Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
smartalpha

A Novela "Generic Host Process for Win32 Services"

Recommended Posts

Amigos, como os srs. já sabem, o problema "Generic Host Process for Win32 Services executou uma operação ilegal e será finalizado" é um mal que assola usuários aos montes. Fiz pesquisas neste fórum e encontrei muitos depoimentos e variações sobre o que acontece de verdade em cada máquina e proponho que só sejam dadas respostas à esse tópico na intenção de SOLUCIONAR e não de botar mais dúvida ou sugestões que não levam à nada. O meu caso, particularmente, NÃO foi resolvido com as seguintes soluções:

SpyBot;

Anti-vírus;

Atualização do Windows código KB894391;

Mudanças no registro etc.

Os sintomas aqui no meu PC são:

- Tal fato SOMENTE acontece após uma conexão, dial-up por exemplo;

- Pode levar de 10 minutos à até 6 horas para acontecer;

- Depois que acontece, torna impossível acessar o Firewall do Windows, o status da conexão ou mesmo desconectar-se para efetuar nova conexão;

- Existe uma forma de contornar, mantendo uma janela de status da conexão sempre aberta, pois quando o erro acontecer você poderá desconectar, fechar os avisos todos e reconectar, mas algumas poucas coisas continuam sem funcionar e todas as atividades ligadas ao dial-up ficam estranhas (não aparece ícone de conexão por exemplo, e de repente aparece);

De acordo com o que li em outros posts, pode acontecer ainda:

- Assim que o Windows inicia / reinicia, sem conexão mesmo;

- Ligado apenas à execução de determinados aplicativos;

- Aleatoriamente.

Então vou deixar aqui as duas perguntas que mais interessam, e espero que só respostas que interessem venham figurar logo abaixo:

1. Afinal, é um malware ou é mais uma incompetência da Microsoft?

2. COMO SE RESOLVE ESTE PROBLEMA DE UMA VEZ POR TODAS?

Caso não exista solução eficiente, pelo menos existe como REINICIAR o Generic Host Process for Win32 Services de forma que o mesmo volte a funcionar sem executar mais suas estúpidas operações ilegais? Grato pela compreensão, experiência e conhecimento dos colegas que infelizmente têm que aguentar este mundo caótico da informática microsoftense.

Germano - FORTALEZA/CE

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa!

Precisamos analisar seu log do Hijackthis.

Faça o seguinte:

1. Baixe o programa atualizado do HijackThis.

Salve o programa numa pasta no C:\ (Ex: C:\HijackThis\HijackThis.exe)

- Abra o HijackThis, clique em Do a system scan and save a logfile

- Copie o log salvo na pasta HijackThis e cole-o na sua resposta para prosseguirmos.

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Cara Lídia

    Desculpe a demora, tive um problema de acessibilidade ao meu pendrive (meu irmão sequestrou ele por alguns dias) e assim fiquei impossibilitado de misturar os dois PCs... o PC em questão só acessa a Internet em dial up, portanto, finais de semana. Mas levei o HijackThis lá e fiz um LOG. Porém o LOG está muito curto, menos de 30 linhas. Acho que eu deveria refazer ele quando estivesse conectado... ou não? Eu mesmo li o log e não achei nenhuma entrada muito suspeita ou diretórios desconhecidos. Mas se quiser, eu envio ambos. O que me recomendaria? Gratíssimo

    Germano

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Germano - FORTALEZA/CE

    Também estou com este problema. Não quero criar mais dúvida, apenas uma informação que poderá ser útil. Antes de conectar à internet (Dial up), abro o gerenciador de tarefas organizo por "uso de memória" e dou finalizar no svchost que usando mais memória (é o do SYSTEM, pois costumam ter vários).

    Depois que fiz isso, conecto a net e uso o pc normalmente. Fico jogando wow durante horas, e não dá nenhum erro.

    Espero que a informação seja útil.

    Abrcs!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Legal sua dica amigo, mas quando você finaliza este SVCHOST não ocorre mais o problema de finalização do Generic Etc. ? Grato!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Olá, Germano Cavalcanti!

    Vamos analisar seu log do Hijackthis. Cole o resultado na sua resposta.

    Em seguida iremos prosseguir.

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Este foi o LOG gerado quando apenas liguei o PC, gerei e então desliguei... estou achando ele pequeno em comparação com o LOG de outros que já vi por aqui, mas se já servir... Eis:

    Logfile of HijackThis v1.99.1

    Scan saved at 07:27:14, on 1/9/2006

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\csrss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\System32\alg.exe

    C:\hijackthis\HijackThis.exe

    C:\WINDOWS\system32\wuauclt.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://visitante.acesso.uol.com.br/login.h...kin=bol-default

    O1 - Hosts: localhost 127.0.0.1

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

    O17 - HKLM\System\CCS\Services\Tcpip\..\{66D0C0EE-0799-4E28-A2A5-432CEBA04687}: NameServer = 85.255.116.29,85.255.112.134

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

    Se quiser que eu faça um segundo LOG desta vez durante uma conexão com a Internet para ver se algo mais é acusado, só me avisar. Grato!

    Germano.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Opa! Como vai, Germano Cavalcanti!

    O17 - HKLM\System\CCS\Services\Tcpip\..\{66D0C0EE-0799-4E28-A2A5-432CEBA04687}: NameServer = 85.255.116.29,85.255.112.134

    Esses DNS são maliciosos e redirecionam para sites que instalam programas anti spywares WareOut ou UnSpyPC que facilitam a entrada de malwares. Então será preciso alterar rapidamente o seu DNS.

    Entre em contato com o seu provedor (por telefone) para pedir informações do seu DNS Primário e DNS Secundário, pois ao tentar removê-los sua conexão a internet poderá parar, por isso antes você terá que ter os dados do DNS para mudar configuração ou verificar se pode deixar no automatico, certo?

    Seu log está mesmo pequeno. Já executou o Hijackthis antes, tipo removendo algumas entradas?

    Aguardo sua resposta para prosseguirmos.

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Cara Shine

    Utilizo Internet gratuita, discada comum, i-Best, que não dá suporte à esse tipo de configuração que me recomendou, eu acredito. Talvez possamos deixar no automático, se você me orientar como. Sobre o LOG, foi o primeiro resultado que saiu e eu nunca tinha utilizado o HijackThis antes. Obrigado até aqui! Aguardo instruções.

    Germano

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Ok..

    então vamos aos procedimentos, qualquer duvida fique a vontade certo?

    1. Baixe o Fixwareout e salve na área de trabalho para ter fácil acesso.

    - Dê um duplo-clique em FixWareout.exe para proceder a instalação. Clique no botão Next e depois em Install.

    Verifique se a caixa Run fixit está marcada e depois clique em Finish.

    -> Siga as instruções do programa, quando perguntar se quer reiniciar clique em Sim.

    >> Vai demorar um pouco para reiniciar e carregar completamente <<

    2. Localize no C:\ um arquivo report.txt, copie esse log e cole-o na sua resposta.

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Ai, cada vez que você me manda um executável eu congelo na dúvida se executo ou não hahaha, mas como até então nenhum faz nada de ruim, vamos lá... vou executar este segundo só amanhã, por enquanto estou vendo se a dica que um colega deu no post serve, só para que eu possa realizar uma atividade que está atrasada e requer conexão constante. Aí amanhã te envio o Log. Obrigado!

    Curiosidade: 14 de maio, que é tua data de associação no fórum, é também meu aniversário.

    Abraços

    Germano

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Ok.. ;)

    Estarei no aguardo..

    Curiosidade: 14 de maio, que é tua data de associação no fórum, é também meu aniversário

    Depois dessa, não vou esquecer :)

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Olha Shine, vou te contar... hahahaha, tem que ter muita confiança em você pra seguir estes seus passos viu??? A execução do Fixwareout me fez pensar que dessa vez eu tinha caído nas mãos de alguém muito ruim! Mas felizmente mais uma vez deu tudo legal e aqui está o LOG produzido por ele. Como pedido pelo próprio programa, fiz um novo LOG do HijackThis, que vem logo em seguida.

    ////////////////////////////////////////////////

    ////////////////////////////////////////////////

    ////////////////////////////////////////////////

    Fixwareout ver 1.003

    Last edited 8/11/2006

    Post this report in the forums please

    Reg Entries that were deleted

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\vcjmd

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1dedoc

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llams_ogol

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwh

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ytpme

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\domdnb

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\orcimlh

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\lavinraCputeS

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\nlcalik

    ...

    Random Runs removed from HKLM

    "dmjcv.exe"=-

    ...

    PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

    »»»»» Searching by size/names...

    * csr.exe C:\WINDOWS\System32\CSOZB.EXE

    »»»»»

    Search five digit cs, dm and jb files.

    This WILL/CAN also list Legit Files, Submit them at Virustotal

    C:\WINDOWS\SYSTEM32\CSOZB.EXE 51.200 2005-10-09

    C:\WINDOWS\SYSTEM32\DMJCV.EXE 46.592 2004-08-04

    C:\WINDOWS\SYSTEM32\DMNUO.EXE 46.592 2004-08-04

    C:\WINDOWS\SYSTEM32\DMTZC.EXE 46.592 2004-08-04

    C:\WINDOWS\SYSTEM32\DMVOV.EXE 46.592 2004-08-04

    C:\WINDOWS\SYSTEM32\DMXCI.EXE 46.592 2004-08-04

    C:\WINDOWS\SYSTEM32\DMZIQ.EXE 46.592 2004-08-04

    Other suspects.

    Directory of C:\WINDOWS\system32

    »»»»» Misc files.

    »»»»» Checking for older varients covered by the Rem3 tool.

    //////////////////////////////////////////////////////////

    //////////////////////////////////////////////////////////

    //////////////////////////////////////////////////////////

    Logfile of HijackThis v1.99.1

    Scan saved at 18:48:20, on 2/9/2006

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\notepad.exe

    C:\hijackthis\HijackThis.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

    ///////////////////////////////////////////

    Uma das duas entradas que você havia citado como suspeitas, no primeiro log do hijack, eu mesmo pedi FIX nela, e aí já havia desaparecido antes do Fixwareout fazer o scan dele. Até aqui, mesmo com os nervos indo pela privada :priv: ...

    ...tudo normal, Internet rodando, mas ainda sem certeza se o Generic Proccess for WinHost 32 vai parar de ser finalizado, pois estou há pouco nesta conexão. Qual nosso próximo passo? Por favor, outro executável pode me matar... :wacko::D

    Obrigado!

    Germano Cavalcanti.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • E acaba de acontecer mais uma vez, "Generic Proccess for WinHost 32 executou uma operação ilegal e será finalizado"... ele tem alguma coisa a ver com o netapi32.dll, pelo menos é o único arquivo legível que é citado no relatório de erros... Meu deus, que praga é essa?

    Germano

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Germano Cavalcanti, quero deixa-lo despreocupado quanto aos procedimentos que são postados sob minha responsabilidade, e deixar claro que tenho por objetivo ajudar pessoas com problemas de malwares, ou seja, em hipotese alguma tenho a intenção de prejudicá-lo, e saiba que sempre quando precisar pode contar com nossa equipe.

    Agora vamos aos procedimentos, como disse no inicio, qualquer duvida fique a vontade para perguntar, certo?.

    1. Faça o download do Killbox, descompacte-o para uma pasta de fácil acesso, execute-o.

    - Marque a opção Delete on Reboot.

    - Agora copie a lista azul abaixo

    (selecione e clique em Editar > Copiar).

    C:\WINDOWS\System32\CSOZB.EXE

    C:\WINDOWS\SYSTEM32\CSOZB.EXE

    C:\WINDOWS\SYSTEM32\DMJCV.EXE

    C:\WINDOWS\SYSTEM32\DMNUO.EXE

    C:\WINDOWS\SYSTEM32\DMTZC.EXE

    C:\WINDOWS\SYSTEM32\DMVOV.EXE

    C:\WINDOWS\SYSTEM32\DMXCI.EXE

    C:\WINDOWS\SYSTEM32\DMZIQ.EXE

    - Volte ao KillBox. Clique em File > Paste from clipboard. Clique no botão All Files.

    - Clique no botão killbox.png. Responda SIM à pergunta.

    PS: Seu computador irá reiniciar normalmente.

    2. Após reiniciar, faça um novo log do Hijackthis e cole-o na sua resposta

    3. Localize o arquivo report.txt e delete-o

    - Execute novamente o FixWareout

    PS: Ele vai criar um novo arquivo report.txt.

    - Copie o conteudo do arquivo report.txt e cole-o também na sua resposta.

    Edit: Estarei no aguardo para prosseguirmos e tentar resolver seu problema o quanto antes.

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Tudo executado, vamos aos resultados:

    //////////////////////////////////////

    1. 1º LOG (Logo após o KillBox e reboot):

    =

    Logfile of HijackThis v1.99.1

    Scan saved at 23:05:00, on 2/9/2006

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\system32\userinit.exe

    C:\WINDOWS\Explorer.EXE

    C:\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://visitante.acesso.uol.com.br/login.html

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

    /////////////////////////////////////////////

    2. Não me foi mandado, mas o KillBox criou um diretório !KILLBOX contendo os EXE deletados, talvez fosse backup de segurança e um LOG da ordem, apenas contendo as linhas de comando, mas aí na ânsia apaguei todo o diretório !KILLBOX com os EX ruims junto... :( Mas o PC iniciou normal, acho que não teve problema.

    3. Arquivo REPORT.TXT, em Fixwareout, deletado. Executando Fixwareout novamente.

    /////////////////////////////////////////////

    4. Segundo LOG do FIXWAREOUT (após passo 3 acima)

    Fixwareout ver 1.003

    Last edited 8/11/2006

    Post this report in the forums please

    Reg Entries that were deleted

    ...

    Random Runs removed from HKLM

    ...

    PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

    »»»»» Searching by size/names...

    »»»»»

    Search five digit cs, dm and jb files.

    This WILL/CAN also list Legit Files, Submit them at Virustotal

    Other suspects.

    Directory of C:\WINDOWS\system32

    »»»»» Misc files.

    »»»»» Checking for older varients covered by the Rem3 tool.

    /////////////////////////////////////////////////

    5. Só pra garantir, segundo LOG do Hijackthis, após passo 4 acima:

    Logfile of HijackThis v1.99.1

    Scan saved at 23:16:51, on 2/9/2006

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\NOTEPAD.EXE

    C:\hijackthis\HijackThis.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

    ///////////////////////////////////////////////////

    Pronto... Próximas instruções, capitã? :)

    Germano

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Opa!!!

    Seu log do Hijackthis está limpo

    Log do Fixwareout não apresenta mais problemas com a infecção.

    2. Não me foi mandado, mas o KillBox criou um diretório !KILLBOX contendo os EXE deletados, talvez fosse backup de segurança e um LOG da ordem, apenas contendo as linhas de comando, mas aí na ânsia apaguei todo o diretório !KILLBOX com os EX ruims junto... :( Mas o PC iniciou normal, acho que não teve problema.

    Fez certo.

    1. Baixe o CCleaner para fazer uma boa limpeza no seu pc.

    Apos o download, proceda com a instalação, em seguida abra o programa e execute a varredura.

    - Clique em Analisar.

    - Ao terminar o scan clique em Executar Cleaner para finalizar.

    PS: Esse programinha é ótimo e confiável. Também é usado para corrigir erros.

    Verifique se o problema continua.

    Um forte abraço!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Procedendo às suas últimas recomendações e iniciando verificação de persistência do problema a partir de agora. :) Acredito que se isso não ocorrer até o final de hoje, Domingo, meu PC recebrá alta da UTI remota.

    Muitíssimo obrigado pela sua atenção e seu esforço, foi um prazer medicar com você! Darei um retorno da situação para você ainda. :)

    Abraços

    Germano

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Certo... :)

    Caso não ocorra mais problemas, Desabilite e reabilite a Restauração do Sistema para finalizar ok?

    PS: Mantenha ativado a Restauração do Sistema depois.

    Leia o proteja-seu-pc para obter informações sobre proteçao.

    Não vi antivirus instalado no seu pc..

    Precisando de algo mais nos procure

    Abraços, Germano Cavalcanti!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Lídia, eu já ia completar 14 horas de conexão sem o erro quando de repente... lá vem ele de novo... Generic Proccess bla bla bla precisa ser finzalizado! :muro:

    Será possível que isso é invencível?

    Por precaução, fui em SYSTEM32 ver se algum dos executáveis ruins que o KillBox apagou havia retornado. Não achei nenhum na lista.

    Para me antecipar:

    ////////////////////////////////////////////////////////

    Logfile of HijackThis v1.99.1

    Scan saved at 14:08:57, on 3/9/2006

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\explorer.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

    C:\segurança\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://visitante.acesso.uol.com.br/login.html

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

    O17 - HKLM\System\CCS\Services\Tcpip\..\{DEC09ED7-E51F-400B-91DE-A97F4DABD1A9}: NameServer = 85.255.116.29 85.255.112.134

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

    /////////////////////////////////////////////////////////

    Parece que a entrada 17 voltou à conter um IP não desejado. Será algum site que eu acesso? eu mal tive tempo de fazer nada... O único site que me lembro de estar meio que coincidente com o começo de tudo isso é o www.webrs.com.br , onde navego no canal de curiosidades apenas, para lê-las...

    Haja paciência! Que fazemos? Tudo de novo?

    Grato - Germano!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Olá, Germano!

    Vamos fazer outra verificação, certo?

    1. Faça o download do F-Secure Blacklight:

    http://www.europe.f-secure.com/exclude/blacklight/blbeta.exe

    - Salve-o na área de trabalho e execute-o. Aceite o acordo.

    PS: Se ele encontrar qualquer arquivo, ignore. Queremos apenas o log.

    Ao final do scan, copie o arquivo fsb-xxxxx.log (onde xxx são números) e cole o resultado na sua resposta.

    Edit: Faça também um novo log do F-Secure Blacklight e cole o resultado na sua resposta.

    Qual programa de proteção está usando?

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Legal sua dica amigo, mas quando você finaliza este SVCHOST não ocorre mais o problema de finalização do Generic Etc. ? Grato!

    Exatamente...

    Eu finalizo ele, e não da mais o problema não...

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Cara Shine, caro Germano.

    Certa vez quando apareceu a janelinha do generic, eu cliquei em relatório de erros e procurei saber qual a dll que estava envolvida no problema, feito isso, recorri ao google para procurar algum site que continha a respectiva dll, imediatamente fiz o download e substituí a dll velha pela nova.

    Não posso dizer se o problema foi sanado, pois como eu me mudei de cidade, eu não tenho computador la, então só uso o computador na minha cidade velha, quando venho praticamente uma vez por mês, mas minha mãe que usa o computador falou que o problema não tinha mais acontecido.

    Tente de repente fazer o mesmo, Germano...quem sabe o problema é sanado.

    Estou com o mesmo problema, o pior de tudo é que eu até já formatei o meu computador e o Generic.. continua a me atormentar...baixei os hotfixes da microsoft e nada até q me occorreu a seguinte ideia:

    Espero ter ajudado.

    Atenciosamente,

    Pedro.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Guest cruse

    olá, bom dia , Peço uma ajudinha! Sou usua´rio Velox e aparece no meu pc que este tal de generic host está usando 98% da largura de banda, a net fica lenta lenta, isso é normal? acho que está errado, o que fazer?

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Shine, estive viajando mas irei tentar sua nova ajuda neste final de semana que virá. Por isso passei tanto tempo longe. Aparentemente o problema agora está acontecendo com mais tempo de funcionamento, cerca de 3 horas após a conexão eu diria...

    Sobre qual programa de proteção eu uso, minha resposta é nenhum. Anti-vírus, pelo menos se for de marca famosa, ao meu ver só dá mais vírus. Teoria conspiratória, talvez seja besteira... mas meu PC velho já tem 6 anos funcionando, acessando Internet, e sem ter recebido nenhuma formatação. Agora, gostaria de saber se o problema com o Generic Proccess é malware ou não... porque veja bem, o PC do meu irmão é contemporâneo ao meu, e o Windows dele vem do mesmo CD do meu, e está dando esse problema lá também, sendo que ele usa Internet coisa de 1 vez por mês apenas, e navega em sites completamente diferentes dos meus.

    Sobre trocar a DLL, como um colega sugeriu aqui, eu pensei em fazer também, mas solicitei à um amigo que me dissesse qual era o tamanho exato em bytes da dele, e bateu certinho com a minha... bom, se uma DLL está corrompida, deveria apresentar uma diferença de tamanho eu acho... mas pode ser a versão dela, quem sabe.

    Fechar o SVCHOST de maior uso de memória também não resolveu aqui, pois o mesmo é um processo crucial do Windows e este acaba por ser forçado a desligar em 30 segundos.

    Enfim, postarei posteriormente para estudarmos mais este problema...

    Abraços e obrigado!

    Germano

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×