Explorer.exe com problemas depois do logon

Todas as Respostas

• 

  

  2

  Entrar para Votar

  Olá Gislaine,

  Faça download do Combofix no Baixaki, desabilite seu antivírus e execute-o.

  Depois poste o resultado.

  Abraços.

  • Sugerido como Resposta Flávio HondaModerator quinta-feira, 5 de maio de 2011 16:49
  • Não Sugerido como Resposta SmartnetINFO quinta-feira, 5 de maio de 2011 18:24

  quinta-feira, 5 de maio de 2011 15:25

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Olá Gislaine

  você pode tentar passar um reparo modo texto, mas o recomendado seria formata-lo e começar do zero

   

  OBrigado

  • Sugerido como Resposta Flávio HondaModerator quinta-feira, 5 de maio de 2011 16:49
  • Não Sugerido como Resposta SmartnetINFO quinta-feira, 5 de maio de 2011 17:44

  quinta-feira, 5 de maio de 2011 16:31

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Danilo,

  Segue o resultado do Combofix. Acredito que o problema não seja vírus.

  ComboFix 11-05-02.04 - P90106 05/05/2011  15:03:21.1.2 - x86
  Microsoft Windows XP Professional  5.1.2600.3.1252.55.1046.18.1023.592 [GMT -3:00]
  Executando de: c:\documents and settings\p90106\Desktop\ComboFix.exe
  .
  ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!
  .
  [i] ADS - system32: deleted 4 bytes in 2 streams. [/i]
  [i] ADS - drivers: deleted 304 bytes in 1 streams. [/i]
  .
  (((((((((((((((((((((((((((((((((((((   Outras Exclusões   )))))))))))))))))))))))))))))))))))))))))))))))))))
  .
  .
  c:\documents and settings\admin\WINDOWS
  c:\documents and settings\All Users\Menu Iniciar\Programas\Sistema de Avaliação de Competências
  c:\documents and settings\All Users\Menu Iniciar\Programas\Sistema de Avaliação de Competências \Aval 2008.lnk
  C:\n.txt
  c:\windows\imagens
  c:\windows\imagens\dbexpmysql.dll
  c:\windows\imagens\down.txt
  c:\windows\imagens\libmySQL.dll
  c:\windows\imagens\libmysql41.dll
  c:\windows\imagens\wlogs2.txt
  c:\windows\system32\dbexpmysql.dll
  c:\windows\system32\Drivers\NTGDT.SYS
  c:\windows\system32\libmysql41.dll
  c:\windows\sytem33
  .
  .
  (((((((((((((((((((((((((((((((((((((((   Drivers/Serviços   )))))))))))))))))))))))))))))))))))))))))))))))))
  .
  .
  -------\Legacy_NTGDT
  -------\Service_NTGDT
  .
  .
  ((((((((((((((((   Arquivos/Ficheiros criados de 2011-04-05 to 2011-05-05  ))))))))))))))))))))))))))))
  .
  .
  .
  .
  .
  (((((((((((((((((((((((((((((((((((((   Relatório Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
  .
  2011-03-30 12:20 . 2009-04-30 21:13 46600 ----a-w- c:\windows\system32\drivers\gbpkm.sys
  2007-02-21 22:41 . 2007-03-15 13:00 66672 -c--a-w- c:\arquivos de programas\mozilla firefox\components\jar50.dll
  2007-02-21 22:41 . 2007-03-15 13:00 54376 -c--a-w- c:\arquivos de programas\mozilla firefox\components\jsd3250.dll
  2007-02-21 22:41 . 2007-03-15 13:00 34952 -c--a-w- c:\arquivos de programas\mozilla firefox\components\myspell.dll
  2007-02-21 22:41 . 2007-03-15 13:00 46720 -c--a-w- c:\arquivos de programas\mozilla firefox\components\spellchk.dll
  2007-02-21 22:41 . 2007-03-15 13:00 172144 -c--a-w- c:\arquivos de programas\mozilla firefox\components\xpinstal.dll
  .
  .
  ((((((((((((((((((((((((((   Pontos de Carregamento do Registro   )))))))))))))))))))))))))))))))))))))))
  .
  .
  *Nota* entradas vazias e legítimas por defeito não são mostradas.
  REGEDIT4
  .
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "ATIPTA"="c:\arquivos de programas\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-12 344064]
  "RTHDCPL"="RTHDCPL.EXE" [2005-06-08 14565376]
  .
  [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
  "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
  .
  c:\documents and settings\All Users\Menu Iniciar\Programas\Inicializar\
  Post-it© Software Notes Lite.lnk - c:\arquivos de programas\3M\PSNLite\PsnLite.exe [2004-10-15 2080768]
  .
  [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
  "ForceStartMenuLogOff"= 1 (0x1)
  "ConfirmFileDelete"= 1 (0x1)
  .
  [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
  "{E37CB5F0-51F5-4395-A808-5FA49E399003}"= "c:\arquivos de programas\GbPlugin\gbiehcef.dll" [2011-02-18 346568]
  .
  [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginBb]
  2011-03-30 12:19 505736 ----a-w- c:\arquivos de programas\GbPlugin\gbieh.dll
  .
  [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ GbPluginCef]
  2011-02-18 18:50 346568 ----a-w- c:\arquivos de programas\GbPlugin\gbiehcef.dll
  .
  [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
  "ModemView"=2 (0x2)
  "LSM_SSM"=2 (0x2)
  "CBA8"=2 (0x2)
  "WMPNetworkSvc"=3 (0x3)
  .
  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications]
  "<NO NAME>"=
  .
  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
  "%windir%\\system32\\sessmgr.exe"=
  "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
  .
  R0 GbpKm;Gbp KernelMode;c:\windows\system32\drivers\gbpkm.sys [30/4/2009 18:13 46600]
  R2 FwcAgent;Firewall Client Agent;c:\arquivos de programas\Microsoft Firewall Client 2004\FwcAgent.exe [18/1/2005 21:00 124248]
  R2 GbpSv;Gbp Service;c:\arquiv~1\GbPlugin\GbpSv.exe [30/4/2009 18:13 56712]
  S2 gupdate;Google Update Service (gupdate);c:\arquivos de programas\Google\Update\GoogleUpdate.exe [3/5/2010 14:49 136176]
  S3 gupdatem;Serviço do Google Update (gupdatem);c:\arquivos de programas\Google\Update\GoogleUpdate.exe [3/5/2010 14:49 136176]
  S3 maximir;maximir;c:\windows\system32\DRIVERS\maximir.sys --> c:\windows\system32\DRIVERS\maximir.sys [?]
  S3 maxivista;Maxi_Vista_DriverA;c:\windows\system32\DRIVERS\maxivista.sys --> c:\windows\system32\DRIVERS\maxivista.sys [?]
  S3 maxivistb;Maxi_Vista_DriverB;c:\windows\system32\DRIVERS\maxivistb.sys --> c:\windows\system32\DRIVERS\maxivistb.sys [?]
  S3 maxivistc;Maxi_Vista_DriverC;c:\windows\system32\DRIVERS\maxivistc.sys --> c:\windows\system32\DRIVERS\maxivistc.sys [?]
  S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [6/11/2007 17:22 34064]
  S3 UltraMonMirror;UltraMonMirror;c:\windows\system32\DRIVERS\UltraMonMirror.sys --> c:\windows\system32\DRIVERS\UltraMonMirror.sys [?]
  S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [2/3/2006 09:00 14336]
  .
  [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
  WINRM REG_MULTI_SZ    WINRM
  .
  Conteúdo da pasta 'Tarefas Agendadas'
  .
  2011-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
  - c:\arquivos de programas\Google\Update\GoogleUpdate.exe [2010-05-03 17:48]
  .
  2011-05-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
  - c:\arquivos de programas\Google\Update\GoogleUpdate.exe [2010-05-03 17:48]
  .
  .
  ------- Scan Suplementar -------
  .
  uStart Page = hxxp://www.itautec.com.br
  uInternet Settings,ProxyServer = 10.21.1.230:8080
  uInternet Settings,ProxyOverride = portalcos;portal;<local>
  IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
  LSP: c:\arquivos de programas\Microsoft Firewall Client 2004\FwcWsp.dll
  TCP: {C0F6E3B0-0511-4EBD-A477-040B1A385D04} = 10.27.2.35,10.27.2.34
  DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - hxxps://www14.bancobrasil.com.br/plugin/GbpDist.cab
  FF - ProfilePath -
  .
  .
  **************************************************************************
  .
  catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
  Rootkit scan 2011-05-05 15:12
  Windows 5.1.2600 Service Pack 3 NTFS
  .
  Procurando processos ocultos ...
  .
  Procurando entradas auto inicializáveis ocultas ...
  .
  Procurando ficheiros/arquivos ocultos ...
  .
  Varredura completada com sucesso
  arquivos/ficheiros ocultos: 0
  .
  **************************************************************************
  .
  --------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------
  .
  [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
  @Denied: (A 2) (Everyone)
  @="FlashBroker"
  "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
  .
  [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
  "Enabled"=dword:00000001
  .
  [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
  @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
  .
  [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
  @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
  .
  [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
  @Denied: (A 2) (Everyone)
  @="IFlashBroker4"
  .
  [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
  @="{00020424-0000-0000-C000-000000000046}"
  .
  [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
  @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
  "Version"="1.0"
  .
  [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
  "6140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
  .
  --------------------- DLLs Carregadas Sob os Processos em Execução ---------------------
  .
  - - - - - - - > 'winlogon.exe'(788)
  c:\arquivos de programas\GBPLUGIN\gbieh.dll
  c:\arquivos de programas\GbPlugin\gbiehcef.dll
  c:\windows\system32\Ati2evxx.dll
  .
  - - - - - - - > 'explorer.exe'(2288)
  c:\windows\system32\WININET.dll
  c:\windows\system32\webcheck.dll
  c:\windows\system32\WPDShServiceObj.dll
  c:\windows\system32\PortableDeviceTypes.dll
  c:\windows\system32\PortableDeviceApi.dll
  c:\arquivos de programas\GBPLUGIN\gbieh.dll
  c:\arquivos de programas\GbPlugin\gbiehcef.dll
  .
  ------------------------ Outros Processos em Execução ------------------------
  .
  c:\arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
  c:\arquivos de programas\RealVNC\VNC4\WinVNC4.exe
  c:\windows\system32\CCM\CcmExec.exe
  c:\windows\system32\msiexec.exe
  c:\windows\RTHDCPL.EXE
  c:\arquiv~1\3M\PSNLite\PSNGive.exe
  .
  **************************************************************************
  .
  Tempo para conclusão: 2011-05-05  15:14:59 - Máquina reiniciou
  ComboFix-quarantined-files.txt  2011-05-05 18:14
  .
  Pré-execução: 11 pasta(s) 26.237.984.768 bytes disponíveis
  Pós execução: 14 pasta(s) 26.400.137.216 bytes disponíveis
  .
  - - End Of File - - 51B901A8AE5E8ABE65C26B9C1C2B4A3C

  quinta-feira, 5 de maio de 2011 18:26

  Responder

  |

  Citação
• 

  

  1

  Entrar para Votar

  Olá,

  Provavelmente você está com o usuário que fez logon, desconectado no gerenciador de terminais. Você tem outra conta criada como administrador?

  Está acontecendo em todos os computadores do dominio?

  Abraços.

  quinta-feira, 5 de maio de 2011 19:22

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Não são em todos, mas já observei em alguns. Qto ao gerenciador de terminais não acredito q seja.  Acontece com logon de usuario avançado e com a minha que é administrador.

  quinta-feira, 5 de maio de 2011 20:43

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Olá Gislaine,

   

  Possíveis causas:

  1 - Vírus ( no log do combofix, foi removido algumas coisinhas lá )

  2 - Sistema Operacional ( Sim, pode acontecer em vários pcs )

   

  Você já passou o combofix na máquina e não resolveu.

   

  Faça um reparo modo visual no pc...

   

  Dê o boot com o CD do Windows XP,

  Tecle enter na primeira tela,

  E aperte R para iniciar o reparo... ele vai trocar os arquivos de sistema, entre eles o explorer.exe

  Veja se funciona, se sim, aplique nas outras máquinas.

  Fico no aguardo

   

  att,

  ---

  Icaro Tallis - icarotallis@yahoo.com.br

  • Marcado como Resposta Richard Juhasz quarta-feira, 11 de maio de 2011 20:52

  sexta-feira, 6 de maio de 2011 11:15

  Responder

  |

  Citação
• 

  

  0

  Entrar para Votar

  Não são em todos, mas já observei em alguns. Qto ao gerenciador de terminais não acredito q seja.  Acontece com logon de usuario avançado e com a minha que é administrador.

  
  Gislaine,

  Abra o registro(regedit.exe) desta estação e navegue sobre as chaves abaixo;

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

  Ao lado direito, veja qual é o valor da chave Userinit(REG_SZ).

  ---

  Your Potential, Our Passion

  • Marcado como Resposta Richard Juhasz quarta-feira, 11 de maio de 2011 20:52

  sábado, 7 de maio de 2011 01:24

  Responder

  |

  Citação