Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Lucita

Problemas com lerdeza de pc e internet por spy

Recommended Posts

Há alguns dias tenho tido uns probleminhas com lerdeza do pc, e com a internet, que envia mais dados do que recebe, enfim.. probleminhas causados por spys chatos eheh

E esses eu não consegui retirar.. tirei um log do HijackThis pra ver se alguém pode me ajudar a retirá-los.

---------------

Logfile of HijackThis v1.99.1

Scan saved at 13:14:51, on 7/3/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\D-Tools\daemon.exe

C:\Arquivos de programas\iolo\System Mechanic 5\StartupGuard.exe

C:\Arquivos de programas\Discador itelefonica\DiscadorCompitelefonica.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\mswmf32.exe

C:\WINDOWS\System32\MS22.exe

C:\Documents and Settings\Lucita\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Arquivos de programas\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Arquivos de programas\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKCU\..\Run: [system Mechanic Startup Guard] "C:\Arquivos de programas\iolo\System Mechanic 5\StartupGuard.exe"

O4 - HKCU\..\RunServices: [Windows Configuration GUI] systemconfig32.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{90D67771-A9CC-4495-9C31-850B4FF45AD0}: NameServer = 200.204.0.138 200.204.0.10

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe

O23 - Service: mswmf32 - Unknown owner - C:\WINDOWS\mswmf32.exe

Desde já, obrigada.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Faça o download do ATF Cleaner by Atribune

http://www.atribune.org/ccount/click.php?id=1

Unzip em seu desktop

2.Cole o atalho Panda ActiveScan em seu desktop.

Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

Iniciar -> Executar. Digite services.msc e clique em OK. Procure o service cavalo de tróia mswmf32 . Dê um clique direito nele e clique em Propriedades. Clique em Parar e troque o Tipo de Inicialização para Desativado.

Roda HJThis -> Open the misc Tools section -> Delete an NT Service

Na caixa coloque mswmf32, clique em "OK" e confirme.

Execute o HijackThis, clique em Do a System Scan Only, marque somente as entradas abaixo e dê Fix Checked.

O4 - HKCU\..\RunServices: [Windows Configuration GUI] systemconfig32.exe

O23 - Service: mswmf32 - Unknown owner - C:\WINDOWS\mswmf32.exe

Habilite o Windows para mostrar todos os arquivos (até ocultos). -> veja

Via Windows Explorer apague arquivos

C:\WINDOWS\mswmf32.exe

Dois cliques no ATF-Cleaner.exe para rodar a ferramenta.

Check (assinale) os seguintes boxes:

Windows Temp

Current User Temp

All Users Temp

Temporary Internet Files

Prefetch

Java Cache

clica Empty Selected. Aparece uma janela "Done Cleaning" clique OK e exit.

Reiniciar

Execute o -> Panda ActiveScan

Depois do Scan Panda, faz um log hijackthis e anexe o resultado Panda.

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Bom, eu fiz isso aí e não resolveu... O problema persiste, e eu não consegui abrir o Hijackthis, acontece o mesmo de quando tenta abrir os processos e o msconfig, ele fecha rapidinho sozinho.

    uma coisa: depois q eu fiz isso Iniciar -> Executar. Digite services.msc e clique em OK. Procure o service cavalo de tróia mswmf32 . Dê um clique direito nele e clique em Propriedades. Clique em Parar e troque o Tipo de Inicialização para Desativado.

    Roda HJThis -> Open the misc Tools section -> Delete an NT Service

    Na caixa coloque mswmf32, clique em "OK" e confirme.

    não apareceu mais isso O23 - Service: mswmf32 - Unknown owner - C:\WINDOWS\mswmf32.exe pra ser deletado lá no scan do hijackthis, só apareceu a outra coisa, e eu fiz o que foi dito pra fazer.

    Antes, com muito custo, eu tinha conseguido abrir os processos, porque enquanto ele da aquele 1 segundo antes de fechar sozinho, eu consegui finalizar o systemconfig32, mas agora ele ta aparecendo lá no fim da lista e não consigo mais ehehhe.

    Bom, o scan do hijackthis não deu pra fazer, mas do panda sim, aí está:

    ------

    Incident Status Location

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\Updater\acroaum.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adobe\Acrobat 7.0\Setup Files\RdrBig705\PTB\instmsiw.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adobe\Acrobat 7.0\Setup Files\RdrBig705\PTB\setup.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adware Away\AdAway.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adware Away\EnumAutoRun.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adware Away\EProcess.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adware Away\ScanAtStartup.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adware Away\screenshot.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adware Away\unins000.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adware Away\Update.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Ahead\Nero\NeroCmd.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Ahead\Nero\WaveEditor\WaveEdit.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriver.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriver2.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\7\Intel 32\IDriver.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\InstallShield\Engine\6\Intel 32\IKernel.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\InstallShield\Professional\RunTime\0700\Intel32\DotNetInstaller.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\Java\Update\Base Images\jre1.5.0.b64\patch-jre1.5.0_06.b05\launcher.exe

    Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\Java\Update\Base Images\jre1.5.0.b64\patch-jre1.5.0_06.b05\patchjre.exe

    Possible Virus. Not disinfected C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\I123STUJ\c6[1].exe

    Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\Lucita\Cookies\lucita@acesso.uol.com[1].txt

    Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\Lucita\Cookies\lucita@de.uol.com[1].txt

    Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\Lucita\Cookies\lucita@google.com[1].txt

    Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\Lucita\Cookies\lucita@uol.com[1].txt

    Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\Lucita\Dados de aplicativos\Mozilla\Firefox\Profiles\w3rg3rfn.default\cookies.txt[]

    Spyware:Cookie/Server.iad.Liveperson Not disinfected C:\Documents and Settings\Lucita\Dados de aplicativos\Mozilla\Firefox\Profiles\w3rg3rfn.default\cookies.txt[33785543]

    Spyware:Cookie/Server.iad.Liveperson Not disinfected C:\Documents and Settings\Lucita\Dados de aplicativos\Mozilla\Firefox\Profiles\w3rg3rfn.default\cookies.txt[]

    Hacktool:HackTool/ExitWin.A Not disinfected C:\WINDOWS\pss\Reboot.exeStartup

    Virus:W32/Sdbot.GSF.worm Disinfected C:\WINDOWS\system32\config\systemprofile\Configurações locais\Temporary Internet Files\Content.IE5\I9QRO34V\rp5[1].exe

    Virus:Trj/Qhost.AD Disinfected C:\WINDOWS\system32\drivers\etc\hosts

    Virus:W32/Sdbot.ftp Disinfected C:\WINDOWS\system32\i

    Virus:W32/Sdbot.GNS.worm Disinfected C:\WINDOWS\system32\systemconfig32.exe

    Hacktool:HackTool/Flood Not disinfected D:\CyberScript30\sistema\dlls\nHTMLn.dll

    Espero que só com isso dê pra fazer alguma coisa..

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    1.Faça o download do UnHookExec.inf

    Desabilitar AV e Aspyware para n bloquear. Clique com o botão direito e clique em Instalar.

    2.Faça o download do F-Secure Blacklight:

    http://www.europe.f-secure.com/exclude/blacklight/blbeta.exe

    http://www.europe.f-secure.com/exclude/redirect.html

    http://www.f-secure.com/blacklight/try.shtml

    Salve-o na área de trabalho e execute-o fechando todos os programas e janelas. Aceite o acordo.

    Na janela Step 1: Scan for hidden items. Clique em scan.

    Se ele encontrar qualquer arquivo, ignore. Queremos apenas o log.

    Se alguma coisa aparecer mande o Blacklight renomear, com exceção dos arquivos:

    • wbemtest.exe

    • explorer.exe

    • winlogon.exe

    Esses arquivos são legítimos e podem ser detectados incorretamente pelo BlackLight, portanto ignore-os.

    3) Faça o download do rdrivRem

    http://linhadefensiva.uol.com.br/dl/rdrivrem

    Tire-o do ZIP e coloque-o em uma pasta na sua área de trabalho.

    Reinicie o computador no Modo de Segurança apertando F8 logo que iniciar até aparecer um menu onde você pode selecionar a opção "Modo Seguro" ou "Modo de Segurança".

    • Abra a pasta do rdrivRem e dê um clique-duplo no rdrivRem.bat. Depois disso, o arquivo rdriv.txt será criado na mesma pasta.

    Reiniciar

    Post estes 02 logs.

    Obs. O worm infectou arquivos executáveis que o Panda tirou. Depois terá que desinstalar e reinstalar os programas novamente.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Feito. Bom, o blbeta não encontrou nada..

    03/09/06 19:23:42 [info]: BlackLight Engine 1.0.33 initialized

    03/09/06 19:23:42 [info]: OS: 5.1 build 2600 (Service Pack 1)

    03/09/06 19:23:44 [Note]: 7019 4

    03/09/06 19:23:44 [Note]: 7005 0

    03/09/06 19:24:04 [Note]: 7006 0

    03/09/06 19:24:04 [Note]: 7011 1144

    03/09/06 19:24:05 [Note]: FSRAW library version 1.7.1015

    03/09/06 19:25:35 [Note]: 7007 0

    E parece q o rdrivrem também não ehhehe

    ~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~

    rdriv.sys NOT PRESENT!

    ItunesMusic.exe NOT PRESENT!

    wkssvc.exe NOT PRESENT!

    ~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~

    rdriv.sys NOT PRESENT!

    ItunesMusic.exe NOT PRESENT!

    wkssvc.exe NOT PRESENT!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    1.Faça um log do Silent Runners:

    http://www.silentrunners.org

    Faça o download do Silent Runners.vbs

    Rode-o. Ele vai gerar um log, anexe-o na resposta.

    Nota Importante: Você precisa do WMI para rodar o Silent Runners. Se o seu computador não tiver o WMI instalado, o Silent Runners vai te direcionar até o site da Microsoft, onde você deverá fazer o download do WMI, reiniciar o computador e depois fazer o log.

    Obs: Libere a execução do script se o seu antivírus reclamar. O Silent Runners não é um script malicioso.

    2) Execute detecção de vírus

    3) Apresenta novamente o log hijackthis (modo normal-> renomear o executável ... ou modo de segurança )

    Cola os 03 resultados.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Bom, fiz o que você disse. Baixei o silent runners e executei. Ele não gerou log e nem mandou baixar esse WMI, ele simplesmente deu um erro. No lugar do log apareceu isso:

    "Silent Runners.vbs", revision 43, http://www.silentrunners.org/

    Operating System: Windows XP

    Output limited to non-default values, except where indicated by "{++}"

    -----

    Log da symantec:

    C:\nefdw.exe está infectado com Backdoor.Trojan

    C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\KX6ZS1QR\members[1].zip está infectado com Backdoor.Trojan

    C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\8X6R85IJ\members[1].zip está infectado com Backdoor.Trojan

    --------

    Log do hijackthis:

    Logfile of HijackThis v1.99.1

    Scan saved at 11:59:21, on 10/3/2006

    Platform: Windows XP SP1 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Arquivos de programas\iolo\System Mechanic 5\StartupGuard.exe

    C:\WINDOWS\System32\devldr32.exe

    C:\Arquivos de programas\Discador itelefonica\DiscadorCompitelefonica.exe

    C:\WINDOWS\system32\cmd.exe

    C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

    C:\Arquivos de programas\Winamp\winamp.exe

    C:\Arquivos de programas\Mozilla Firefox\firefox.exe

    C:\WINDOWS\system32\NOTEPAD.EXE

    C:\Documents and Settings\Lucita\Desktop\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

    O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O4 - HKCU\..\Run: [system Mechanic Startup Guard] "C:\Arquivos de programas\iolo\System Mechanic 5\StartupGuard.exe"

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{90D67771-A9CC-4495-9C31-850B4FF45AD0}: NameServer = 200.204.0.138 200.204.0.10

    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

    O23 - Service: iPodService - Apple Computer, Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Submeta neste site

    http://virusscan.jotti.org/

    http://www.virustotal.com/flash/index_en.html

    o seguinte arquivo estranho:

    C:\WINDOWS\pss\Reboot.exeStartup

    Browse -> send/submit -> Retorne com os resultados, ou de posse do resultado delete-o.

    Faça o download do Hoster:

    http://linhadefensiva.uol.com.br/dl/hoster

    Abra o programa hoster.exe, clique em Restore Original Hosts e aperte em OK. Depois disso, finalize o programa.

    Faça o download do Trojan Remover

    http://www.simplysup.com/tremover/download.html

    Instale, atualize e realize uma varredura no modo de segurança.

    C:\nefdw.exe está infectado com Backdoor.Trojan < - delete este arquivo no modo de segurança !

    Hacktool:HackTool/ExitWin.A Not disinfected C:\WINDOWS\pss\Reboot.exeStartup < - < - delete este arquivo no modo de segurança se não for falso/positivo !

    reiniciar

    Execute outro scan online

    Desinstala/Reinstala os seguintes programas

    C:\Arquivos de programas\Adobe

    C:\Arquivos de programas\Ahead\Nero\

    C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32 <- driver ?

    Post o log KAV O log hijackthis n mostra + nada para tirar.

    Boa sorte

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Fiz tudo isso aí, mas parece q não deu muito certo..

    No lugar do C:\nefdw.exe já apareceu outro, e nos processos várias coisas executando também, assim como a net voltou a enviar mais do q receber, e o startup guard já acusou também várias tentativas de mudança do iniciar no msconfig por esses arquivos. Eu estou excluindo, excluindo (de acordo com o q você vai me falando), mas eles voltam com nomes diferentes. :(

    ------

    Log do kav:

    Scan Statistics:

    Total number of scanned objects: 31175

    Number of viruses found: 4

    Number of infected objects: 8

    Number of suspicious objects: 0

    Duration of the scan process: 3101 sec

    Infected Object Name - Virus Name

    C:\Arquivos de programas\Adware Away\adaway.txt:yawada.exe:$DATA Infected: Trojan-Proxy.Win32.Bobax.t

    C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\8X6R85IJ\members[1].zip Infected: Backdoor.Win32.Agent.tk

    C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\I123STUJ\c6[1].exe Infected: Trojan-Proxy.Win32.Bobax.t

    C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\KX6ZS1QR\members[1].zip Infected: Backdoor.Win32.Agent.tk

    C:\WINDOWS\system32\config\systemprofile\Configurações locais\Temporary Internet Files\Content.IE5\KLS9CLYR\lat[1].exe Infected: Backdoor.Win32.Agobot.agw

    C:\WINDOWS\system32\lup.exe Infected: Backdoor.Win32.Agobot.agw

    C:\WINDOWS\system32\mssvcc.exe Infected: Backdoor.Win32.Rbot.aeu

    C:\WINDOWS\Temp\ASHeuristic\c6[1]_exe.vir Infected: Trojan-Proxy.Win32.Bobax.t

    Scan process completed.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

    C:\Arquivos de programas\Adware Away\ -> delete -> adaway.txt:yawada.exe:$DATA

    C:\WINDOWS\Temp\ASHeuristic\c6[1]_exe.vir <- deletar

    C:\WINDOWS\system32\mssvcc.exe < - deletar

    C:\WINDOWS\system32\lup.exe < - deletar

    Limpe seus arquivos temporários.

    Reiniciar

    Agora você faz novamente o log Silent e cola ele inteiro ( aquele saiu somente o cabeçalho)

    Faz o log hijackthis e cola ambos na resposta.

    Uma pergunta, voce usa firewall

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Fiz isso aí, não resolveu nada. O log do hijackthis saiu igualzinho o ultimo que eu postei, e do silent não sai nada, só sai aquilo lá, como eu disse, ele dá um erro e não sai log nenhum.

    Eu deleto esses arquivos aí, reinicio o computador e aparecem outros no lugar, não adianta nada. O jeito vai ser eu formatar o pc de novo, e dessa vez botar senha aqui pra ninguém mexer quando eu não estiver em casa. Não uso firewall, mas nunca usei e nunca tive esse tipo de problema, foi só dessa vez que eu formatei o pc faz +- 1 mês e não coloquei mais senha nas coisas como antes.. aí já viu.

    Além disso, algum arquivo do win foi danificado, pois ele não iniciava mais (desde sábado) foi preciso reinstalar o win pra reparar.. bom.. só sei que contando todo o tempo que eu to perdendo com isso, eu vou formatar o drive c: e pronto.. já ta inviável pra mim tentat ficar tirando essas porcarias aqui, porque não tenho mais adsl, então a net é lenta pra baixar as coisas e não é td hr q posso ficar usando a linha.. Mas em td caso, obrigada por ter tentado me ajudar.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    veja isto

    1) O seu computador foi infectado por botnets, veja abaixo os links:

    http://www.superadblocker.com/definition/mswmf32/

    http://www.sophos.com/virusinfo/analyses/w32rbotbjv.html

    O seu caso é interessante, pois houve a contaminação em executáveis de outros programas, acusado no log panda (Adobe/Nero), dando um pouco de trabalho. Leve em consideração possíveis ações do "atacante", conforme está escrito nos links mencionados.

    Agora veja os links abaixo, para você entender como funciona e sobre a infecção existente:

    http://linhadefensiva.uol.com.br/2006/03/top-fev-06/

    http://linhadefensiva.uol.com.br/informati...ts-redes-zumbi/

    2) Leia o artigo Proteja seu PC para evitar futuras infecções:

    http://linhadefensiva.uol.com.br/artigos/proteja-seu-pc/

    Instale uma firewall terceira, para proteger seu computador, senão vai voltar de novo.

    http://linhadefensiva.uol.com.br/downloads/firewalls/

    procure, pesquise sobre tutorial e configuração da escolhida, na net, ou aqui mesmo no fórum, na outra sala.

    3) Seguindo o tutorial “proteger seu pc”, instale o IE-SpyAd no navegador IE:

    http://linhadefensiva.uol.com.br/downloads/outros/

    4) Mande um amigo gravar o SP-2 do XP (veja no fórum XP) para instalar e corrigir problemas de segurança do win XP. Depois voce deixa para atualizar os patches atuais.

    abraço

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×