Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
ActionMan

Socorro!

Recommended Posts

Fala galera!

estou com um grande problema no micro da minha Diretora:

sempre que estou navegando abre uma janela do IE com o seguinte endereço: "www.casinojems.com.br/alguma coisa". :muro:

Antes de postar esta mensagem, executei todos os procedimentos citados no Tópico: "ANTES DE POSTAR".

Resolvi seguir o exemplo do nosso amigo " didamail" e esou postando também o Log do HijackThis .

O micro dela é um Dell Optiplex com WInXP.

Desde já agradeço a ajuda!

Logfile of HijackThis v1.98.2

Scan saved at 20:44:53, on 16/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Nhksrv.exe

C:\Arquivos de programas\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\Arquivos de programas\Trend Micro\OfficeScan Client\tmlisten.exe

C:\Arquivos de programas\Trend Micro\OfficeScan Client\ofcdog.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\DELLMMKB.EXE

C:\WINDOWS\System32\hkcmd.exe

C:\Arquivos de programas\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\system32\NWTRAY.EXE

C:\ARQUIV~1\TEXTBR~1.0\Bin\INSTAN~1.EXE

C:\WINDOWS\system32\lsass386.exe

C:\Arquivos de programas\Netropa\OSD.exe

C:\Arquivos de programas\Trend Micro\OfficeScan Client\pccntmon.exe

C:\WINDOWS\system32\cpxp.exe

C:\WINDOWS\system32\csrss386.exe

C:\Documents and Settings\dc\Menu Iniciar\Programas\Inicializar\clntrust.exe

C:\Arquivos de programas\SpywareGuard\sgmain.exe

C:\Arquivos de programas\SpywareGuard\sgbhp.exe

C:\ARQUIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\dc\Configurações locais\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.adpweb.com.br/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.2:8080

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Arquivos de programas\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE

O4 - HKLM\..\Run: [instantAccess] C:\ARQUIV~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h

O4 - HKLM\..\Run: [RegisterDropHandler] C:\ARQUIV~1\TEXTBR~1.0\Bin\REGIST~1.EXE

O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Arquivos de programas\WordPerfect Office 11\Programs\QFSCHD110.EXE"

O4 - HKLM\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe

O4 - HKLM\..\Run: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKLM\..\Run: [Microsoft LSASS386 Protocol] lsass386.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Arquivos de programas\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [Microsoft CPXP Protocol] cpxp.exe

O4 - HKLM\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe

O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\ARQUIV~1\TEXTBR~1.0\Bin\REGIST~1.EXE

O4 - HKLM\..\RunServices: [Microsoft Windows System Update] rpcxupdtsys.exe

O4 - HKLM\..\RunServices: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKLM\..\RunServices: [Microsoft LSASS386 Protocol] lsass386.exe

O4 - HKLM\..\RunServices: [Microsoft CPXP Protocol] cpxp.exe

O4 - HKLM\..\RunServices: [Microsoft CSRSS386 Protocol] csrss386.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe

O4 - HKCU\..\Run: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKCU\..\Run: [Microsoft LSASS386 Protocol] lsass386.exe

O4 - HKCU\..\Run: [Microsoft CPXP Protocol] cpxp.exe

O4 - HKCU\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe

O4 - Startup: CLNTRUST.EXE

O4 - Startup: SpywareGuard.lnk = C:\Arquivos de programas\SpywareGuard\sgmain.exe

O4 - Global Startup: GroupWise Notify.lnk = C:\Novell\GroupWise\Notify.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://192.168.1.5/officescan/console/Clie...ll/WinNTChk.cab

O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - https://192.168.1.5/officescan/console/Clie...ll/setupini.cab

O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://192.168.1.5/officescan/console/Clie...stall/setup.cab

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://wwwss.bradesco.com.br/ib2k1/scpsssh2.cab

O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://192.168.1.5/officescan/console/html/AtxEnc.cab

O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://192.168.1.5/officescan/console/Clie.../RemoveCtrl.cab

O16 - DPF: {6F7864F9-DB33-11D3-8166-0060B0F885E6} (VSPTA Class) - https://certificacao.unibanco.com.br/VSApps/vspta3.cab

O16 - DPF: {CFCBB7FA-EA9F-4AE7-9AA6-FA8F6650CAEA} (vcash10 Class) - https://bradesconetempresa.com.br/pj/vpedne10.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

Compartilhar este post


Link para o post
Compartilhar em outros sites

MOVA o HijackThis para uma pasta própria (ex: C:\HijackThis) para que os backups sejam criados.

Reinicie o computador no Modo de Segurança apertando F8 logo que ligar o computador até aparecer um menu onde você poderá selecionar a opção "Modo Seguro".

Lá, abra o HijackThis e marque as seguintes entradas:

O4 - HKLM\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe

O4 - HKLM\..\Run: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKLM\..\Run: [Microsoft LSASS386 Protocol] lsass386.exe

O4 - HKLM\..\Run: [Microsoft CPXP Protocol] cpxp.exe

O4 - HKLM\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe

O4 - HKLM\..\RunServices: [Microsoft Windows System Update] rpcxupdtsys.exe

O4 - HKLM\..\RunServices: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKLM\..\RunServices: [Microsoft LSASS386 Protocol] lsass386.exe

O4 - HKLM\..\RunServices: [Microsoft CPXP Protocol] cpxp.exe

O4 - HKLM\..\RunServices: [Microsoft CSRSS386 Protocol] csrss386.exe

O4 - HKCU\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe

O4 - HKCU\..\Run: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKCU\..\Run: [Microsoft LSASS386 Protocol] lsass386.exe

O4 - HKCU\..\Run: [Microsoft CPXP Protocol] cpxp.exe

O4 - HKCU\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe

Depois de marcado, clique em Fix Checked.

Configure o Windows para ver todos os arquivos.

Depois apague os seguintes arquivos:

-- ATENÇÃO: Comparque com cuidado pois alguns usam nomes parecidos com os arquivos do sistema, que não devem ser removidos.

C:\WINDOWS\system32\cpxp.exe

C:\WINDOWS\system32\csrss386.exe

C:\WINDOWS\system32\lsass386.exe

C:\WINDOWS\system32\ssisvri.exe

C:\WINDOWS\system32\rpcxupdtsys.exe

Reinicie o computador.

Se você usa o Messenger Plus!, veja esse tópico:

http://forum.clubedohardware.com.br/index....howtopic=213113

Verifique se os problemas continuam e faça um novo log do HijackThis.

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Valeu FallenHawk. Mas só vou poder testar após as 18:30min. Horário que a Diretora costuma sair...

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Cara, não estou conseguindo excluir aqueles arquivos. Mesmo iniciando no Modo Seguro, o arquivo está sendo usado pelo sistema e não deixa excluir.

    Iniciei no Modo Seguro com Prompt mas também não consigo excluir: "Acesso Negado".

    Criei disco de Inicialização, mas ao dar boot ele não "enxerga" a unidade "C:\".

    E agora? :tantan:

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Ufa! Consegui. Estava tentando excluir os arquivos errados!

    Deu tudo certo. Parece que meus problemas acabaram!

    Valeu mesmo FallenHawk!!!

    Olha como ficou o log.

    Logfile of HijackThis v1.98.2

    Scan saved at 20:18:51, on 17/12/2004

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Nhksrv.exe

    C:\Arquivos de programas\Trend Micro\OfficeScan Client\ntrtscan.exe

    C:\Arquivos de programas\Trend Micro\OfficeScan Client\tmlisten.exe

    C:\Arquivos de programas\Trend Micro\OfficeScan Client\ofcdog.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\DELLMMKB.EXE

    C:\WINDOWS\System32\hkcmd.exe

    C:\Arquivos de programas\Microsoft Hardware\Mouse\point32.exe

    C:\WINDOWS\system32\NWTRAY.EXE

    C:\Arquivos de programas\Netropa\OSD.exe

    C:\Arquivos de programas\Trend Micro\OfficeScan Client\pccntmon.exe

    C:\Documents and Settings\dc\Menu Iniciar\Programas\Inicializar\clntrust.exe

    C:\Arquivos de programas\SpywareGuard\sgmain.exe

    C:\Arquivos de programas\SpywareGuard\sgbhp.exe

    C:\Documents and Settings\dc\Desktop\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.adpweb.com.br/

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.2:8080

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

    O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Arquivos de programas\SpywareGuard\dlprotect.dll

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

    O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE

    O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

    O4 - HKLM\..\Run: [POINTER] point32.exe

    O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE

    O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Arquivos de programas\WordPerfect Office 11\Programs\QFSCHD110.EXE"

    O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Arquivos de programas\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

    O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\MSMSGS.EXE" /background

    O4 - Startup: CLNTRUST.EXE

    O4 - Startup: SpywareGuard.lnk = C:\Arquivos de programas\SpywareGuard\sgmain.exe

    O4 - Global Startup: GroupWise Notify.lnk = C:\Novell\GroupWise\Notify.exe

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://192.168.1.5/officescan/console/Clie...ll/WinNTChk.cab

    O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - https://192.168.1.5/officescan/console/Clie...ll/setupini.cab

    O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://192.168.1.5/officescan/console/Clie...stall/setup.cab

    O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://wwwss.bradesco.com.br/ib2k1/scpsssh2.cab

    O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://192.168.1.5/officescan/console/html/AtxEnc.cab

    O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://192.168.1.5/officescan/console/Clie.../RemoveCtrl.cab

    O16 - DPF: {6F7864F9-DB33-11D3-8166-0060B0F885E6} (VSPTA Class) - https://certificacao.unibanco.com.br/VSApps/vspta3.cab

    O16 - DPF: {CFCBB7FA-EA9F-4AE7-9AA6-FA8F6650CAEA} (vcash10 Class) - https://bradesconetempresa.com.br/pj/vpedne10.cab

    O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{0C23B989-3BCA-4327-9A8C-E2B9CA75A5CC}: NameServer = 200.184.26.3 200.184.46.2

    O17 - HKLM\System\CS1\Services\Tcpip\..\{0C23B989-3BCA-4327-9A8C-E2B9CA75A5CC}: NameServer = 200.184.26.3 200.184.46.2

    Abraços.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Problema Resolvido!

    Caso o autor necessite que o tópico seja reaberto, favor enviar mensagem privada para um dos moderadores dessa área.

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×