Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
ygor_rg

Me ajudem

Recommended Posts

Galera fui infectado por spyware não sei o que fazer... ai segue o log! obrigado

Logfile of HijackThis v1.99.1

Scan saved at 10:25 _UrEyA_, on 05/02/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\LEXBCES.EXE

D:\WINDOWS\system32\LEXPPS.EXE

D:\WINDOWS\system32\spoolsv.exe

C:\mysql\bin\mysqld-nt.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\WINDOWS\system32\svchost.exe

D:\Arquivos de programas\Bonjour\mDNSResponder.exe

D:\WINDOWS\inet20004\winlogon.exe

D:\WINDOWS\system32\pctspk.exe

D:\Arquivos de programas\Microsoft IntelliPoint\point32.exe

D:\Arquivos de programas\mobile PhoneTools\WatchDog.exe

D:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe

D:\Arquivos de programas\iTunes\iTunesHelper.exe

D:\Arquivos de programas\QuickTime\qttask.exe

D:\Arquivos de programas\D-Tools\daemon.exe

D:\WINDOWS\anvshell.exe

D:\WINDOWS\system32\LXSUPMON.EXE

D:\WINDOWS\system32\kernels64.exe

D:\WINDOWS\sachostx.exe

D:\Arquivos de programas\iPod\bin\iPodService.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Arquivos de programas\Messenger\msmsgs.exe

D:\WINDOWS\system32\vxh8jkdq2.exe

C:\winstall.exe

D:\WINDOWS\inet20004\mm4.exe

D:\WINDOWS\system32\dllcache\IExplore.exe

D:\WINDOWS\system32\sachostc.exe

D:\WINDOWS\system32\sachosts.exe

D:\WINDOWS\explorer.exe

D:\WINDOWS\system32\dllcache\IExplore.exe

D:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

D:\WINDOWS\system32\dllcache\IExplore.exe

D:\Arquivos de programas\FoxScript\mirc32.exe

D:\WINDOWS\system32\dllcache\IExplore.exe

D:\Documents and Settings\Rodrigues 2\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oiloja.com.br/

F3 - REG:win.ini: run=D:\WINDOWS\inet20004\winlogon.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - D:\Arquivos de programas\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.4000.1001\pt-br\msntb.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [C-Media Speaker Configuration] E:\Sound\C-Media\WinXP\Setup.exe /SPEAKER

O4 - HKLM\..\Run: [intelliPoint] "D:\Arquivos de programas\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [dclazmz] D:\WINDOWS\dclazmz.exe

O4 - HKLM\..\Run: [WatchDog] D:\Arquivos de programas\mobile PhoneTools\WatchDog.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] D:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [iTunesHelper] "D:\Arquivos de programas\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "D:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [winserver] D:\WINDOWS\winserver.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Arquivos de programas\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] D:\Arquivos de programas\Puxa Rápido\Atualiza.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [anvshell] anvshell.exe

O4 - HKLM\..\Run: [LiveNote] livenote.exe

O4 - HKLM\..\Run: [LXSUPMON] D:\WINDOWS\system32\LXSUPMON.EXE RUN

O4 - HKLM\..\Run: [systemLoader] D:\WINDOWS\sysldr32.exe

O4 - HKLM\..\Run: [system] D:\WINDOWS\system32\kernels64.exe

O4 - HKLM\..\Run: [HostSrv] D:\WINDOWS\sachostx.exe

O4 - HKLM\..\Run: [WindowsUpdateNT] D:\WINDOWS\System\svwhost.exe /s

O4 - HKLM\..\Run: [xp_system] D:\WINDOWS\inet20004\winlogon.exe

O4 - HKLM\..\RunServices: [systemTools] D:\WINDOWS\system32\kernels64.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "D:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MessengerPlus3] "\" /WinStart

O4 - HKCU\..\Run: [WindowsUpdate] D:\WINDOWS\System\svchost.exe /s

O4 - HKCU\..\Run: [WindowsUpdateNT] D:\WINDOWS\System\svwhost.exe

O4 - HKCU\..\Run: [xp_system] D:\WINDOWS\inet20004\winlogon.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - Startup: Adobe Gamma.lnk = D:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://D:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: SmartShopper - Compare product prices - {679B2A8D-B2FF-41ed-B3ED-C5CFB8564CB0} - D:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: SmartShopper - Compare travel rates - {9E4DF170-217F-4658-A11F-590664542B73} - D:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: d:\arquivos de programas\bonjour\mdnsnsp.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kav...can_unicode.cab

O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {3A7FE611-1994-4EF1-A09F-99456752289D} (WildTangent Active Launcher) - http://install.wildtangent.com/ActiveLaunc...iveLauncher.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1119218095216

O16 - DPF: {6F7864F9-DB33-11D3-8166-0060B0F885E6} (VSPTA Class) - https://cert.bancodobrasil.com.br/VSApps/vspta3.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a...5/Installer.exe

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by111fd.bay111.hotmail.msn.com/activex/HMAtchmt.ocx

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: msupdate - D:\WINDOWS\SYSTEM32\msupdate32.dll

O20 - Winlogon Notify: ur32artreg - D:\Documents and Settings\All Users\Documentos\Settings\ur32art.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - D:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Bonjour Service - Apple Computer, Inc. - D:\Arquivos de programas\Bonjour\mDNSResponder.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - D:\Arquivos de programas\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt.exe

O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Cara colega, ai esta o log do programa q você me pediu! agradeço sua ajuda obrigado =) :D

    SmitFraudFix v2.16

    Rapport fait à 22:31:53,80 le 05/02/2006

    Executé à partir de D:\Documents and Settings\Rodrigues 2\Desktop\SmitfraudFix

    OS: Microsoft Windows XP [versÆo 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS

    D:\WINDOWS\desktop.html PRESENT !

    D:\WINDOWS\ms1.exe PRESENT !

    D:\WINDOWS\sysldr32.exe PRESENT!

    D:\WINDOWS\tool1.exe PRESENT !

    D:\WINDOWS\tool2.exe PRESENT !

    D:\WINDOWS\tool4.exe PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\system

    D:\WINDOWS\system\svchost.exe PRESENT!

    D:\WINDOWS\system\svchost.dll PRESENT!

    D:\WINDOWS\system\svwhost.exe PRESENT!

    D:\WINDOWS\system\svwhost.dll PRESENT!

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\system32

    D:\WINDOWS\system32\~update.exe PRESENT !

    D:\WINDOWS\system32\cmd32.exe PRESENT !

    D:\WINDOWS\system32\kernels64.exe PRESENT !

    D:\WINDOWS\system32\msupdate32.dll PRESENT !

    D:\WINDOWS\system32\qvxgamet?.exe PRESENT !

    D:\WINDOWS\system32\symsvcsa.exe PRESENT !

    D:\WINDOWS\system32\vxgame?.exe PRESENT !

    D:\WINDOWS\system32\vxgamet?.exe PRESENT !

    D:\WINDOWS\system32\vxh8jkdq?.exe PRESENT !

    D:\WINDOWS\system32\z11.exe PRESENT !

    D:\WINDOWS\system32\z13.exe PRESENT !

    D:\WINDOWS\system32\zlbw.dll PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\Documents and Settings\Rodrigues 2\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\Arquivos de programas

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

    "Source"="About:Home"

    "SubscribedURL"="About:Home"

    "FriendlyName"="Minha p gina inicial atual"

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-carregador Browseui"

    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Daemon de cache de categorias de componente"

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Talvez você queira imprimir essas instruções ou salvá-las em um arquivo texto para fácil acesso.

    1.Download CCleaner -> clica instale,

    mas não rode agora.

    2. Cole o atalho Panda ActiveScan em seu desktop.

    Reinicie o computador, fique apertando intermitentemente F8 e escolha modo seguro.

    1. Dê um duplo-clique em smitfraudfix.cmd. Selecione a opção 2.

    Observe que em francês é Voulez-vous nettoyer le registre ? <o/n>

    A letra "o" = (oui) sim e a letra "n" = não.

    -> traduzindo -> Ao perguntar se quer limpar o Registro , dê o sim.

    Se a wininet.dll estiver infectada, será perguntado se quer corrigir o arquivo infectado.

    Corriger le fichier infecté ?

    Dê o Sim.

    Salve o log

    2. Execute o HijackThis, clique em Do a System Scan Only, marque

    somente as entradas abaixo e dê Fix Checked.

    F3 - REG:win.ini: run=D:\WINDOWS\inet20004\winlogon.exe

    O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

    O4 - HKLM\..\Run: [dclazmz] D:\WINDOWS\dclazmz.exe

    O4 - HKLM\..\Run: [winserver] D:\WINDOWS\winserver.exe

    O4 - HKLM\..\Run: [systemLoader] D:\WINDOWS\sysldr32.exe

    O4 - HKLM\..\Run: [system] D:\WINDOWS\system32\kernels64.exe

    O4 - HKLM\..\Run: [HostSrv] D:\WINDOWS\sachostx.exe

    O4 - HKLM\..\Run: [WindowsUpdateNT] D:\WINDOWS\System\svwhost.exe /s

    O4 - HKLM\..\Run: [xp_system] D:\WINDOWS\inet20004\winlogon.exe

    O4 - HKLM\..\RunServices: [systemTools] D:\WINDOWS\system32\kernels64.exe

    O4 - HKCU\..\Run: [WindowsUpdate] D:\WINDOWS\System\svchost.exe /s

    O4 - HKCU\..\Run: [WindowsUpdateNT] D:\WINDOWS\System\svwhost.exe

    O4 - HKCU\..\Run: [xp_system] D:\WINDOWS\inet20004\winlogon.exe

    O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

    O9 - Extra button: SmartShopper - Compare product prices - {679B2A8D-B2FF-41ed-B3ED-C5CFB8564CB0} - D:\WINDOWS\system32\shdocvw.dll

    O9 - Extra button: SmartShopper - Compare travel rates - {9E4DF170-217F-4658-A11F-590664542B73} - D:\WINDOWS\system32\shdocvw.dll

    O20 - Winlogon Notify: msupdate - D:\WINDOWS\SYSTEM32\msupdate32.dll

    O20 - Winlogon Notify: ur32artreg - D:\Documents and Settings\All Users\Documentos\Settings\ur32art.dll

    Habilite o Windows para mostrar todos os arquivos (até ocultos). -> veja

    Via Windows Explorer apague arquivos e pasta se encontrar

    D:\Documents and Settings\All Users\Documentos\Settings\ur32art.dll

    D:\WINDOWS\dclazmz.exe

    D:\WINDOWS\winserver.exe

    D:\WINDOWS\inet20004

    D:\WINDOWS\sachostx.exe

    e todo seu conteúdo

    Roda o CCleaner -> veja

    Reinicie em modo normal, gere um novo log com o HijackThis. Veja se consegue mudar configs de vídeo.

    Execute o Panda ActiveScan

    Poste o log 2 do SmitFraud.Fix + o novo log do HijackThis + log apurado Panda

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Em 1º Lugar muito obrigado pela ajuda, pois consegui retirar os spywares!! e ai vai os log q você me pediu na mesma ordem:

    SmitFraudFix v2.16

    Rapport fait à 10:58:08,58 le 06/02/2006

    Executé à partir de D:\Documents and Settings\Rodrigues 2\Desktop\SmitfraudFix

    OS: Microsoft Windows XP [versÆo 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    D:\WINDOWS\desktop.html supprimé

    D:\WINDOWS\ms1.exe supprimé

    D:\WINDOWS\sysldr32.exe supprimé

    D:\WINDOWS\tool1.exe supprimé

    D:\WINDOWS\tool2.exe supprimé

    D:\WINDOWS\tool4.exe supprimé

    D:\WINDOWS\system\svchost.exe supprimé

    D:\WINDOWS\system\svchost.dll supprimé

    D:\WINDOWS\system\svwhost.exe supprimé

    D:\WINDOWS\system32\~update.exe supprimé

    D:\WINDOWS\system32\cmd32.exe supprimé

    D:\WINDOWS\system32\kernels64.exe supprimé

    D:\WINDOWS\system32\mspostsp.exe supprimé

    Problème suppression D:\WINDOWS\system32\msupdate32.dll

    D:\WINDOWS\system32\msvcp.exe supprimé

    D:\WINDOWS\system32\qvxgamet?.exe supprimé

    D:\WINDOWS\system32\symsvcsa.exe supprimé

    D:\WINDOWS\system32\vxgame?.exe supprimé

    D:\WINDOWS\system32\vxgamet?.exe supprimé

    D:\WINDOWS\system32\vxh8jkdq?.exe supprimé

    D:\WINDOWS\system32\z11.exe supprimé

    D:\WINDOWS\system32\z13.exe supprimé

    D:\WINDOWS\system32\zlbw.dll supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» Reboot

    D:\WINDOWS\system32\msupdate32.dll supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

    --------------------------------------------------------------------------------------

    Logfile of HijackThis v1.99.1

    Scan saved at 11:27 _UrEyA_, on 06/02/2006

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    D:\WINDOWS\System32\smss.exe

    D:\WINDOWS\system32\winlogon.exe

    D:\WINDOWS\system32\services.exe

    D:\WINDOWS\system32\lsass.exe

    D:\WINDOWS\system32\svchost.exe

    D:\WINDOWS\System32\svchost.exe

    D:\WINDOWS\system32\LEXBCES.EXE

    D:\WINDOWS\system32\LEXPPS.EXE

    D:\WINDOWS\system32\spoolsv.exe

    D:\WINDOWS\Explorer.EXE

    C:\mysql\bin\mysqld-nt.exe

    D:\WINDOWS\system32\nvsvc32.exe

    D:\WINDOWS\system32\svchost.exe

    D:\Arquivos de programas\Bonjour\mDNSResponder.exe

    D:\WINDOWS\system32\pctspk.exe

    D:\Arquivos de programas\Microsoft IntelliPoint\point32.exe

    D:\Arquivos de programas\mobile PhoneTools\WatchDog.exe

    D:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe

    D:\Arquivos de programas\iTunes\iTunesHelper.exe

    D:\Arquivos de programas\QuickTime\qttask.exe

    D:\Arquivos de programas\D-Tools\daemon.exe

    D:\WINDOWS\anvshell.exe

    D:\WINDOWS\system32\LXSUPMON.EXE

    D:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe

    D:\WINDOWS\system32\ctfmon.exe

    D:\Arquivos de programas\Messenger\msmsgs.exe

    D:\Arquivos de programas\iPod\bin\iPodService.exe

    D:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    D:\ARQUIV~1\MSNMES~1\msnmsgr.exe

    D:\WINDOWS\system32\svchost.exe

    D:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

    D:\Documents and Settings\Rodrigues 2\Desktop\HijackThis.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - D:\Arquivos de programas\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

    O2 - BHO: IExplorerHelper Class - {BA12780E-B91E-41A7-A51A-528CBD64284E} - D:\WINDOWS\system32\IeHelperEx.dll

    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.4000.1001\pt-br\msntb.dll

    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

    O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

    O4 - HKLM\..\Run: [C-Media Speaker Configuration] E:\Sound\C-Media\WinXP\Setup.exe /SPEAKER

    O4 - HKLM\..\Run: [intelliPoint] "D:\Arquivos de programas\Microsoft IntelliPoint\point32.exe"

    O4 - HKLM\..\Run: [WatchDog] D:\Arquivos de programas\mobile PhoneTools\WatchDog.exe

    O4 - HKLM\..\Run: [sunJavaUpdateSched] D:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe

    O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

    O4 - HKLM\..\Run: [iTunesHelper] "D:\Arquivos de programas\iTunes\iTunesHelper.exe"

    O4 - HKLM\..\Run: [QuickTime Task] "D:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Arquivos de programas\D-Tools\daemon.exe" -lang 1033

    O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] D:\Arquivos de programas\Puxa Rápido\Atualiza.exe

    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

    O4 - HKLM\..\Run: [anvshell] anvshell.exe

    O4 - HKLM\..\Run: [LiveNote] livenote.exe

    O4 - HKLM\..\Run: [LXSUPMON] D:\WINDOWS\system32\LXSUPMON.EXE RUN

    O4 - HKLM\..\Run: [MessengerPlus3] "D:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe"

    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [MSMSGS] "D:\Arquivos de programas\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [MessengerPlus3] "D:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe" /WinStart

    O4 - HKCU\..\Run: [WinMedia] D:\WINDOWS\system32\pe.R5.loader.1.sys191.exe

    O4 - HKCU\..\Run: [msnmsgr] "D:\ARQUIV~1\MSNMES~1\msnmsgr.exe" /background

    O4 - Startup: Adobe Gamma.lnk = D:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

    O4 - Global Startup: Microsoft Office.lnk = D:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://D:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

    O9 - Extra button: SmartShopper - Compare product prices - {679B2A8D-B2FF-41ed-B3ED-C5CFB8564CB0} - D:\WINDOWS\system32\shdocvw.dll

    O9 - Extra button: SmartShopper - Compare travel rates - {9E4DF170-217F-4658-A11F-590664542B73} - D:\WINDOWS\system32\shdocvw.dll

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Arquivos de programas\Messenger\msmsgs.exe

    O10 - Unknown file in Winsock LSP: d:\arquivos de programas\bonjour\mdnsnsp.dll

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kav...can_unicode.cab

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835

    O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

    O16 - DPF: {3A7FE611-1994-4EF1-A09F-99456752289D} (WildTangent Active Launcher) - http://install.wildtangent.com/ActiveLaunc...iveLauncher.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1119218095216

    O16 - DPF: {6F7864F9-DB33-11D3-8166-0060B0F885E6} (VSPTA Class) - https://cert.bancodobrasil.com.br/VSApps/vspta3.cab

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

    O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a...5/Installer.exe

    O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by111fd.bay111.hotmail.msn.com/activex/HMAtchmt.ocx

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

    O20 - Winlogon Notify: htproc - D:\WINDOWS\SYSTEM32\htproc32.dll

    O20 - Winlogon Notify: ur32artreg - D:\Documents and Settings\All Users\Documentos\Settings\ur32art.dll

    O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

    O23 - Service: Adobe LM Service - Adobe Systems - D:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

    O23 - Service: Bonjour Service - Apple Computer, Inc. - D:\Arquivos de programas\Bonjour\mDNSResponder.exe

    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

    O23 - Service: iPodService - Apple Computer, Inc. - D:\Arquivos de programas\iPod\bin\iPodService.exe

    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

    O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt.exe

    O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

    -------------------------------------------------------------------------------------------

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Preliminar

    Apareceu uma entrada estranha.

    O4 - HKCU\..\Run: [WinMedia] D:\WINDOWS\system32\pe.R5.loader.1.sys191.exe

    voce instalou algum programa ?

    Caso você não sabe, por favor submeta nestes sites

    http://virusscan.jotti.org/

    http://www.virustotal.com/flash/index_en.html

    o seguinte arquivo estranho:

    D:\WINDOWS\system32\pe.R5.loader.1.sys191.exe

    Browse -> send/submit -> Retorne com os resultados.

    Copie as instruções para o bloco de notas, ou imprima!

    1ª Etapa

    Faça o download do FxHotbar.exe

    http://securityresponse.symantec.com/avcenter/FxHotbar.exe

    Faça o download do hbuninst.exe

    http://www.hotbar.com/downloads/hbuninst.exe

    este último você tem que baixar o nível de segurança e proteções antivírus e antispywares e download o executável

    Faça o download do KillBox:

    http://linhadefensiva.uol.com.br/dl/killbox

    Unzip

    Execute o KillBox: Selecione Delete on reboot; No box Full path of file to delete; Coloque:

    D:\WINDOWS\SYSTEM32\htproc32.dll

    Clique no botão All Files.

    - > Aperte X. Responda "no" à primeira pergunta

    próximo

    D:\Documents and Settings\All Users\Documentos\Settings\ur32art.dll

    - > Aperte X. Responda "no" à primeira pergunta

    Vá ao Painel de Controle , em Adicionar/Remover Programas remova os programas se existirem.

    Hotbar ou WebTools by Hotbar

    ShopperReports ou Shopper Reports by Hotbar

    HbTools

    Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

    Execute o HijackThis, clique em Do a System Scan Only, marque

    somente as entradas abaixo e dê Fix Checked.

    O9 - Extra button: SmartShopper - Compare product prices - {679B2A8D-B2FF-41ed-B3ED-C5CFB8564CB0} - D:\WINDOWS\system32\shdocvw.dll

    O9 - Extra button: SmartShopper - Compare travel rates - {9E4DF170-217F-4658-A11F-590664542B73} - D:\WINDOWS\system32\shdocvw.dll

    O16 - DPF: {3A7FE611-1994-4EF1-A09F-99456752289D} (WildTangent Active Launcher) - http://install.wildtangent.com/ActiveLaunc...iveLauncher.cab

    O20 - Winlogon Notify: htproc - D:\WINDOWS\SYSTEM32\htproc32.dll

    O20 - Winlogon Notify: ur32artreg - D:\Documents and Settings\All Users\Documentos\Settings\ur32art.dll

    Via Windows Explorer apague a pasta se existirem

    Hotbar ou WebTools by Hotbar

    ShopperReports ou Shopper Reports by Hotbar

    HbTools

    Rode o HotBar Uninstaller

    Rode o FxHotbar.exe

    Reinicie em modo normal.

    2ª Etapa

    Faça o download do ewido

    http://www.ewido.net/en/download/

    • Selecione "English" como idioma para a instalação

    • Clique em Next, I Agree, Next. Next. Desmarque a caixa Install background guard e clique em Install e depois Finish.

    • Na janela principal do ewido clique em Actualizar no menu esquerdo e então clique em Iniciar actualização.

    • Quando a atualização terminar, você verá a mensagem Actualizado com sucesso no canto inferior esquerdo

    • Saia do ewido e não rode um scan completo ainda

    Reinicie o computador no Modo de Segurança apertando F8 logo que iniciar até aparecer um menu onde você pode selecionar a opção "Modo Seguro" ou "Modo de Segurança".

    • Abra o ewido e clique em Verificar e então em Verificação Completa do Sistema

    • O ewido detecta alguns programas legítimos. Portanto, não marque a caixa que diz Executar a acção em todas as infecções. Se o ewido encontrar um arquivo que você acredita ser legítimo, caso dos discadores, escolha a opção "Nenhuma" e clique em OK. Caso contrário, deixe em Remover e clique em OK.

    Ao término da varredura, localize o screen com nome de -> Save report

    • Quando o ewido terminar, feche-o.

    Reinicie em modo normal.

    Post os logs HJThis+Ewido+Panda+ resultado daquele arquivo lá do começo.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×