:03 -------- d-----w- c:\arquivos de programas\Microsoft Visual Studio 8
2010-03-01 03:45 . 2009-04-22 22:55 -------- d-----w- c:\arquivos de programas\Microsoft Visual Studio 9.0
2010-02-28 16:32 . 2009-05-17 04:39 2516 --sha-w- c:\documents and settings\All Users\Dados de aplicativos\KGyGaAvL.sys
2010-02-28 10:42 . 2009-05-11 23:33 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-02-24 11:48 . 2009-04-09 04:30 -------- d-----w- c:\arquivos de programas\Alwil Software
2010-02-24 04:33 . 2010-02-24 04:35 149504 ----a-w- c:\windows\Internet Logs\xDB5.tmp
2010-02-23 22:28 . 2010-02-23 22:30 356864 ----a-w- c:\windows\Internet Logs\xDB4.tmp
2010-02-23 02:13 . 2010-02-23 02:15 1576960 ----a-w- c:\windows\Internet Logs\xDB3.tmp
2010-02-17 02:14 . 2010-02-17 02:16 1319936 ----a-w- c:\windows\Internet Logs\xDB2.tmp
2010-02-17 02:14 . 2010-02-17 02:16 2654208 ----a-w- c:\windows\Internet Logs\xDB1.tmp
2010-02-16 13:02 . 2009-08-23 01:31 -------- d-----w- c:\arquivos de programas\Malwarebytes' Anti-Malware
2010-02-16 00:51 . 2001-10-28 15:07 81268 ----a-w- c:\windows\system32\perfc016.dat
2010-02-16 00:51 . 2001-10-28 15:07 473210 ----a-w- c:\windows\system32\perfh016.dat
2010-02-11 21:21 . 2009-04-23 23:29 -------- d-----w- c:\documents and settings\MI\Dados de aplicativos\NCH Swift Sound
2010-02-11 21:05 . 2009-04-09 04:02 -------- d--h--w- c:\arquivos de programas\InstallShield Installation Information
2010-02-11 20:45 . 2010-01-14 14:07 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Concord
2010-02-11 02:40 . 2009-05-26 13:30 -------- d-----w- c:\arquivos de programas\Arquivos comuns\SourceTec
2010-02-11 02:31 . 2010-01-15 02:29 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Akamai
2010-02-11 02:12 . 2009-09-14 01:35 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Xara
2010-02-11 01:58 . 2009-07-01 03:08 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Tarma Installer
2010-01-25 04:01 . 2010-01-25 04:01 -------- d-----w- c:\documents and settings\All Users\Dados de aplicativos\Alwil Software
2010-01-22 00:35 . 2010-03-01 10:19 206842 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1046.dat
2010-01-18 01:58 . 2009-05-03 22:38 -------- d---a-w- c:\documents and settings\All Users\Dados de aplicativos\TEMP
2010-01-14 12:51 . 2009-04-12 02:14 -------- d-----w- c:\arquivos de programas\Discador itelefonica
2010-01-14 00:37 . 2009-05-14 02:16 -------- d-----w- c:\arquivos de programas\Arquivos comuns\Macromedia
2010-01-13 22:01 . 2010-01-12 21:26 -------- d-----w- c:\arquivos de programas\7-Zip
2010-01-07 19:07 . 2009-08-23 01:31 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 19:07 . 2009-08-23 01:31 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-30 23:26 . 2010-02-02 12:53 38848 ----a-w- c:\windows\system32\avastSS.scr
2009-12-30 23:26 . 2010-02-02 12:52 152672 ----a-w- c:\windows\system32\aswBoot.exe
2009-12-30 23:14 . 2010-02-02 12:54 46544 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-12-30 23:14 . 2010-02-02 12:54 160208 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-12-30 23:12 . 2010-02-02 12:55 23248 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-12-30 23:11 . 2010-02-02 12:54 100304 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-12-30 23:11 . 2010-02-02 12:54 94672 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-12-30 23:11 . 2010-02-02 12:54 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-12-30 23:11 . 2010-02-02 12:54 28240 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2002-07-31 22:55 . 2009-05-26 01:16 108 --sh--w- c:\windows\WSYS049.SYS
.

(((((((((((((((((((((((((( Pontos de Carregamento do Registro )))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vazias e legítimas por defeito não são mostradas.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883840]
"SpybotSD TeaTimer"="c:\arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"SUPERAntiSpyware"="c:\arquivos de programas\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-02-18 2012912]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\arquivos de programas\Analog Devices\Core\smax4pnp.exe" [2008-03-17 1040384]
"StartCCC"="c:\arquivos de programas\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"AVG8_TRAY"="c:\arquiv~1\AVG\AVG8\avgtray.exe" [2009-06-07 1947928]
"avgnt"="c:\arquivos de programas\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"COMODO Internet Security"="c:\arquivos de programas\COMODO\COMODO Internet Security\cfp.exe" [2009-09-23 1799952]
"ZoneAlarm Client"="c:\arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 919280]
"AdobeCS4ServiceManager"="c:\arquivos de programas\Arquivos comuns\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"Adobe Reader Speed Launcher"="c:\arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"Acrobat Assistant 8.0"="c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-23 620152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\MI\Menu Iniciar\Programas\Inicializar\
No-IP DUC.lnk - c:\arquivos de programas\No-IP\DUC20.exe [2009-4-17 1172992]

c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-0000-7760-000000000003}\_SC_Acrobat.exe [2009-8-18 295606]
Adobe Acrobat Synchronizer.lnk - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 734872]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\arquivos de programas\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 17:21 548352 ----a-w- c:\arquivos de programas\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-06-07 02:26 11952 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-10-16 23:35 87352 ----a-w- c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Arquivos de programas\\Messenger\\msmsgs.exe"=
"c:\\Arquivos de programas\\AVG\\AVG8\\avgemc.exe"=
"c:\\Arquivos de programas\\AVG\\AVG8\\avgupd.exe"=
"c:\\Arquivos de programas\\AVG\\AVG8\\avgnsx.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"c:\\Arquivos de programas\\Windows Media Components\\Encoder\\wmenc.exe"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Arquivos de programas\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Arquivos de programas\\Bonjour\\mDNSResponder.exe"=
"c:\\Arquivos de programas\\Arquivos comuns\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Arquivos de programas\\Arquivos comuns\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Arquivos de programas\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Arquivos de programas\\Windows Live\\Sync\\WindowsLiveSync.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"85:TCP"= 85:TCP:BroadWave Web Server
"94:TCP"= 94:TCP:VRS Recording System Web Control Panel
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"8080:TCP"= 8080:TCP:home
"1081:TCP"= 1081:TCP:fmmorada
"1300:TCP"= 1300:TCP:WINDOWS MEDIA ENCODER
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2/2/2010 09:54 160208]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [12/4/2009 01:50 325896]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [12/4/2009 01:50 108552]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [21/9/2009 21:54 132296]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [21/9/2009 21:54 25160]
R1 SASDIFSV;SASDIFSV;c:\arquivos de programas\SUPERAntiSpyware\sasdifsv.sys [17/2/2010 10:25 12872]
R1 SASKUTIL;SASKUTIL;c:\arquivos de programas\SUPERAntiSpyware\SASKUTIL.SYS [17/2/2010 10:15 66632]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [7/6/2009 00:59 108289]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2/2/2010 09:54 19024]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\arquiv~1\AVG\AVG8\avgemc.exe [12/4/2009 01:50 908568]
R2 avg8wd;AVG Free8 WatchDog;c:\arquiv~1\AVG\AVG8\avgwdsvc.exe [12/4/2009 01:50 298776]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [3/5/2009 14:05 47640]
R3 SASENUM;SASENUM;c:\arquivos de programas\SUPERAntiSpyware\SASENUM.SYS [17/2/2010 10:15 12872]
S3 audiobridge;Virtual Audio Bridge;c:\windows\system32\drivers\aubridge.sys [23/7/2007 15:04 22528]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [27/3/2009 14:23 23064]
S4 LMIRfsClientNP;LMIRfsClientNP; [x]
.
Conteúdo da pasta 'Tarefas Agendadas'

2010-03-07 c:\windows\Tasks\GlaryInitialize.job
- c:\arquivos de programas\Glary Utilities\initialize.exe [2010-03-01 22:44]
.
.
------- Scan Suplementar -------
.
uStart Page =
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Abrir em uma nova guia do plano de fundo - c:\arquivos de programas\Windows Live Toolbar\Components\pt-br\msntabres.dll.mui/229?3e3b4afebc714c1594e6bd959c8fa680
IE: Abrir em uma nova guia do primeiro plano - c:\arquivos de programas\Windows Live Toolbar\Components\pt-br\msntabres.dll.mui/230?3e3b4afebc714c1594e6bd959c8fa680
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
IE: Append to existing PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\arquivos de programas\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MI1933~1\Office12\EXCEL.EXE/3000
TCP: {C8401AF8-E699-4C80-A91E-4AC72E236340} = 208.67.220.220,208.67.220.222
FF - ProfilePath - c:\documents and settings\MI\Dados de aplicativos\Mozilla\Firefox\Profiles\um5z4yy1.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.br
FF - component: c:\arquivos de programas\AVG\AVG8\ToolbarFF\components\vmAVGConnector.dll
FF - component: c:\documents and settings\MI\Dados de aplicativos\Mozilla\Firefox\Profiles\um5z4yy1.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\arquivos de programas\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\arquivos de programas\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX POLICIES ----
c:\arquivos de programas\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".com.br");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-07 08:28
Windows 5.1.2600 Service Pack 2 NTFS

Procurando processos ocultos ...

Procurando entradas auto inicializáveis ocultas ...

Procurando ficheiros/arquivos ocultos ...

Varredura completada com sucesso
arquivos/ficheiros ocultos: 0

**************************************************************************
.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------

[HKEY_USERS\S-1-5-21-842925246-329068152-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3D9A42F8-B525-87A5-6B2D-8D505824EE63}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"abbilljklbgconbnfpipidebkgglnibald"=hex:61,61,00,00
"bbbilljklbgconbnfpfpdneffaahkmbkclja"=hex:61,61,00,00

[HKEY_USERS\S-1-5-21-842925246-329068152-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{512867E3-DEB4-18E7-CE69-7482D524412C}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{019d4738-fe1a-46e6-a8d9-178be66cfa7c}]
@Denied: (Full) (Everyone)
"Model"=dword:00000093
"Therad"=dword:0000001e
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
38,95,44,85,b1,12,f9,90,dd,23,a1,83,e0,8b,c5,07,bb,e0,2a,46,8f,3c,f2,5c,68,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{512867E3-DEB4-18E7-CE69-7482D524412C}\InProcServer32*]
"iacjjieonehplmbmla"=hex:63,61,6e,6b,65,6d,00,00
"jacjikifnajkdmnajglj"=hex:6b,61,62,6b,61,68,68,67,6f,70,6e,6c,6b,6f,6d,6d,6b,
61,67,70,64,6d,00,77
"iacjokghmddjgckbjf"=hex:6b,61,62,6b,61,68,68,67,6f,70,6e,6c,6b,6f,6d,6d,6b,61,
67,70,64,6d,00,00

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):e1,a9,d5,dc,52,de,72,da,5b,82,ea,ad,75,d6,48,8c,9e,8e,d7,b9,92,
2e,e5,9d,9b,e5,5a,82,88,28,4d,ea,b1,a3,40,c7,88,b3,4b,aa,00,00,00,00,00,00,\
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'winlogon.exe'(548)
c:\arquivos de programas\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\LMIinit.dll
c:\arquivos de programas\Arquivos comuns\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
c:\windows\system32\LMIRfsClientNP.dll

- - - - - - - > 'explorer.exe'(6328)
c:\windows\system32\msi.dll
c:\arquivos de programas\Arquivos comuns\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll
c:\windows\system32\LMIRfsClientNP.dll
.
------------------------ Outros Processos em Execução ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\arquivos de programas\Alwil Software\Avast5\AvastSvc.exe
c:\arquivos de programas\Avira\AntiVir Desktop\avguard.exe
c:\arquiv~1\AVG\AVG8\avgrsx.exe
c:\arquiv~1\AVG\AVG8\avgnsx.exe
c:\arquivos de programas\Arquivos comuns\Protexis\License Service\PsiService_2.exe
c:\windows\system32\wdfmgr.exe
c:\arquivos de programas\AVG\AVG8\avgcsrvx.exe
c:\windows\system32\wscntfy.exe
c:\arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
c:\arquivos de programas\Windows Live\Contacts\wlcomm.exe
.
**************************************************************************
.
Tempo para conclusão: 2010-03-07 08:51:05 - Máquina reiniciou
ComboFix-quarantined-files.txt 2010-03-07 11:51
ComboFix2.txt 2010-03-07 00:59

Pré-execução: 21 pasta(s) 67.910.205.440 bytes disponíveis
Pós execução: 22 pasta(s) 67.743.834.112 bytes disponíveis

- - End Of File - - 57ABECB65608CA0ACE289507F0ADDBC0

- Faça o download do RegSeeker

• Extraia o programa no desktop
• Abra a pasta RegSeeker e dê um duplo clique no executável RegSeeker
• Clique em "Languages" e selecione "Português do Brasil"
• Clique em Procurar por... e na caixa digite: mulherplanta.gif e clique em "Procurar"
• Selecione os valores encontrados e com o botão direito do mouse clique em "Apagar entradas selecionadas".

- Veja se foi excluído.

Oi, Jose Melo
Obrigada pela paciencia.

Baixei o regseeker, fiz conforme me indicou.
Apareceu a mulher planta, mandei excluir entrada.
fazer backup antes de apagar estava ativado.
mandei procurar de novo, apareceu outra vez, mandei excluir entrada.
na terceira vez que mandei procurar, não apareceu mais, mas ela continua la.
ai mandei procurar a pasta tudojuntoe misturado upload1,
apareceu umas 6 entradas, selecionei e mandei excluir tudo.
a pasta continua la. passei mais umas 4 vezes e sempre aparece entrada.
ai dei um shift delete na pasta, pergunta se confirma exclusao do arquivo, se tem certeza que quer excluir mulherplanta.gif. porque
e um arquivo do sistema, respondo sim.
aparece erro ao excluir o arquivo.
arquivo especificado não encontrado. verifique se o caminho e o nome do arquivo foram especificados corretamente.
mas antes de receber seu email, eu andei olhando seu site, e achei um post sobre o killbox, passei ele, que não excluiu, deixei a opçao de exclusao ao reiniciar o pc. mas não reiniciei ainda.
transmito uma radio para a internet, e enquanto tem gente pendurada no meu encoder eu não posso reiniciar.
e agora? espero para reiniciar e depois te digo o que aconteceu?
obrigada, amigo!
beijos



Bom dia, Jose Melo
ja reiniciei o pc depois de usar o killbox.
e adivinha? a pasta, esta la, a mulher planta tambem.
isso e que e mulher dificil de se livrar!!!!
espero seu email.
obrigada
Beijos

A pasta não está relacionada com malware, trata-se apenas de um atalho que foi criado, portanto, caso queira abra um tópico na área "Dúvidas e discussões gerais" que talvez alguém possa ajudá-la por lá.

A pasta está visível porque a opção de "visualização de arquivos ocultos" e do "sistema" devem estar ativados.

- No mais, o log está limpo

- Recomendo uma manutenção no computador para exclusão dos arquivos temporários, desnecessários e entradas inválidas no registro. Faça o download do CCleaner:

• Clique em Salvar e quando terminado o download, faça a instalação;
• Abra o programa e clique em Executar Limpeza;
• Após isto, clique em Registro > Procurar erros > Corrigir erros selecionados

- Desative e ative novamente a Restauração do Sistema

- Leitura recomendada:
http://www.linhadefensiva.org/forum/index....showtopic=75646

- Leia o artigo Proteja seu PC para maiores informações sobre como evitar infecções;

- Se não tiver mais problema, clique no botão e diga que o seu caso foi resolvido.

Bom dia, Jose Melo!!!
fiz de acordo com o que voce disse, e tambem não resolveu.
mas não feche o topico ainda, porque ate amanha a noite eu vou conseguir me livrar desta mulher planta horrorosa. e ai eu coloco aqui, como foi que consegui me livrar dela.
obrigada por enquanto pela ajuda, e pelas dicas dos programas para limpeza e remoçao de pragas.
e um otimo trabalho este que voces fazem aqui para ajudar os iniciantes.
parabens.
beijos
te mais


OBS.:
se por acaso voce gostar de musica sertaneja, voce me encontra de segunda a sexta das 14 as 17 hs no www.moradasertaneja.com

Me espere que eu volto
beijos

Oi, Jose Melo!
Nada como ser iniciante, não e mesmo?
pensei em baixar um diskete de boot do windows 98, pra entrar no dos,
pra retirar a pasta por la.
ate ai tudo bem. entrou no dos.
so que minha partiçao e ntfs.
meu hd e um sata.
não funcionou.
quando eu tinha dois sistemas operacionas instalados, eu consegui tirar uma pasta como esta do windows xp, entrando com o windows vista.
e possivel com um laptop em rede, entrar dentro do meu pc e excluir a pasta?
desculpe se a pergunta for meio idiota, mas entendo menos ainda de laptop.
beijos!!!!

Tente usar um live cd de alguma distribuição Linux, como o Ubuntu. Dê o boot por ele e terá acesso à partição do Windows.

http://www.ubuntu-br.org/download

BOA TARDE, JOSE MELO!
VOU FAZER, AMANHA TE FALO.
OBRIGADA,
BEIJOS

Bom dia!
jose melo!
meu lindo!
meu anjo!
meu profissional preferido!
eu poderia adicionar mais uma porçao de adjetivos aqui, mas vamos direto ao assunto:
baixei o ubuntu, conforme instruçao, entrei pelo modo, direto, sem instalaçao.
abri a pasta onde estava a mulher planta enraizada: c:\documents and settings\mi\desktop, etc.
abri a pasta, mandei excluir o arquivo, ele foi embora, depois mandei excluir a pasta tambem.
depois fui pra lixeira e mandei esvaziar.
o ubuntu avisou que tinha dado erro no disco.
reiciniei o windows.
quando estava aparecendo os icones na area de trabalho, o pc desligou,
voltou naquela tela azul clara pedindo para fazer verificaçao dos arquivos no disco c.
dai começou a excluir registro de atributo danificado.
depois chkdsk, recuperando arquivos perdidos.
depois chkdsk, verificando descritores de segurança.
terminou tudo, reiniciou, e adivinha?
a pasta foi embora, pra sempre, espero!!!!!
ai apareceu o aviso: o sistema se recuperou de um erro grave.
e pronto!
graças a voce, que foi persistente e muito paciente, consegui me livrar da mulherzinha.
nem tenho como lhe agradecer!
parabens, pelo seu trabalho!!
continue assim!
seu link esta na minha barra de mais visitados.
me espere que volto pra fazer visitinha!
espero que sem nenhum outro problema!
mas se precisar eu grito por socorro!
obrigada!!!!
adorei voce!!!!!
beijos, meu anjo!!!!!