• Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   13-02-2016

      Prezados membros do Clube do Hardware,

      Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:
        Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas ao formulário abaixo:    Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Seguidores 0
bruno _tavares

Spyware que modifica o Internet Explorer

27 posts neste tópico

Boa tarde a todos.

Acabei de me cadastrar e ja estou com um PROBLEMÃO que esta me deixando de cabelo em pé, a porcaria dos SPYWARES.

Atraves de uma materia (Removendo o Spyware que modifica o Internet Explorer) no site do clube, encontre quais os procedimetos que deveria seguir para remove-lo, so que uso o Windows 98, e não encontreia algumas passagens descritas na materia.

Ex:Onde encontro a opção Desativar restauração do sistema?, no menu iniciar pedi para executar "Services.msc." me retornou mensagem que o caminho estava errado...gostaria que se alguem pudesse me ajudar passando com detalhes como faço para resolver este PROBLEMÃO.

Desde já Agradeço a colaboração de todos

Sds

Bruno Tavares :muro:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Faça um log do HijackThis e cole-o na resposta para te ajudarmos melhor.

PS: Faça apenas o log e não marque nenhuma entrada no HijackThis se você não tem absoluta certeza do que está fazendo, pois ele detecta várias entradas legítimas do sistema que não devem ser removidas.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Logfile of HijackThis v1.98.2

Scan saved at 18:29:16, on 01/02/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\PTSNOOP.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGCC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGEMC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGAMSVR.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\SYSTEM\CMMON32.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARQUIVOS DE PROGRAMAS\OUTLOOK EXPRESS\MSIMN.EXE

C:\ARQUIVOS DE PROGRAMAS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qualquer=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

F1 - win.ini: load=ptsnoop.exe

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe hpfsched

O2 - BHO: (no name) - {9EB5D900-6CAD-11D9-B4E1-00024453B133} - C:\WINDOWS\SYSTEM\MSBXS.DLL (file missing)

O2 - BHO: (no name) - {97849C61-6CAE-11D9-B4E1-0002062BB278} - C:\WINDOWS\SYSTEM\LFKL.DLL

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O3 - Toolbar: @msdxmLC.dll,-1@1046,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\IESP1.DLL

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\GRISOFT\AVG7\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARQUIV~1\GRISOFT\AVG7\AVGAMSVR.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\ARQUIVOS DE PROGRAMAS\MSN MESSENGER\MSNMSGR.EXE" /background

O4 - Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {11111111-1111-1111-1111-111111113458} - file://C:\WINDOWS\Tempor~1\Content.IE5\GDIRG5AN\explorer77[1].cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/E59hhQRkk00JCtuQ.chm::/on-line.exe

O18 - Filter: text/html - {97849C60-6CAE-11D9-B4E1-0002696717E3} - C:\WINDOWS\SYSTEM\LFKL.DLL

O21 - SSODL: yjgBdMVGrVmhZO - {342019FA-9E8A-B350-8505-431463A60FCF} - C:\WINDOWS\SYSTEM\YBTX.DLL

Desde ja agradeço

Bruno Tavares. :chicote:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Postado Originalmente por bruno_tavares@Postado em 01 fev 2005, 19:09

[...]

Logfile of HijackThis v1.98.2

Scan saved at 18:29:16, on 01/02/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

[...]

Bruno _Tavares,

O relatório existente no seu último post foi emitido a partir do HijackThis, versão 1.98.2. É importante você baixar o HijackThis versão 1.99.0, através do link disposto AQUI, pelo fato desta última versão ter mecanismos mais precisos e atualizados. Talvez você esteja ciente dos termos que vou redigir, contudo, vou adiante com a melhor das intenções: Após baixar o arquivo que virá zipado, crie uma nova pasta denominada HijackThis, extraindo o programa do Zip para pasta recém-criada. Clique apenas em "Do a system scan only" e após receber o resultado clique apenas em "Save Log". Salve o relatório na pasta HijackThis, cópie o relatório e disponha no tópico intitulado Spyware que modifica o Internet Explorer, para avaliação.

OFAJ.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ai vai OFAJ

Logfile of HijackThis v1.98.2

Scan saved at 18:29:16, on 01/02/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\PTSNOOP.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGCC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGEMC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGAMSVR.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\SYSTEM\CMMON32.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARQUIVOS DE PROGRAMAS\OUTLOOK EXPRESS\MSIMN.EXE

C:\ARQUIVOS DE PROGRAMAS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qualquer=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

F1 - win.ini: load=ptsnoop.exe

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe hpfsched

O2 - BHO: (no name) - {9EB5D900-6CAD-11D9-B4E1-00024453B133} - C:\WINDOWS\SYSTEM\MSBXS.DLL (file missing)

O2 - BHO: (no name) - {97849C61-6CAE-11D9-B4E1-0002062BB278} - C:\WINDOWS\SYSTEM\LFKL.DLL

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O3 - Toolbar: @msdxmLC.dll,-1@1046,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\IESP1.DLL

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\GRISOFT\AVG7\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARQUIV~1\GRISOFT\AVG7\AVGAMSVR.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\ARQUIVOS DE PROGRAMAS\MSN MESSENGER\MSNMSGR.EXE" /background

O4 - Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {11111111-1111-1111-1111-111111113458} - file://C:\WINDOWS\Tempor~1\Content.IE5\GDIRG5AN\explorer77[1].cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/E59hhQRkk00JCtuQ.chm::/on-line.exe

O18 - Filter: text/html - {97849C60-6CAE-11D9-B4E1-0002696717E3} - C:\WINDOWS\SYSTEM\LFKL.DLL

O21 - SSODL: yjgBdMVGrVmhZO - {342019FA-9E8A-B350-8505-431463A60FCF} - C:\WINDOWS\SYSTEM\YBTX.DLL

Sds

Bruno Tavares :joia:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Postado Originalmente por bruno _tavares@01 fev 2005, 21:01

[...]

Logfile of HijackThis v1.98.2

Scan saved at 18:29:16, on 01/02/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

[...]

Bruno Tavares,

Conforme informações em cota supra, o mais recomendável é você baixar a última versão do HijackThis, neste sentido, utilize dos procedimentos dispostos anteriormente. Vide tópico de 01 fev 2005, 19:59.

OFAJ

Compartilhar este post


Link para o post
Compartilhar em outros sites

OFAJ

Não sei se entendi muito bem sua resposta, mas ja fiz o download da nova versão do HijackThis , salvei o log, so que não sei muito bem o que pedir para deletar, me disseram que voce tem que saber o que deletar, pois se deletar algo errado já era, se possível gostaria que me enviasse passo a passo o que devo deletar ou melhor alguma solução para o meu problema....

Desde já agradeço

Bruno Tavares. :muro:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Postado Originalmente por bruno _tavares+01 fev 2005, 21:01QUOTE (bruno _tavares @ 01 fev 2005, 21:01)[...]

Logfile of HijackThis v1.98.2

Scan saved at 18:29:16, on 01/02/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

[...]

Bruno Tavares,

O seu relatório é referente a uma versão não atualizada, no caso, a versão , 1.98.2. Se você emitir um relatório via versão 1.99.0, que é a mais atualizada, constará no cabeçalho o número desta última versão, vide exemplo:

OFAJ@** 00 ****, **:**

[...]

Logfile of HijackThis v1.99.0

[...]

Compartilhar este post


Link para o post
Compartilhar em outros sites

OFAJ

Desculpe quando fiz o log, acho que fiz do antigo, agora sim vai o correto.

Sds

Bruno Tavares.

Logfile of HijackThis v1.99.0

Scan saved at 22:01:03, on 02/02/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\PTSNOOP.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGCC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGEMC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGAMSVR.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\HPZSTATX.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\SYSTEM\CMMON32.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qualquer=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

F1 - win.ini: load=ptsnoop.exe

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe hpfsched

O2 - BHO: (no name) - {9EB5D900-6CAD-11D9-B4E1-00024453B133} - C:\WINDOWS\SYSTEM\MSBXS.DLL (file missing)

O2 - BHO: (no name) - {97849C61-6CAE-11D9-B4E1-0002062BB278} - C:\WINDOWS\SYSTEM\LFKL.DLL

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O3 - Toolbar: @msdxmLC.dll,-1@1046,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\IESP1.DLL

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\GRISOFT\AVG7\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARQUIV~1\GRISOFT\AVG7\AVGAMSVR.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\ARQUIVOS DE PROGRAMAS\MSN MESSENGER\MSNMSGR.EXE" /background

O4 - HKCU\..\Run: [spyware Vanisher] C:\SPYWAREVANISHER-FREE\FREESCANNER.EXE -FastScan

O4 - Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {11111111-1111-1111-1111-111111113458} - file://C:\WINDOWS\Tempor~1\Content.IE5\GDIRG5AN\explorer77[1].cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/E59hhQRkk00JCtuQ.chm::/on-line.exe

O18 - Filter: text/html - {97849C60-6CAE-11D9-B4E1-0002696717E3} - C:\WINDOWS\SYSTEM\LFKL.DLL

O21 - SSODL: yjgBdMVGrVmhZO - {342019FA-9E8A-B350-8505-431463A60FCF} - C:\WINDOWS\SYSTEM\YBTX.DLL

Compartilhar este post


Link para o post
Compartilhar em outros sites

Postado Originalmente por bruno _tavares@02 fev 2005, 22:11

[...]

Logfile of HijackThis v1.99.0

Scan saved at 22:01:03, on 02/02/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

[...]

Bruno _Tavares, diante das informações presentes no último relatório, no meu modesto entendimento, constam 7 entradas suspeitas, que deverão ser suprimidas. Os procedimentos para isso serão dispostos adiante, mas antes disso, tome duas providências.

1- Desabilite a opção de restauração do sistema, para tanto, vide procedimentos clicando AQUI.

2- Vá no menu "Iniciar" ==>> Clique em "Executar" ==>> Cole ou digite os termos "notepad.exe" - sem aspas. Cópie somente o teor deste post, cole no bloco de notas e salve em uma pasta de fácil acesso. Quando você estiver operando no "Modo Seguro" acesse e utilize este arquivo, pois páginas eletrônicas ficam inacessíveis nestas condições.

Partindo para os procedimentos de remoção das 7 entradas suspeitas:

O programa HijackThis, deve ser aberto no "Modo Seguro". Neste sentido basta reiniciar o micro teclando F-8 constantemente, optando posteriormente por iniciar o micro no "Modo Seguro".

Com o programa aberto nestas condições clique em 'View the list of backups' e vá na aba 'Main' verificando e habilitando o boxe com a opção 'Make Backups before fixing items'. Provavelmete este boxe já estará habilitado, junto com outros, mas convêm verificar para evitar ações sem saída.

Feito isso clique primeiro em 'Back' e depois em 'Scan'. Após obter os resultados, desabilite todas entradas que estão com boxes habilitados. Após isso selecione, com atenção, apenas as 7 entradas destacadas abaixo, clicando posteriormente em "Fix Checked".

=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qualquer=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure

O2 - BHO: (no name) - {9EB5D900-6CAD-11D9-B4E1-00024453B133} - C:\WINDOWS\SYSTEM\MSBXS.DLL (file missing)

O2 - BHO: (no name) - {97849C61-6CAE-11D9-B4E1-0002062BB278} - C:\WINDOWS\SYSTEM\LFKL.DLL

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\IESP1.DLL

O16 - DPF: {11111111-1111-1111-1111-111111113458} - file://C:\WINDOWS\Tempor~1\Content.IE5\GDIRG5AN\explorer77[1].cab

=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>

Faça um rastreamento online sobre um arquivos; Acesse esse SCAN, colando os seguintes termos no campo "Procurar":

C:\WINDOWS\PTSNOOP.EXE

Veja o resultado e repasse para análise.

Importante:

Após concluir os passos acima, faça um novo Scan via Hijackthis, salvando e substituindo o relatório antigo, por fim, copiando o teor do mesmo e disponibilizando para análise do fórum, aproveitando para informar se houve alteração do quadro apresentado no post inicial. Não esqueça: Hijackthis, versão 1.99.0.

OFAJ

Compartilhar este post


Link para o post
Compartilhar em outros sites

OFAJ

Pelo que fiquei sabendo o Windows 98 não permite criar restauração do sistema, será que posso continuar seguindo as instruções pulando esta parte de restauração...

Sds

Bruno Tavares

Compartilhar este post


Link para o post
Compartilhar em outros sites

Postado Originalmente por bruno _tavares@03 fev 2005, 16:35

Pelo que fiquei sabendo o Windows 98 não permite criar restauração do sistema, será que posso continuar seguindo as instruções pulando esta parte de restauração...

Não tem mesmo. Pode continuar sem isso.

LEIA COM ATENÇÃO E SIGA ESSAS INSTRUÇÕES:

Baixe essa ferramenta para sua área de trabalho e rode. Depois de rodar essa ferramenta você verá um arquivo chamado FxAgentB.log. Nós precisamos da informação que está nele portanto guarde-o e poste o no tópico. Você não pode rodar ela direto do dowload porque nós precisamos desse log!

E não esqueça do novo log do HijacKThis na sua resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

OFAJ e FallenHawk

Segui todos os passos conforme descritos, aparentemente o computador parou de apresentar os problemas no Internet Explorer.

Relembrando o OFAJ numas das passagens pediu para que procura-se no no PC o arquivo PTSNOOP.EXE, esse arquivo foi localizado, qual a sua finalidade???

Abaixo segue o log recente logo após deletar os arquivos selecionados

Logfile of HijackThis v1.99.0

Scan saved at 19:30:29, on 03/02/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\PTSNOOP.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGCC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGEMC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGAMSVR.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\SYSTEM\CMMON32.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

F1 - win.ini: load=ptsnoop.exe

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe hpfsched

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O3 - Toolbar: @msdxmLC.dll,-1@1046,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\GRISOFT\AVG7\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARQUIV~1\GRISOFT\AVG7\AVGAMSVR.EXE

O4 - HKLM\..\Run: [KAZAA] "C:\ARQUIVOS DE PROGRAMAS\KAZAA K++\KPP.EXE" "C:\ARQUIVOS DE PROGRAMAS\KAZAA K++\KAZAA.KPP" /SYSTRAY

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\ARQUIVOS DE PROGRAMAS\MSN MESSENGER\MSNMSGR.EXE" /background

O4 - HKCU\..\Run: [spyware Vanisher] C:\SPYWAREVANISHER-FREE\FREESCANNER.EXE -FastScan

O4 - Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/E59hhQRkk00JCtuQ.chm::/on-line.exe

O18 - Filter: text/html - {97849C60-6CAE-11D9-B4E1-0002696717E3} - C:\WINDOWS\SYSTEM\LFKL.DLL

O21 - SSODL: yjgBdMVGrVmhZO - {342019FA-9E8A-B350-8505-431463A60FCF} - C:\WINDOWS\SYSTEM\YBTX.DLL

Obs: Sera que fiquei livre dos Spywares???

Agradeço a todos pela boa vontade de ajudar o próximo

Sds

Bruno Tavares.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Atraves do link, não entendi muito bem como deleta-lo, consigo deletar atraves do AVG???, se possivel me passe como faço para deleta-lo passo a passo.

Sds

Bruno Tavares.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Abaixo, o link para a ferramenta de remoção:

Download Scanner and Remover

Obs: Faça a remoção em modo seguro.

Editado: O programa contido no link possuia um link de afiliado que garante dinheiro para o afiliado quando a pessoa clica no link. Além disso, o programa se trata na verdade de um anti-spyware falso que instala mais spywares. Programas desse tipo são considerados maliciosos e ferem as regras do fórum

Compartilhar este post


Link para o post
Compartilhar em outros sites

Postado Originalmente por josemelo@03 fev 2005, 20:10

Trata-se de um vírus:

Ptsnoop.Exe

Amigo leia de novo a descrição no site:

Load=C:\Windows\System\Ptsnoop.exe

Agora veja o log do HijackThis:

C:\WINDOWS\PTSNOOP.EXE

Esse arquivo pode se tratar do driver do modem e não de um trojan.

bruno _tavares, não apague o arquivo.

Siga os passos do OFAJ e vá até o site pra verificar. Eu também ainda preciso do contéudo do arquivo FxAgentB.log criado pela ferramenta de remoção que você rodou.

Vá em Iniciar -> Configurações -> Painel de Controle -> Adicionar/Remover Programas.

Procure o Spyware Vanisher e remova-o. (Esse programa está relacionado com companhias que fazem spyware).

Compartilhar este post


Link para o post
Compartilhar em outros sites
Postado Originalmente por OFAJ@02 fev 2005, 23:01

=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>

Faça um rastreamento online sobre um arquivos; Acesse esse SCAN, colando os seguintes termos no campo "Procurar":

C:\WINDOWS\PTSNOOP.EXE

Veja o resultado e repasse para análise.

Importante:

Após concluir os passos acima, faça um novo Scan via Hijackthis, salvando e substituindo o relatório antigo, por fim, copiando o teor do mesmo e disponibilizando para análise do fórum, aproveitando para informar se houve alteração do quadro apresentado no post inicial. Não esqueça: Hijackthis, versão 1.99.0.

OFAJ

bruno _tavares,

Desculpe-me o transtorno causado. Realmente interpretei mal.

Compartilhar este post


Link para o post
Compartilhar em outros sites

OFAJ e FallenHawk

Infelizmente minha alegria duro pouco estou com o mesmo problema, se possivel gostaria que alguem me ajudasse a examinar o log do HijackThis, o ver o que preciso deletar.

A proposito FallenHank fiz o log daquela ferramenta e esta logo abaixo do resultado do HijackThis.

Logfile of HijackThis v1.99.0

Scan saved at 18:43:21, on 05/02/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\PTSNOOP.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGCC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGEMC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGAMSVR.EXE

C:\WINDOWS\SYSTEM\MINIPORT_MP.EXE

C:\WINDOWS\SYSTEM\SYSTIME.EXE

C:\WINDOWS\NMMST.EXE

C:\ARQUIVOS DE PROGRAMAS\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM\SYSTIME.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\SMBDINS.EXE

C:\WINDOWS\SYSTEM\SETHCD.EXE

C:\WINDOWS\SYSTEM\TSMSETUP.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\SYSTEM\CMMON32.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://a-search.biz/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://a-search.biz/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

F1 - win.ini: load=ptsnoop.exe

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe hpfsched

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O3 - Toolbar: @msdxmLC.dll,-1@1046,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\GRISOFT\AVG7\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARQUIV~1\GRISOFT\AVG7\AVGAMSVR.EXE

O4 - HKLM\..\Run: [KAZAA] "C:\ARQUIVOS DE PROGRAMAS\KAZAA K++\KPP.EXE" "C:\ARQUIVOS DE PROGRAMAS\KAZAA K++\KAZAA.KPP" /SYSTRAY

O4 - HKLM\..\Run: [MiniPortRt] C:\WINDOWS\SYSTEM\MINIPORT_MP.EXE

O4 - HKLM\..\Run: [sysTime] C:\WINDOWS\SYSTEM\systime.exe

O4 - HKLM\..\Run: [_Cat1] C:\WINDOWS\nmmst.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\ARQUIVOS DE PROGRAMAS\MSN MESSENGER\MSNMSGR.EXE" /background

O4 - HKCU\..\Run: [spyware Vanisher] C:\SPYWAREVANISHER-FREE\FREESCANNER.EXE -FastScan

O4 - HKCU\..\Run: [sysTime] C:\WINDOWS\SYSTEM\systime.exe

O4 - Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/E59hhQRkk00JCtuQ.chm::/on-line.exe

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31

O18 - Filter: text/html - {97849C60-6CAE-11D9-B4E1-0002696717E3} - C:\WINDOWS\SYSTEM\LFKL.DLL

O21 - SSODL: yjgBdMVGrVmhZO - {342019FA-9E8A-B350-8505-431463A60FCF} - C:\WINDOWS\SYSTEM\YBTX.DLL

Symantec Backdoor.Agent.B Removal Tool 1.0.1.2

Backdoor.Agent.B has not been found on your computer.

Sds

Bruno Tavares.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Certifique-se que você pode ver todos os arquivos.

Inicie o computador no Modo de Segurança como anteriormente.

Marque as seguintes entradas no log do HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://a-search.biz/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://a-search.biz/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://a-search.biz/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://a-search.biz/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O4 - HKLM\..\Run: [MiniPortRt] C:\WINDOWS\SYSTEM\MINIPORT_MP.EXE

O4 - HKLM\..\Run: [sysTime] C:\WINDOWS\SYSTEM\systime.exe

O4 - HKLM\..\Run: [_Cat1] C:\WINDOWS\nmmst.exe

O4 - HKCU\..\Run: [spyware Vanisher] C:\SPYWAREVANISHER-FREE\FREESCANNER.EXE -FastScan

O4 - HKCU\..\Run: [sysTime] C:\WINDOWS\SYSTEM\systime.exe

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/E59hhQRkk00JCtuQ.chm::/on-line.exe

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31

O18 - Filter: text/html - {97849C60-6CAE-11D9-B4E1-0002696717E3} - C:\WINDOWS\SYSTEM\LFKL.DLL

O21 - SSODL: yjgBdMVGrVmhZO - {342019FA-9E8A-B350-8505-431463A60FCF} - C:\WINDOWS\SYSTEM\YBTX.DLL

Apague os seguintes arquivos:

C:\SPYWAREVANISHER-FREE << a pasta

C:\WINDOWS\nmmst.exe

C:\WINDOWS\SYSTEM\YBTX.DLL

C:\WINDOWS\SYSTEM\LFKL.DLL

C:\WINDOWS\SYSTEM\systime.exe

Reinicie o computador normalmente.

Faça um scan online: Housecall

Depois do scan online reinicie o computador novamente e faça um novo log para colar na resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

FallenHawk

Segui todo o procedimento, so não consegui achar dois dos arquivos que voce pediu para deletar...

C:\SPYWAREVANISHER-FREE << a pasta

C:\WINDOWS\SYSTEM\LFKL.DLL

de resto fiz tudo segue abaixo relatorio do log HijachThis...

Logfile of HijackThis v1.99.0

Scan saved at 13:20:01, on 06/02/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\PTSNOOP.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGCC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGEMC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG7\AVGAMSVR.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\CMMON32.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

F1 - win.ini: load=ptsnoop.exe

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe hpfsched

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O3 - Toolbar: @msdxmLC.dll,-1@1046,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\GRISOFT\AVG7\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARQUIV~1\GRISOFT\AVG7\AVGAMSVR.EXE

O4 - HKLM\..\Run: [KAZAA] "C:\ARQUIVOS DE PROGRAMAS\KAZAA K++\KPP.EXE" "C:\ARQUIVOS DE PROGRAMAS\KAZAA K++\KAZAA.KPP" /SYSTRAY

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\ARQUIVOS DE PROGRAMAS\MSN MESSENGER\MSNMSGR.EXE" /background

O4 - Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

Sds

Bruno Tavares.

Compartilhar este post


Link para o post
Compartilhar em outros sites

FallenHawk

Como minhas dúvidas foram esclarecidas e creio que de outros visitantes também, pode fechar o tópico

A proposito ja instalei o Ad-Aware SE e o Spybot S&D e tambem SpywareBlaster, no caso de Anti-Spyware basta somente um???, li no forum um topico a respeito de Proteção Basica contra Spyware e nele dizia para instalar no minimo 2 Removedores e Anti-Spywares???, basta somente um???

Obrigado!

Sds

Bruno Tavares :palmas:

Obs: Qual firewall me recomenda???

Compartilhar este post


Link para o post
Compartilhar em outros sites
Obs: Qual firewall me recomenda???

Qualquer um é bom desde que você considere os alertas do firewall e não fique apenas permitindo todos os acessos a internet.

A proposito ja instalei o Ad-Aware SE e o Spybot S&D e tambem SpywareBlaster, no caso de Anti-Spyware basta somente um???, li no forum um topico a respeito de Proteção Basica contra Spyware e nele dizia para instalar no minimo 2 Removedores e Anti-Spywares???, basta somente um???

Dois é mais garantido, mas você pode usar só um (nesse caso prefira o Ad-Aware).

O SpywareBlaster é uma boa, mas apenas te protege de novas infecção e não remove as que você já tem.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  
Seguidores 0