• Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   13-02-2016

      Prezados membros do Clube do Hardware,

      Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:
        Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas ao formulário abaixo:    Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Seguidores 0
ActionMan

Socorro!

6 posts neste tópico

Fala galera!

estou com um grande problema no micro da minha Diretora:

sempre que estou navegando abre uma janela do IE com o seguinte endereço: "www.casinojems.com.br/alguma coisa". :muro:

Antes de postar esta mensagem, executei todos os procedimentos citados no Tópico: "ANTES DE POSTAR".

Resolvi seguir o exemplo do nosso amigo " didamail" e esou postando também o Log do HijackThis .

O micro dela é um Dell Optiplex com WInXP.

Desde já agradeço a ajuda!

Logfile of HijackThis v1.98.2

Scan saved at 20:44:53, on 16/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Nhksrv.exe

C:\Arquivos de programas\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\Arquivos de programas\Trend Micro\OfficeScan Client\tmlisten.exe

C:\Arquivos de programas\Trend Micro\OfficeScan Client\ofcdog.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\DELLMMKB.EXE

C:\WINDOWS\System32\hkcmd.exe

C:\Arquivos de programas\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\system32\NWTRAY.EXE

C:\ARQUIV~1\TEXTBR~1.0\Bin\INSTAN~1.EXE

C:\WINDOWS\system32\lsass386.exe

C:\Arquivos de programas\Netropa\OSD.exe

C:\Arquivos de programas\Trend Micro\OfficeScan Client\pccntmon.exe

C:\WINDOWS\system32\cpxp.exe

C:\WINDOWS\system32\csrss386.exe

C:\Documents and Settings\dc\Menu Iniciar\Programas\Inicializar\clntrust.exe

C:\Arquivos de programas\SpywareGuard\sgmain.exe

C:\Arquivos de programas\SpywareGuard\sgbhp.exe

C:\ARQUIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\dc\Configurações locais\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.adpweb.com.br/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.2:8080

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Arquivos de programas\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE

O4 - HKLM\..\Run: [instantAccess] C:\ARQUIV~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h

O4 - HKLM\..\Run: [RegisterDropHandler] C:\ARQUIV~1\TEXTBR~1.0\Bin\REGIST~1.EXE

O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Arquivos de programas\WordPerfect Office 11\Programs\QFSCHD110.EXE"

O4 - HKLM\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe

O4 - HKLM\..\Run: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKLM\..\Run: [Microsoft LSASS386 Protocol] lsass386.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Arquivos de programas\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [Microsoft CPXP Protocol] cpxp.exe

O4 - HKLM\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe

O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\ARQUIV~1\TEXTBR~1.0\Bin\REGIST~1.EXE

O4 - HKLM\..\RunServices: [Microsoft Windows System Update] rpcxupdtsys.exe

O4 - HKLM\..\RunServices: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKLM\..\RunServices: [Microsoft LSASS386 Protocol] lsass386.exe

O4 - HKLM\..\RunServices: [Microsoft CPXP Protocol] cpxp.exe

O4 - HKLM\..\RunServices: [Microsoft CSRSS386 Protocol] csrss386.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe

O4 - HKCU\..\Run: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKCU\..\Run: [Microsoft LSASS386 Protocol] lsass386.exe

O4 - HKCU\..\Run: [Microsoft CPXP Protocol] cpxp.exe

O4 - HKCU\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe

O4 - Startup: CLNTRUST.EXE

O4 - Startup: SpywareGuard.lnk = C:\Arquivos de programas\SpywareGuard\sgmain.exe

O4 - Global Startup: GroupWise Notify.lnk = C:\Novell\GroupWise\Notify.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://192.168.1.5/officescan/console/Clie...ll/WinNTChk.cab

O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - https://192.168.1.5/officescan/console/Clie...ll/setupini.cab

O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://192.168.1.5/officescan/console/Clie...stall/setup.cab

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://wwwss.bradesco.com.br/ib2k1/scpsssh2.cab

O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://192.168.1.5/officescan/console/html/AtxEnc.cab

O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://192.168.1.5/officescan/console/Clie.../RemoveCtrl.cab

O16 - DPF: {6F7864F9-DB33-11D3-8166-0060B0F885E6} (VSPTA Class) - https://certificacao.unibanco.com.br/VSApps/vspta3.cab

O16 - DPF: {CFCBB7FA-EA9F-4AE7-9AA6-FA8F6650CAEA} (vcash10 Class) - https://bradesconetempresa.com.br/pj/vpedne10.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

Compartilhar este post


Link para o post
Compartilhar em outros sites

MOVA o HijackThis para uma pasta própria (ex: C:\HijackThis) para que os backups sejam criados.

Reinicie o computador no Modo de Segurança apertando F8 logo que ligar o computador até aparecer um menu onde você poderá selecionar a opção "Modo Seguro".

Lá, abra o HijackThis e marque as seguintes entradas:

O4 - HKLM\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe

O4 - HKLM\..\Run: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKLM\..\Run: [Microsoft LSASS386 Protocol] lsass386.exe

O4 - HKLM\..\Run: [Microsoft CPXP Protocol] cpxp.exe

O4 - HKLM\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe

O4 - HKLM\..\RunServices: [Microsoft Windows System Update] rpcxupdtsys.exe

O4 - HKLM\..\RunServices: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKLM\..\RunServices: [Microsoft LSASS386 Protocol] lsass386.exe

O4 - HKLM\..\RunServices: [Microsoft CPXP Protocol] cpxp.exe

O4 - HKLM\..\RunServices: [Microsoft CSRSS386 Protocol] csrss386.exe

O4 - HKCU\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe

O4 - HKCU\..\Run: [Microsoft SSISVRI32 Protocol] ssisvri.exe

O4 - HKCU\..\Run: [Microsoft LSASS386 Protocol] lsass386.exe

O4 - HKCU\..\Run: [Microsoft CPXP Protocol] cpxp.exe

O4 - HKCU\..\Run: [Microsoft CSRSS386 Protocol] csrss386.exe

Depois de marcado, clique em Fix Checked.

Configure o Windows para ver todos os arquivos.

Depois apague os seguintes arquivos:

-- ATENÇÃO: Comparque com cuidado pois alguns usam nomes parecidos com os arquivos do sistema, que não devem ser removidos.

C:\WINDOWS\system32\cpxp.exe

C:\WINDOWS\system32\csrss386.exe

C:\WINDOWS\system32\lsass386.exe

C:\WINDOWS\system32\ssisvri.exe

C:\WINDOWS\system32\rpcxupdtsys.exe

Reinicie o computador.

Se você usa o Messenger Plus!, veja esse tópico:

http://forum.clubedohardware.com.br/index....howtopic=213113

Verifique se os problemas continuam e faça um novo log do HijackThis.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Valeu FallenHawk. Mas só vou poder testar após as 18:30min. Horário que a Diretora costuma sair...

Compartilhar este post


Link para o post
Compartilhar em outros sites

Cara, não estou conseguindo excluir aqueles arquivos. Mesmo iniciando no Modo Seguro, o arquivo está sendo usado pelo sistema e não deixa excluir.

Iniciei no Modo Seguro com Prompt mas também não consigo excluir: "Acesso Negado".

Criei disco de Inicialização, mas ao dar boot ele não "enxerga" a unidade "C:\".

E agora? :tantan:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ufa! Consegui. Estava tentando excluir os arquivos errados!

Deu tudo certo. Parece que meus problemas acabaram!

Valeu mesmo FallenHawk!!!

Olha como ficou o log.

Logfile of HijackThis v1.98.2

Scan saved at 20:18:51, on 17/12/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Nhksrv.exe

C:\Arquivos de programas\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\Arquivos de programas\Trend Micro\OfficeScan Client\tmlisten.exe

C:\Arquivos de programas\Trend Micro\OfficeScan Client\ofcdog.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\DELLMMKB.EXE

C:\WINDOWS\System32\hkcmd.exe

C:\Arquivos de programas\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\system32\NWTRAY.EXE

C:\Arquivos de programas\Netropa\OSD.exe

C:\Arquivos de programas\Trend Micro\OfficeScan Client\pccntmon.exe

C:\Documents and Settings\dc\Menu Iniciar\Programas\Inicializar\clntrust.exe

C:\Arquivos de programas\SpywareGuard\sgmain.exe

C:\Arquivos de programas\SpywareGuard\sgbhp.exe

C:\Documents and Settings\dc\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.adpweb.com.br/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.2:8080

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Arquivos de programas\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE

O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Arquivos de programas\WordPerfect Office 11\Programs\QFSCHD110.EXE"

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Arquivos de programas\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\MSMSGS.EXE" /background

O4 - Startup: CLNTRUST.EXE

O4 - Startup: SpywareGuard.lnk = C:\Arquivos de programas\SpywareGuard\sgmain.exe

O4 - Global Startup: GroupWise Notify.lnk = C:\Novell\GroupWise\Notify.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://192.168.1.5/officescan/console/Clie...ll/WinNTChk.cab

O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - https://192.168.1.5/officescan/console/Clie...ll/setupini.cab

O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://192.168.1.5/officescan/console/Clie...stall/setup.cab

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://wwwss.bradesco.com.br/ib2k1/scpsssh2.cab

O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://192.168.1.5/officescan/console/html/AtxEnc.cab

O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://192.168.1.5/officescan/console/Clie.../RemoveCtrl.cab

O16 - DPF: {6F7864F9-DB33-11D3-8166-0060B0F885E6} (VSPTA Class) - https://certificacao.unibanco.com.br/VSApps/vspta3.cab

O16 - DPF: {CFCBB7FA-EA9F-4AE7-9AA6-FA8F6650CAEA} (vcash10 Class) - https://bradesconetempresa.com.br/pj/vpedne10.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0C23B989-3BCA-4327-9A8C-E2B9CA75A5CC}: NameServer = 200.184.26.3 200.184.46.2

O17 - HKLM\System\CS1\Services\Tcpip\..\{0C23B989-3BCA-4327-9A8C-E2B9CA75A5CC}: NameServer = 200.184.26.3 200.184.46.2

Abraços.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Problema Resolvido!

Caso o autor necessite que o tópico seja reaberto, favor enviar mensagem privada para um dos moderadores dessa área.

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  
Seguidores 0