Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
lorena.siq

Por favor, analisem o meu log...

Recommended Posts

Aí está o log... há algumas semanas estive aqui com o mesmo problema, mas o meu irmão usou o meu pc, e essas janelinhas voltaram... se puderem fazer algo... obrigada!!! Aí está o log...

Logfile of HijackThis v1.99.1

Scan saved at 20:58:48, on 27/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\svhost.exe

C:\ARQUIV~1\ELTech\Keyboard\Easymain.exe

C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\HijackThis\HijackThis.exe

C:\WINDOWS\system32\svchost.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 210.216.190.251:80

F2 - REG:system.ini: Shell=Explorer.exe svhost.exe

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

O4 - HKLM\..\Run: [E-KeyWork] C:\ARQUIV~1\ELTech\Keyboard\Easymain.exe

O4 - HKLM\..\Run: [iSUSPM Startup] C:\ARQUIV~1\ARQUIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [smapp] C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [hk] C:\ARQUIV~1\hk\hk.exe

O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20009\services.exe

O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Documents and Settings\All Users\Dados de aplicativos\AntiVir PersonalEdition classic\UPGRADE\upgrade.exe" /restart

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Arquivos de programas\Ares\Ares.exe" -h

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Pesquisa do Google - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traduzir palavra em inglês - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantâneo da página em cache - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Links para esta página - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Páginas semelhantes - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by112fd.bay112.hotmail.msn.com/activex/HMAtchmt.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{7BCA7F24-F592-4F50-ADA7-77A3CB181641}: Domain = @

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: RunOnce - C:\WINDOWS\system32\m0nqla551d.dll

O21 - SSODL: fldrsys - {7323FAB6-B28B-4954-A212-D7D09D5BB1BC} - fldrsys.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

Baixe:

L2Mfix

SpySweeper

Siga as instruções de instalação mas não use ainda:

- Dê um duplo-clique no L2Mfix. Clique em Accept e depois em Install.

Vai ser criada uma pasta chamada L2Mfix.

- Instale e atualize o SpySweeper.

Salve ou imprima estas instruções, pois vai segui-las desconectado e sem acesso a esta página:

1 - Abra a pasta L2Mfix e dê um duplo-clique em l2mfix.bat, depois dê Enter

Digite: 2 > marque #2 for Run Fix > clique em Enter.

No teclado, aperte qualquer tecla para reiniciar o PC.

2 - Depois que reiniciar rode o SpySweeper.

3 - Abra novamente a pasta L2Mfix e dê um duplo-clique em l2mfix.bat, depois dê Enter

Digite: 2 > marque #2 for Run Fix > clique em Enter.

Espere um pouco, que o Bloco de notas abrirá com o log. Salve este log.

4 - Abra a pasta l2mfix e copie o arquivo ntrights para o C:\

Vá em Iniciar > Executar > digite: cmd e dê OK.

Quando o Prompt de comando aparecer, digite: cd c:\

Dê Enter e digite:

ntrights -u Administradores +r SeDebugPrivilege > log.txt

Faça isso com atenção, pois deve ser exatamente como está acima.

Depois que fizer isso, clique em Enter.

5 - Faça um scan com o HijackThis e salve o log.

Poste o log do L2Mfix (o que salvou ao reiniciar), o log.txt que está em C:\ e o log do HijackThis.

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Oi.. instalei os dois programinhas e procedi da forma que você disse. Foi criada a pasta L2Mfix, mas não encontrei esse arquivo dentro dela... e agora?? ://

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Baixe:

    smitRem > Salve na área de trabalho.

    Ewido > instale, atualize mas não use ainda.

    CCleaner > instale, mas também não use.

    Dê um duplo-clique em smitRem.exe e clique em Start. A pasta smitRem será criada no desktop.

    1 - Reinicie o PC, aperte F8 intermitentemente e depois escolha no menu: modo seguro.

    Vá na pasta smitRem. Dê um duplo-clique em RunThis.bat.

    É normal o desktop e os ícones desaparecer/reaparecer. Espere o exame ser concluído. O log smitfiles.txt será criado na raiz do disco (em C:\).

    2 - Faça um full scan com o Ewido. Salve o resultado.

    3 - Rode o CCleaner, clicando em Executar Cleaner.

    4 - Reinicie em modo normal. Rode o SpySweeper para parar o Look2Me.

    5 - Faça um scan com o HijackThis e salve o log.

    Poste:

    resultado do Ewido

    smitfiles.txt

    log do HijackThis

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Resultado do Ewido:

    -------------------------------------------------------

    ewido anti-malware - Relatório de verificação

    -------------------------------------------------------

    + Criado em: 19:13:46, 30/12/2005

    + Relatório-Checksum: F436AB58

    + Resultado da verificação:

    HKU\S-1-5-21-1343024091-1965331169-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10E42047-DEB9-4535-A118-B3F6EC39B807} -> Spyware.SideFind : Ignorado

    C:\WINDOWS\NOTEPAD.EXE -> Hijacker.StartPage.adh : Ignorado

    C:\WINDOWS\system32\dllcache\notepad.exe -> Hijacker.StartPage.adh : Ignorado

    C:\WINDOWS\system32\guard.tmp -> Spyware.Look2Me : Ignorado

    C:\WINDOWS\system32\notepad.exe -> Hijacker.StartPage.adh : Ignorado

    ::Fim do Relatório

    smitfiles.txt

    smitRem © log file

    version 2.8

    by noahdfear

    Microsoft Windows XP [versÆo 5.1.2600]

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    checking for ShudderLTD key

    ShudderLTD key not present!

    checking for PSGuard.com key

    PSGuard.com key not present!

    checking for WinHound.com key

    WinHound.com key not present!

    spyaxe uninstaller NOT present

    Winhound uninstaller NOT present

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Existing Pre-run Files

    ~~~ Program Files ~~~

    ~~~ Shortcuts ~~~

    ~~~ Favorites ~~~

    ~~~ system32 folder ~~~

    svcp.csv

    winsub.xml

    ~~~ Icons in System32 ~~~

    ~~~ Windows directory ~~~

    ~~~ Drive root ~~~

    ~~~ Miscellaneous Files/folders ~~~

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

    Copyright© 2002-2003 Craig.Peacock@beyondlogic.org

    Killing PID 760 'explorer.exe'

    Starting registry repairs

    Deleting files

    Remaining Post-run Files

    ~~~ Program Files ~~~

    ~~~ Shortcuts ~~~

    ~~~ Favorites ~~~

    ~~~ system32 folder ~~~

    ~~~ Icons in System32 ~~~

    ~~~ Windows directory ~~~

    ~~~ Drive root ~~~

    ~~~ Miscellaneous Files/folders ~~~

    ~~~ Wininet.dll ~~~

    CLEAN! :)

    log do HijackThis

    Logfile of HijackThis v1.99.1

    Scan saved at 19:29:21, on 30/12/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.exe

    C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    C:\WINDOWS\system32\svhost.exe

    C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe

    C:\Arquivos de programas\ewido anti-malware\ewidoguard.exe

    C:\ARQUIV~1\ELTech\Keyboard\Easymain.exe

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

    C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

    C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

    C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

    C:\Arquivos de programas\QuickTime\qttask.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\WINDOWS\system32\svchost.exe

    C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

    C:\Arquivos de programas\Microsoft Office\Office10\WINWORD.EXE

    C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

    C:\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 210.216.190.251:80

    F2 - REG:system.ini: Shell=Explorer.exe svhost.exe

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

    O4 - HKLM\..\Run: [E-KeyWork] C:\ARQUIV~1\ELTech\Keyboard\Easymain.exe

    O4 - HKLM\..\Run: [iSUSPM Startup] C:\ARQUIV~1\ARQUIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

    O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

    O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    O4 - HKLM\..\Run: [smapp] C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Documents and Settings\All Users\Dados de aplicativos\AntiVir PersonalEdition classic\UPGRADE\upgrade.exe" /restart

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [ares] "C:\Arquivos de programas\Ares\Ares.exe" -h

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O8 - Extra context menu item: &Pesquisa do Google - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsearch.html

    O8 - Extra context menu item: &Traduzir palavra em inglês - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmwordtrans.html

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O8 - Extra context menu item: Instantâneo da página em cache - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmcache.html

    O8 - Extra context menu item: Links para esta página - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmbacklinks.html

    O8 - Extra context menu item: Páginas semelhantes - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsimilar.html

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

    O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

    O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by112fd.bay112.hotmail.msn.com/activex/HMAtchmt.ocx

    O17 - HKLM\System\CCS\Services\Tcpip\..\{7BCA7F24-F592-4F50-ADA7-77A3CB181641}: Domain = @

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

    O18 - Filter: text/html - (no CLSID) - (no file)

    O18 - Filter: text/plain - (no CLSID) - (no file)

    O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\t68u0gl9e6q.dll (file missing)

    O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

    O21 - SSODL: fldrsys - {7323FAB6-B28B-4954-A212-D7D09D5BB1BC} - fldrsys.dll (file missing)

    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

    O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe

    O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoguard.exe

    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

    Salvei ainda o resultado do SpySweeper, pois não corrigi as ameaças, pois não sabia do que se tratava:

    Application Information

    =======================

    Application Version: ScanSpyware v3.8 build 3.8.0.4

    Original Database: pests12-09-05.db

    Updated Database: ssdb120905.db

    Current Date: Friday, December 30, 2005 07:21:13 PM

    __________________________________________________

    Directories recognized:

    =======================

    [NavExcel]

    C:\Arquivos de programas\Ares

    __________________________________________________

    Files recognized:

    =================

    [AGOBOT]

    C:\WINDOWS\system32\svhost.exe

    [Pesin]

    C:\WINDOWS\system32\SvHost.exe

    __________________________________________________

    Registry keys recognized:

    =========================

    __________________________________________________

    Registry values recognized:

    ===========================

    __________________________________________________

    Cookies recognized:

    ===================

    ________________________________________________

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Bem, o SpySweeper parou o Look2Me:

    O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\t68u0gl9e6q.dll (file missing)

    Mas ainda existem arquivos dele que poderão reinstalar novamente o malware. O Ewido detectou um arquivo do Look2Me:

    C:\WINDOWS\system32\guard.tmp -> Spyware.Look2Me : Ignorado

    Como não está conseguindo usar o L2Mfix, baixe > L2MRemover

    Extraia os arquivos para uma pasta própria, mas não use ainda.

    Baixe também > KillBox

    Configure o Windows para mostrar todos os arquivos

    Salve ou imprima estas instruções:

    1 - No Painel de Controle > Adicionar/Remover programas > desinstale:

    Ares (instalou com o NavExcel, depois poderá reinstalar sem aceitar o adware)

    Se encontrar desinstale: NavExcel e NavExcel Search Toolbar.

    2 - Rode o L2MRemover.

    a - Clique em Scan e aguarde que liste as chaves do malware no Registro.

    b - Faça um backup de segurança, clicando em Save before delete, que salvará estas chaves que serão removidas em um arquivo *.reg.

    c - Clique em Delete Keys para limpar as chaves do malware. Copie e salve no Bloco de Notas, as informações constantes do Data Log.

    3 - Rode o KillBox, marque Delete on Reboot e coloque em Full Path of File to Delete:

    C:\WINDOWS\system32\svhost.exe

    Clique no botão com o X e siga as instruções do programa para reiniciar o PC.

    Ao reiniciar, aperte F8 intermitentemente. No menu que vai aparecer, escolha: modo seguro.

    3 - Faça um full scan com o Ewido e remova estes dois ítens encontrados:

    HKU\S-1-5-21-1343024091-1965331169-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10E42047-DEB9-4535-A118-B3F6EC39B807} -> Spyware.SideFind

    C:\WINDOWS\system32\guard.tmp -> Spyware.Look2Me > é provável que não detecte desta vez pois o L2MRemover deve removê-lo.

    Os outros que postou antes:

    C:\WINDOWS\NOTEPAD.EXE -> Hijacker.StartPage.adh : Ignorado

    C:\WINDOWS\system32\dllcache\notepad.exe -> Hijacker.StartPage.adh : Ignorado

    C:\WINDOWS\system32\notepad.exe -> Hijacker.StartPage.adh : Ignorado

    Deixe para serem ignorados mesmo, pois é o seu Bloco de notas, que o Ewido está erroneamente detectando como um trojan StartPage.

    4 - Faça um scan com o HijackThis, marque as entradas abaixo, que ainda encontrar e clique em Fix checked:

    F2 - REG:system.ini: Shell=Explorer.exe svhost.exe

    O18 - Filter: text/html - (no CLSID) - (no file)

    O18 - Filter: text/plain - (no CLSID) - (no file)

    O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\t68u0gl9e6q.dll (file missing)

    O21 - SSODL: fldrsys - {7323FAB6-B28B-4954-A212-D7D09D5BB1BC} - fldrsys.dll (file missing)

    5 - Feche o HijackThis e rode o CCleaner, clicando em Executar Cleaner.

    6 - Procure por pastas e arquivos com estes nomes e delete: NavExcel e NavExcel Search Toolbar.

    7 - Reinicie em modo normal, faça um scan com o HijackThis e salve o log.

    Poste:

    log que copiou e salvou do L2MRemover

    log do HijackThis

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Bom...

    Não encontrei no adicionar/remover programas o Ares, nem o NavExcel e NavExcel Search Toolbar.

    Rodei o L2MRemover e foi encontrado um arquivo. Não encontrei a opção "Save before delete", daí cliquei em delete pensando que abriria essa opção, o que apagou o arquivo sem salvar. Fechei a janela, me esquecendo de salvar o log.

    Segui os outros passos corretamente. Quando rodei o Ewido, apareceram, além daqueles que você indicou, alguns outros arquivos, que eu não deletei por não saber do que se tratava. Vou colar o log de verificação do Ewido pra você dar uma olhada, e em seguida colarei o log do hijackthis:

    ---------------------------------------------------------

    ewido anti-malware - Relatório de verificação

    ---------------------------------------------------------

    + Criado em: 10:28:14, 31/12/2005

    + Relatório-Checksum: BDC43CED

    + Resultado da verificação:

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Web Folders\ibm00002.exe -> Trojan.Agent.bu : Ignorado

    C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\IJK67KCV\a[1].exe -> Backdoor.Small.jg : Ignorado

    C:\WINDOWS\Downloaded Program Files\UWFX5Z_0001_N57M1412NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Ignorado

    C:\WINDOWS\system32\fldrsys.dll -> Backdoor.Small.jg : Ignorado

    C:\WINDOWS\system32\msctl32.dll -> Not-A-Virus.SpamTool.Win32.Mailbot.p : Ignorado

    HKU\S-1-5-21-1343024091-1965331169-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10E42047-DEB9-4535-A118-B3F6EC39B807} -> Spyware.SideFind : Limpo com backup

    C:\Documents and Settings\LORENA\Cookies\lorena@atdmt[1].txt -> Spyware.Cookie.Atdmt : Limpo com backup

    C:\Documents and Settings\LORENA\Cookies\lorena@tribalfusion[1].txt -> Spyware.Cookie.Tribalfusion : Limpo com backup

    C:\WINDOWS\system32\guard.tmp -> Spyware.Look2Me : Limpo com backup

    ::Fim do Relatório

    Logfile of HijackThis v1.99.1

    Scan saved at 10:34:16, on 31/12/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe

    C:\Arquivos de programas\ewido anti-malware\ewidoguard.exe

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

    C:\WINDOWS\Explorer.EXE

    C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

    C:\WINDOWS\system32\svchost.exe

    C:\ARQUIV~1\ELTech\Keyboard\Easymain.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

    C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

    C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

    C:\Arquivos de programas\QuickTime\qttask.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    C:\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 210.216.190.251:80

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

    O4 - HKLM\..\Run: [E-KeyWork] C:\ARQUIV~1\ELTech\Keyboard\Easymain.exe

    O4 - HKLM\..\Run: [iSUSPM Startup] C:\ARQUIV~1\ARQUIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

    O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

    O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    O4 - HKLM\..\Run: [smapp] C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Documents and Settings\All Users\Dados de aplicativos\AntiVir PersonalEdition classic\UPGRADE\upgrade.exe" /restart

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [ares] "C:\Arquivos de programas\Ares\Ares.exe" -h

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O8 - Extra context menu item: &Pesquisa do Google - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsearch.html

    O8 - Extra context menu item: &Traduzir palavra em inglês - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmwordtrans.html

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O8 - Extra context menu item: Instantâneo da página em cache - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmcache.html

    O8 - Extra context menu item: Links para esta página - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmbacklinks.html

    O8 - Extra context menu item: Páginas semelhantes - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsimilar.html

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

    O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

    O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by112fd.bay112.hotmail.msn.com/activex/HMAtchmt.ocx

    O17 - HKLM\System\CCS\Services\Tcpip\..\{7BCA7F24-F592-4F50-ADA7-77A3CB181641}: Domain = @

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

    O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe

    O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoguard.exe

    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Você não usa o Ares?

    Ele está no log do HijackThis e o SpySweeper também mostrou.

    Siga estas instruções:

    1 - Rode novamente o L2MRemover e salve o log.

    2 - Renicie em modo de segurança, rode o Ewido, remova estes ítens:

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Web Folders\ibm00002.exe -> Trojan.Agent.bu

    C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\IJK67KCV\a[1].exe -> Backdoor.Small.jg

    C:\WINDOWS\Downloaded Program Files\UWFX5Z_0001_N57M1412NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b

    C:\WINDOWS\system32\fldrsys.dll -> Backdoor.Small.jg

    C:\WINDOWS\system32\msctl32.dll -> Not-A-Virus.SpamTool.Win32.Mailbot.p

    Salve o resultado.

    3 - Rode o CCleaner.

    Reinicie em modo normal e poste:

    log do L2MRemover

    resultado do Ewido

    informação sobre se usa ou não o compartilhador P2P Ares

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Bom, quanto ao Ares, o meu irmão havia baixado, mas eu já tinha removido com adicionar/remover programas. Encontrei uma pasta do Ares na unidade /C:, e a removi.

    Aí estão os logs:

    Ewido:

    ---------------------------------------------------------

    ewido anti-malware - Relatório de verificação

    ---------------------------------------------------------

    + Criado em: 14:00:00, 31/12/2005

    + Relatório-Checksum: F308A2B8

    + Resultado da verificação:

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Web Folders\ibm00002.exe -> Trojan.Agent.bu : Limpo com backup

    C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\IJK67KCV\a[1].exe -> Backdoor.Small.jg : Limpo com backup

    C:\WINDOWS\Downloaded Program Files\UWFX5Z_0001_N57M1412NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.b : Limpo com backup

    C:\WINDOWS\system32\fldrsys.dll -> Backdoor.Small.jg : Limpo com backup

    C:\WINDOWS\system32\msctl32.dll -> Not-A-Virus.SpamTool.Win32.Mailbot.p : Limpo com backup

    ::Fim do Relatório

    Look2meremover

    13:30:19 -> Start scanning procedures...

    13:30:19 -> Start checking running tasks...

    13:31:00 -> End of the scan process.

    13:31:02 -> No virus/trojan found!

    Hijackthis:

    Logfile of HijackThis v1.99.1

    Scan saved at 14:03:59, on 31/12/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe

    C:\Arquivos de programas\ewido anti-malware\ewidoguard.exe

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

    C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

    C:\WINDOWS\system32\svchost.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

    C:\WINDOWS\Explorer.EXE

    C:\ARQUIV~1\ELTech\Keyboard\Easymain.exe

    C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

    C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

    C:\Arquivos de programas\QuickTime\qttask.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 210.216.190.251:80

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

    O4 - HKLM\..\Run: [E-KeyWork] C:\ARQUIV~1\ELTech\Keyboard\Easymain.exe

    O4 - HKLM\..\Run: [iSUSPM Startup] C:\ARQUIV~1\ARQUIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

    O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

    O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    O4 - HKLM\..\Run: [smapp] C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Documents and Settings\All Users\Dados de aplicativos\AntiVir PersonalEdition classic\UPGRADE\upgrade.exe" /restart

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [ares] "C:\Arquivos de programas\Ares\Ares.exe" -h

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O8 - Extra context menu item: &Pesquisa do Google - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsearch.html

    O8 - Extra context menu item: &Traduzir palavra em inglês - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmwordtrans.html

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O8 - Extra context menu item: Instantâneo da página em cache - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmcache.html

    O8 - Extra context menu item: Links para esta página - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmbacklinks.html

    O8 - Extra context menu item: Páginas semelhantes - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsimilar.html

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

    O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

    O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by112fd.bay112.hotmail.msn.com/activex/HMAtchmt.ocx

    O17 - HKLM\System\CCS\Services\Tcpip\..\{7BCA7F24-F592-4F50-ADA7-77A3CB181641}: Domain = @

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

    O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe

    O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoguard.exe

    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

    :)

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    O Look2Me foi removido. Reinicie o PC, aperte F8 intermitentemente e escolha no menu: modo seguro.

    Faça um scan com o HijackThis, marque a entrada abaixo e clique em Fix checked:

    O4 - HKCU\..\Run: [ares] "C:\Arquivos de programas\Ares\Ares.exe" -h

    Reinicie em modo normal, faça um scan com o HijackThis e salve o log.

    Faça um scan com o SpySweeper e salve o resultado.

    Poste:

    log do HijackThis

    log do SpySweeper

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Log do SpySweeper:

    ********

    15:45: | Start of Session, sábado, 31 de dezembro de 2005 |

    15:45: Spy Sweeper started

    15:45: Sweep initiated using definitions version 594

    15:45: Starting Memory Sweep

    15:47: Memory Sweep Complete, Elapsed Time: 00:02:10

    15:47: Starting Registry Sweep

    15:47: Registry Sweep Complete, Elapsed Time:00:00:11

    15:47: Starting Cookie Sweep

    15:47: Found Spy Cookie: yieldmanager cookie

    15:47: pedro@ad.yieldmanager[1].txt (ID = 3751)

    15:47: Cookie Sweep Complete, Elapsed Time: 00:00:00

    15:47: Starting File Sweep

    15:58: File Sweep Complete, Elapsed Time: 00:10:46

    15:58: Full Sweep has completed. Elapsed time 00:13:17

    15:58: Traces Found: 1

    16:00: Removal process initiated

    16:00: Quarantining All Traces: yieldmanager cookie

    16:00: Removal process completed. Elapsed time 00:00:00

    ********

    15:41: | Start of Session, sábado, 31 de dezembro de 2005 |

    15:41: Spy Sweeper started

    15:42: Hosts file is too large.

    15:43: Your spyware definitions have been updated.

    15:45: | End of Session, sábado, 31 de dezembro de 2005 |

    Log do Hijackthis:

    Logfile of HijackThis v1.99.1

    Scan saved at 15:34:32, on 31/12/2005

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\ARQUIV~1\ELTech\Keyboard\Easymain.exe

    C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

    C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

    C:\Arquivos de programas\QuickTime\qttask.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe

    C:\Arquivos de programas\ewido anti-malware\ewidoguard.exe

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

    C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

    C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

    C:\WINDOWS\system32\svchost.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

    C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 210.216.190.251:80

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

    O4 - HKLM\..\Run: [E-KeyWork] C:\ARQUIV~1\ELTech\Keyboard\Easymain.exe

    O4 - HKLM\..\Run: [iSUSPM Startup] C:\ARQUIV~1\ARQUIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

    O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

    O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    O4 - HKLM\..\Run: [smapp] C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Documents and Settings\All Users\Dados de aplicativos\AntiVir PersonalEdition classic\UPGRADE\upgrade.exe" /restart

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O8 - Extra context menu item: &Pesquisa do Google - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsearch.html

    O8 - Extra context menu item: &Traduzir palavra em inglês - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmwordtrans.html

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O8 - Extra context menu item: Instantâneo da página em cache - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmcache.html

    O8 - Extra context menu item: Links para esta página - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmbacklinks.html

    O8 - Extra context menu item: Páginas semelhantes - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsimilar.html

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

    O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

    O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by112fd.bay112.hotmail.msn.com/activex/HMAtchmt.ocx

    O17 - HKLM\System\CCS\Services\Tcpip\..\{7BCA7F24-F592-4F50-ADA7-77A3CB181641}: Domain = @

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

    O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe

    O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoguard.exe

    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

    :)

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    lorena.siq, seu PC está limpo. Para finalizar, vá no Painel de Controle > Sistema > Restauração do Sistema > marque Desativar a restauração do sistema > Aplicar > OK.

    Depois desmarque novamente.

    Leia este artigo Proteja seu PC para evitar novas infecções e passe as dicas para o seu irmão.

    Se você não tem mais problemas, clique no botão Alertar e diga que o problema está resolvido.

    Um próspero 2006. :-BEER

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    CASO RESOLVIDO!

    Caso o autor do tópico necessite, o mesmo será reaberto, para isso o mesmo deverá procurar um Moderador da área e solicitar o desbloqueio!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    CASO RESOLVIDO!

    Caso o autor do tópico necessite, o mesmo será reaberto, para isso o mesmo deverá procurar um Moderador da área e solicitar o desbloqueio!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×