Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
aflosi

Meu pc não está desligando correntamente

Recommended Posts

Senhores,

Já muito coisa a respeito aqui e pediram que eu colocasse o Log o HijackThis aqui para que o mesmo fosse comentado. Por gentileza, alguém saberia me dizer o porque o micro não desliga?

Logfile of HijackThis v1.99.1

Scan saved at 23:47:51, on 8/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\MEDIA\microsoft.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Pandion\Pandion.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\RealVNC\VNC4\WinVNC4.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Arquivos de programas\NewDotNet\newdotnet7_48.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [EPSON Stylus CX3500 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BL.EXE /P26 "EPSON Stylus CX3500 Series" /O6 "USB001" /M "Stylus CX3500"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [hptools] C:\WINDOWS\MEDIA\microsoft.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARQUIV~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [googletalk] "C:\Arquivos de programas\Google\Google Talk\googletalk.exe" /autostart

O4 - Startup: No-IP DUC.lnk = C:\Arquivos de programas\No-IP\DUC20.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Pandion.lnk = C:\Arquivos de programas\Pandion\Pandion.exe

O8 - Extra context menu item: Baixar com &BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Baixar todos com BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ServiceLayer - Nokia. - C:\Arquivos de programas\Arquivos comuns\PCSuite\Services\ServiceLayer.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Arquivos de programas\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Obrigado!!!

Compartilhar este post


Link para o post
Compartilhar em outros sites

aflosi, desabilite temporariamente o seu antivírus para não causar conflitos.

@- Faça o download do(s) programa(s) relacionado(s) abaixo, mas não execute ainda.

- Copie as instruções para o bloco de notas ou imprima!

- Em adicionar ou remover programas, existindo, desinstale:

  • NewDotNet ou New.Net...

Não existindo o NewDotNet, baixe o removedor (NNuninstall.exe) em http://www.newdotnet.com/removal.html. Execute-o e reinicie o computador.

- Faça a descompactação do KillBox e reserve-o numa pasta ou em seu desktop;

- Execute a Ferramenta KillBox. Marque a opção Delete on Reboot. Copie o caminho do arquivo abaixo em vermelho, selecionando-o e clicando com o botão direito do mouse -> copiar...

C:\WINDOWS\MEDIA\microsoft.exe

...No KillBox, com o arquivo já copiado para área de transferência, cole-o dentro da box -> Full Path of File to Delete... Com o botão Single File já selecionado, clique no X... e responda Sim à pergunta.

@- Reinicie o computador em Modo Seguro (fique pressionando a tecla F8, ou F5 em alguns casos, durante a inicialização).

- Execute o HijackThis - Clique em Do a System Scan Only. Marque as caixinhas referentes à(s) entradas relacionadas abaixo em azul. Ao final da seleção, clique em Fix Checked...

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Arquivos de programas\NewDotNet\newdotnet7_48.dll

O4 - HKLM\..\Run: [hptools] C:\WINDOWS\MEDIA\microsoft.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARQUIV~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s

@- Reinicie em modo normal.

Observação: Se, ao reiniciar, você não conseguir se conectar, use o WinsockFix e reinicie outra vez. Se não, não há necessidade de executá-lo.

- Faça um scan On-Line com o Ewido.

http://www.ewido.net/en/onlinescan/

@- Copie outro log do Hijack (atualizado), do Ewido e cole-os na sequência.

<div align="center">Mr. Coruj@</div>

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Antes de mais nada, valeu pela ajuda Mr. Coruj@.

    Bom, vamos ao report:

    1 - "- Em adicionar ou remover programas, existindo, desinstale:

    NewDotNet ou New.Net..."

    Eu já havia removido o NewDotNet do arquivos e programas.

    2 - "Não existindo o NewDotNet, baixe o removedor (NNuninstall.exe) em http://www.newdotnet.com/removal.html. Execute-o e reinicie o computador."

    Mesmo removendo pelo arquivos e programas e também utilizando esta ferramenta acima, o PC não desligava. Então desliguei no dedo mesmo e liguei novamente.

    Depois disso fiz todo o processo proposto até a exclusão do arquivo: C:\WINDOWS\MEDIA\microsoft.exe.

    Reinicie o micro em modo seguro e na hora de executar o HiJackThis, apenas encontrei o seguinte item mencionado:

    O4 - HKLM\..\Run: [hptools] C:\WINDOWS\MEDIA\microsoft.exe

    FEito o preocedimento do HiJackThis, o micro reiniciou e eu loguei normalmente, sem a necessidade de usar o Winsockfix.

    Continuando, realizei o scan proposto no site da ewido, segue o log do mesmo junto com o novo log do HiJackThis:

    * Ewido

    __________________________________________________

    ewido anti-spyware online scanner

    http://www.ewido.net

    __________________________________________________

    Name: TrackingCookie.Doubleclick

    Path: C:\Documents and Settings\Anderson\Cookies\anderson@doubleclick[1].txt

    Risk: Medium

    Name: TrackingCookie.Sextracker

    Path: C:\Documents and Settings\Anderson\Cookies\anderson@sextracker[1].txt

    Risk: Medium

    Name: Adware.NewDotNet

    Path: HKU\S-1-5-21-220523388-1993962763-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}

    Risk: Medium

    Name: Adware.NewDotNet

    Path: C:\Arquivos de programas\eMule\Emule Speed Booster\NNGLZA638.EXE

    Risk: Medium

    Name: Backdoor.Bifrose.d

    Path: C:\Documents and Settings\Aldi\Configurações locais\Temporary Internet Files\Content.IE5\O1KVON0R\patch[1].exe

    Risk: High

    Name: TrackingCookie.2o7

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@122.2o7[2].txt

    Risk: Medium

    Name: TrackingCookie.247realmedia

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@247realmedia[1].txt

    Risk: Medium

    Name: TrackingCookie.2o7

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@2o7[2].txt

    Risk: Medium

    Name: TrackingCookie.Yieldmanager

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@ad.yieldmanager[1].txt

    Risk: Medium

    Name: TrackingCookie.Adbrite

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@adbrite[2].txt

    Risk: Medium

    Name: TrackingCookie.Pointroll

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@ads.pointroll[1].txt

    Risk: Medium

    Name: TrackingCookie.Adtech

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@adtech[2].txt

    Risk: Medium

    Name: TrackingCookie.Atdmt

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@atdmt[2].txt

    Risk: Medium

    Name: TrackingCookie.Bluestreak

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@bluestreak[2].txt

    Risk: Medium

    Name: TrackingCookie.Casalemedia

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@casalemedia[1].txt

    Risk: Medium

    Name: TrackingCookie.Sextracker

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@counter10.sextracker[1].txt

    Risk: Medium

    Name: TrackingCookie.Sextracker

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@counter15.sextracker[1].txt

    Risk: Medium

    Name: TrackingCookie.Sexcounter

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@cs.sexcounter[2].txt

    Risk: Medium

    Name: TrackingCookie.Doubleclick

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@doubleclick[1].txt

    Risk: Medium

    Name: TrackingCookie.Estat

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@estat[1].txt

    Risk: Medium

    Name: TrackingCookie.Fastclick

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@fastclick[2].txt

    Risk: Medium

    Name: TrackingCookie.Hitbox

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@hg1.hitbox[1].txt

    Risk: Medium

    Name: TrackingCookie.Hitbox

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@hitbox[1].txt

    Risk: Medium

    Name: TrackingCookie.Masterstats

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@image.masterstats[1].txt

    Risk: Medium

    Name: TrackingCookie.Mediaplex

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@mediaplex[1].txt

    Risk: Medium

    Name: TrackingCookie.2o7

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@msnportal.112.2o7[1].txt

    Risk: Medium

    Name: TrackingCookie.Overture

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@overture[1].txt

    Risk: Medium

    Name: TrackingCookie.2o7

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@partygaming.122.2o7[1].txt

    Risk: Medium

    Name: TrackingCookie.Questionmarket

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@questionmarket[1].txt

    Risk: Medium

    Name: TrackingCookie.Revenue

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@revenue[2].txt

    Risk: Medium

    Name: TrackingCookie.Liveperson

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@server.iad.liveperson[2].txt

    Risk: Medium

    Name: TrackingCookie.Serving-sys

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@serving-sys[2].txt

    Risk: Medium

    Name: TrackingCookie.Onestat

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@stat.onestat[2].txt

    Risk: Medium

    Name: TrackingCookie.Statcounter

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@statcounter[1].txt

    Risk: Medium

    Name: TrackingCookie.Webtrendslive

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@statse.webtrendslive[1].txt

    Risk: Medium

    Name: TrackingCookie.Tradedoubler

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@tradedoubler[1].txt

    Risk: Medium

    Name: TrackingCookie.Trafic

    Path: C:\Documents and Settings\Aldi\Cookies\aldi@trafic[1].txt

    Risk: Medium

    Name: Backdoor.Bifrose.d

    Path: C:\Documents and Settings\Aldi\Desktop\patch.exe

    Risk: High

    Name: Adware.NewDotNet

    Path: C:\Documents and Settings\Anderson\Desktop\NNuninstall.exe

    Risk: Medium

    Name: TrackingCookie.Tribalfusion

    Path: C:\Documents and Settings\lais\Cookies\lais@tribalfusion[2].txt

    Risk: Medium

    Name: TrackingCookie.Zedo

    Path: C:\Documents and Settings\lais\Cookies\lais@zedo[1].txt

    Risk: Medium

    Name: Adware.NewDotNet

    Path: C:\System Volume Information\_restore{1A9A8FF6-ED5D-4A4C-A939-618C94ECA2B7}\RP105\A0011149.dll

    Risk: Medium

    Name: Adware.NewDotNet

    Path: C:\System Volume Information\_restore{1A9A8FF6-ED5D-4A4C-A939-618C94ECA2B7}\RP113\A0014207.exe

    Risk: Medium

    Name: Adware.NewDotNet

    Path: C:\System Volume Information\_restore{1A9A8FF6-ED5D-4A4C-A939-618C94ECA2B7}\RP113\A0014227.exe

    Risk: Medium

    Name: Adware.NewDotNet

    Path: C:\System Volume Information\_restore{1A9A8FF6-ED5D-4A4C-A939-618C94ECA2B7}\RP115\A0015184.dll

    Risk: Medium

    Name: Adware.NewDotNet

    Path: C:\WINDOWS\NDNuninstall6_38.exe

    Risk: Medium

    Name: Adware.NewDotNet

    Path: C:\WINDOWS\NDNuninstall7_22.exe

    Risk: Medium

    Name: Adware.NewDotNet

    Path: C:\WINDOWS\NDNuninstall7_48.exe

    Risk: Medium

    Name: Backdoor.Flood.f

    Path: E:\Download\Programas\Zips\wwwhack.rar/wwwhack\more_names.txt

    Risk: High

    * HiJackThis

    Logfile of HijackThis v1.99.1

    Scan saved at 18:23:33, on 10/12/2006

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v7.00 (7.00.5730.0011)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\system32\slserv.exe

    C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

    C:\WINDOWS\system32\svchost.exe

    C:\Arquivos de programas\RealVNC\VNC4\WinVNC4.exe

    C:\WINDOWS\Explorer.EXE

    C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

    C:\Arquivos de programas\Java\jre1.5.0_09\bin\jusched.exe

    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BL.EXE

    C:\Arquivos de programas\Messenger\msmsgs.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Pandion\Pandion.exe

    C:\Arquivos de programas\No-IP\DUC20.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\WINDOWS\system32\NOTEPAD.EXE

    C:\Arquivos de programas\Internet Explorer\iexplore.exe

    C:\Arquivos de programas\Hijackthis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup

    O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

    O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_09\bin\jusched.exe"

    O4 - HKLM\..\Run: [EPSON Stylus CX3500 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BL.EXE /P26 "EPSON Stylus CX3500 Series" /O6 "USB001" /M "Stylus CX3500"

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [googletalk] "C:\Arquivos de programas\Google\Google Talk\googletalk.exe" /autostart

    O4 - Startup: No-IP DUC.lnk = C:\Arquivos de programas\No-IP\DUC20.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O4 - Global Startup: Pandion.lnk = C:\Arquivos de programas\Pandion\Pandion.exe

    O8 - Extra context menu item: Baixar com &BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddLink.htm

    O8 - Extra context menu item: Baixar todos com BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddAllLink.htm

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_09\bin\ssv.dll

    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O11 - Options group: [iNTERNATIONAL] International*

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

    O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

    O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Arquivos de programas\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

    Bom, espero que isso ajude com que vocês, possam me ajudar, rsrrsrs.

    valeu Mr. Coruj@

    Abraços.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    aflosi,

    - Execute a Ferramenta KillBox. Marque a opção Delete on Reboot. Copie toda a lista abaixo em vermelho, selecionando-a e clicando com o botão direito do mouse -> copiar...

    C:\WINDOWS\NDNuninstall6_38.exe

    C:\WINDOWS\NDNuninstall7_22.exe

    C:\WINDOWS\NDNuninstall7_48.exe

    C:\Documents and Settings\Aldi\Desktop\patch.exe

    C:\Documents and Settings\Anderson\Desktop\NNuninstall.exe

    C:\Documents and Settings\Aldi\Configurações locais\Temporary Internet Files\Content.IE5\O1KVON0R\patch[1].exe

    C:\Arquivos de programas\eMule\Emule Speed Booster\NNGLZA638.EXE

    ...No KillBox, com os arquivos já copiados para área de transferência, clique em File -> Paste from clipboard... Clique no botão All Files, agora, no X... e responda Não à pergunta. Caso o Killbox não encontre algum arquivo, não tem problema. Continue...

    @- Reinicie em modo normal.

    --|--

    Fora isso: O seu log está LIMPO! Mais algum problema relacionado com os malwares?

    Se até amanhã o seu sistema não apresentar nenhum problema, desabilite e reabilite a Restauração do Sistema.

    O seu PC estava infectado por Bankers e, como é possível que este computador estivesse sendo utilizado para capturar as suas senhas, recomendo trocá-las.

    Poderá clicar no botão ALERTAR, informar ao moderador da área que o problema foi resolvido e que o tópico já pode ser fechado.

    Conte sempre com a ajuda do pessoal do fórum do Clube do Hardware.

    Obrigado pelo retorno e um forte abraço!

    <div align="center">buho8xs.gif</div>

    <div align="center">Mr. Coruj@</div>

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • aí, muito obrigado mesmo pela força. Agradeço mesmo a ajuda.

    Não tenho mais problemas com malwares não. e espero que eles terminem aqui.

    Fiz todo o procedimento e saiu tudo como o explicado. Rodei novamente as ferramentas e analisando com os logs anteriores parece estar normal, rsrsrs, pois tudo o que você apontou não aparece mais nos logs.

    Bom , é isso. valeu Mr Coruj@.

    Abraços.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×