Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
V_Martins

Por favor, analisem me Log!

Recommended Posts

V_Martins    0

Por favor me ajudem...

Meu computador não pára de abrir janelas do winantiviruspro, amaena, errorsafe e outros... Agora começou a tocar umas músicas (uns rocks) do nada, como se fosse uma rádio, mas não abre nenhuma janela, nem aparece no gerenciador de tarefas... Já baixei o avg, ccleaner, Spybot - Search & Destroy e nada, continuo com essa praga. Por favor, agradeceria imensamente se alguém me ajudasse com isso.

....

Log do Hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 21:04:48, on 5/5/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARQUIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: (no name) - {658a59dd-da39-421f-9249-2c0bdba8acb3} - C:\WINDOWS\system32\ipcspc.dll

O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\tmp12.tmp.dll

O4 - HKLM\..\Run: [bootService] rundll32.exe "C:\WINDOWS\mliiij.dll",realset

O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\wvvtst.dll",realset

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [A00FB88AE.exe] C:\DOCUME~1\VANESS~1\CONFIG~1\Temp\_A00FB88AE.exe

O4 - HKCU\..\Run: [A00FB8B75.exe] C:\DOCUME~1\VANESS~1\CONFIG~1\Temp\_A00FB8B75.exe

O4 - HKCU\..\Run: [A00FB8BA8.exe] C:\DOCUME~1\VANESS~1\CONFIG~1\Temp\_A00FB8BA8.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\ARQUIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{454B9407-D722-4FFA-B3B0-F33037A1A1C7}: NameServer = 200.165.132.154,200.165.132.147

O17 - HKLM\System\CS1\Services\Tcpip\..\{454B9407-D722-4FFA-B3B0-F33037A1A1C7}: NameServer = 200.165.132.154,200.165.132.147

O17 - HKLM\System\CS2\Services\Tcpip\..\{454B9407-D722-4FFA-B3B0-F33037A1A1C7}: NameServer = 200.165.132.154,200.165.132.147

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs:

O20 - Winlogon Notify: ipcspc - C:\WINDOWS\SYSTEM32\ipcspc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: __c00C2919 - C:\WINDOWS\system32\__c00C2919.dat

O20 - Winlogon Notify: __c00E4D04 - C:\WINDOWS\system32\__c00E4D04.dat

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

Compartilhar este post


Link para o post
Compartilhar em outros sites
joram    0

Boa Noite V_Martins!

>@< Sugiro que imprima os procedimentos e os faça na ordem estabelecida!

>@< Configure o Windows para que mostre: Ver todos os Arquivos,até os ocultos!

>@< Desabilite a Restauração do Sistema.

>@< Desabilite as proteções residentes de AntiVírus e AntiSpywares!

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

<!> Faça o download do EliStarA.

<!> Baixe-a para o Disco Local-C e crie uma pasta para a ferramenta,estabelecendo um caminho para o Desktop! ( Atalho. )

<!> Faça o download do ELINOTIF.DLL.Salve-o no interior da pasta criada para EliStarA!

<!> Faça o download do EliTriIP.

<!> Baixe-a para o Desktop!

<!> Ps: Ambas,as ferramentas,estarão na página descargas ( Descargas > Utilidades SATINFO ).

<!> Selecione as ferramentas ( Uma por vez! ) e clique no pé da página,no botão Descargar xxx.Onde xxx é a denominação da ferramenta escolhida!

<!> Faça o download do Clean.

<!> Salve-o no Disco Local-C e descompacte-o aí mesmo,enviando o executável para o Desktop! ( Atalho. )

<!> O executável é um ícone denominado: clean.

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

<!> Reinicie o computador e entre em Modo de Segurança.

<!> Execute,primeiro,a ferramenta: EliStartA.

<!> Vá ao seu ícone e execute-a!

<!> Aceite as condições propostas e aguarde o término do scan.Aguarde!Pois vai demorar um pouco para concluír a varredura do PC.

<!> Terminando,execute a ferramenta EliTriIP.

<!> O scan desta ferramenta é mais rápido!

<!> Terminando,execute o programa de limpeza profunda ( clean ) com um duplo clique no seu executável.

<!> Abrir-se-á um prompt com três opções: Escolha o dois ( 2 )!

<!> Aperte Enter! >> Aperte Enter,novamente! >> Aguarde!

<!> Aperte Enter,novamente!

<!> Surgirá um relatório ( rapport_clean ),que você deverá salvar e postar para análise.

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

<!> Poste o relatório infoSAT.txt que está na raíz C:\ ( Disco Local-C ) + rapport_clean.

<!> Selecione e copie!

<!> Poste,também,um nôvo Log do HijackThis,feito em Modo Normal,na sua resposta.

<!> Ps: A ferramenta EliStarA,deletará (Opcional! ) a sua página inicial!Posteriormente,você à configurará novamente.

Sem Mais!

DigRam

Compartilhar este post


Link para o post
Compartilhar em outros sites
V_Martins    0
  • Autor do tópico
  • Caro DigRam, desde de já agradeço sua ajuda...

    Creio que fiz tudo certo, segui tudo como você pediu...

    Aqui estão os logs:

    Sat May 05 23:34:43 2007

    EliStartPage v13.89 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Acción Directa):

    [WinLogon\Notify\IPCSPC]

    Por favor, envienos una muestra del fichero

    C:\WinLogon\IPCSPC.DLL

    a "virus@satinfo.es". Gracias.

    [WinLogon\Notify\__C00C2919]

    Por favor, envienos una muestra del fichero

    C:\WinLogon\__C00C2919.DAT

    a "virus@satinfo.es". Gracias.

    [WinLogon\Notify\__C00E4D04]

    Por favor, envienos una muestra del fichero

    C:\WinLogon\__C00E4D04.DAT

    a "virus@satinfo.es". Gracias.

    Entrada Eliminada [HKLM\...\Run] "WindowsService"="rundll32.exe "C:\WINDOWS\hgdcax.dll",realset"

    Eliminada Class, "{1557B435-8242-4686-9AA3-9265BF7525A4}" -> C:\WINDOWS\system32\tmp6.tmp.dll

    No detectado Parche MS06-001 de Microsoft instalado. (WMF)

    No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

    ALERTA. WindowsUpdate Incompleto.

    Eliminadas las Paginas de Inicio y de Busqueda del IE

    Eliminados Ficheros Temporales del IE

    Sat May 05 23:36:31 2007

    EliStartPage v13.89 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Exploración):

    Explorando Unidad C:\

    C:\Downloads\Scoop2004\dll\GIF2BMP.EXE --> Eliminado, DownLoader.Vixup

    Sat May 05 23:44:30 2007

    EliTriIP v3.50 ©2007 S.G.H. / Satinfo S.L.

    ---------------------------------------------

    Lista de Acciones (por Acción Directa):

    No detectado Parche MS06-001 de Microsoft instalado. (WMF)

    No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

    ALERTA. WindowsUpdate Incompleto.

    Sat May 05 23:44:36 2007

    EliTriIP v3.50 ©2007 S.G.H. / Satinfo S.L.

    ---------------------------------------------

    Lista de Acciones (por Exploración):

    Explorando Unidad C:\

    ....

    cript executed in Safe Mode

    Rapport clean par Malekal_morte - http://www.malekal.com

    Script executed in Safe Mode s*b 05/05/2007 a 23:49:44,43

    Microsoft Windows XP [versÆo 5.1.2600]

    *** Suppression C:

    *** Suppression C:\WINDOWS\

    *** Suppression C:\WINDOWS\system32

    tentative de suppression de C:\WINDOWS\y.exe

    *** Suppression C:\Arquivos de programas

    *** Deletion of the registry keys successful..

    *** End of the report !

    ...

    ogfile of HijackThis v1.99.1

    Scan saved at 23:56:28, on 5/5/2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE

    C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

    O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARQUIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

    O2 - BHO: (no name) - {658a59dd-da39-421f-9249-2c0bdba8acb3} - C:\WINDOWS\system32\ipcspc.dll

    O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\tmp14.tmp.dll

    O4 - HKLM\..\Run: [bootService] rundll32.exe "C:\WINDOWS\mliiij.dll",realset

    O4 - HKLM\..\Run: [EPSON Stylus C43 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE /P23 "EPSON Stylus C43 Series" /O5 "LPT1:" /M "Stylus C43"

    O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [A00FB88AE.exe] C:\DOCUME~1\VANESS~1\CONFIG~1\Temp\_A00FB88AE.exe

    O4 - HKCU\..\Run: [A00FB8B75.exe] C:\DOCUME~1\VANESS~1\CONFIG~1\Temp\_A00FB8B75.exe

    O4 - HKCU\..\Run: [A00FB8BA8.exe] C:\DOCUME~1\VANESS~1\CONFIG~1\Temp\_A00FB8BA8.exe

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\ARQUIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O17 - HKLM\System\CCS\Services\Tcpip\..\{454B9407-D722-4FFA-B3B0-F33037A1A1C7}: NameServer = 200.165.132.154,200.165.132.147

    O17 - HKLM\System\CS1\Services\Tcpip\..\{454B9407-D722-4FFA-B3B0-F33037A1A1C7}: NameServer = 200.165.132.154,200.165.132.147

    O17 - HKLM\System\CS2\Services\Tcpip\..\{454B9407-D722-4FFA-B3B0-F33037A1A1C7}: NameServer = 200.165.132.154,200.165.132.147

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

    O20 - Winlogon Notify: ipcspc - C:\WINDOWS\SYSTEM32\ipcspc.dll

    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

    O20 - Winlogon Notify: __c00C2919 - C:\WINDOWS\system32\__c00C2919.dat

    O20 - Winlogon Notify: __c00E4D04 - C:\WINDOWS\system32\__c00E4D04.dat

    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

    *** As malditas páginas continuam abrindo.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    joram    0

    Bom Dia V_Martins!

    *** As malditas páginas continuam abrindo.

    >@< O Log ainda tem infecções!EliStarA removeu uma parte da carga infectante que, ainda,apresenta-se volumosa.

    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

    >@< Faça o download do KillBox.

    >@< Baixe-o para o Disco Local-C,e crie uma pasta própria para a ferramenta!

    >@< Abra o KillBox e marque Delete on reboot.

    >@< Copie os arquivos,logo abaixo,para a área de transferência ( Full path of file to delete ).Selecione e copie para o Bloco de Notas e,dêste,para a área de transferência no KillBox.

    C:\WINDOWS\system32\ipcspc.dll

    C:\WINDOWS\system32\tmp14.tmp.dll

    C:\DOCUME~1\VANESS~1\CONFIG~1\Temp\_A00FB88AE.exe

    C:\DOCUME~1\VANESS~1\CONFIG~1\Temp\_A00FB8B75.exe

    C:\DOCUME~1\VANESS~1\CONFIG~1\Temp\_A00FB8BA8.exe

    C:\WINDOWS\system32\__c00C2919.dat

    C:\WINDOWS\system32\__c00E4D04.dat

    >@< Volte ao KillBox e clique em File >> Past from clipboard >> All files.

    >@< Clique no botão X e,na pergunta,diga Não!

    >@< Reinicie o computador em Modo de Segurança!

    >@< Abra o HijackThis e clique em Do a system scan only,e marque as entradas,logo abaixo:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

    O2 - BHO: (no name) - {658a59dd-da39-421f-9249-2c0bdba8acb3} - C:\WINDOWS\system32\ipcspc.dll

    O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\tmp14.tmp.dll

    O4 - HKLM\..\Run: [bootService] rundll32.exe "C:\WINDOWS\mliiij.dll",realset

    O4 - HKCU\..\Run: [A00FB88AE.exe] C:\DOCUME~1\VANESS~1\CONFIG~1\Temp\_A00FB88AE.exe

    O4 - HKCU\..\Run: [A00FB8B75.exe] C:\DOCUME~1\VANESS~1\CONFIG~1\Temp\_A00FB8B75.exe

    O4 - HKCU\..\Run: [A00FB8BA8.exe] C:\DOCUME~1\VANESS~1\CONFIG~1\Temp\_A00FB8BA8.exe

    O20 - Winlogon Notify: ipcspc - C:\WINDOWS\SYSTEM32\ipcspc.dll

    O20 - Winlogon Notify: __c00C2919 - C:\WINDOWS\system32\__c00C2919.dat

    O20 - Winlogon Notify: __c00E4D04 - C:\WINDOWS\system32\__c00E4D04.dat

    >@< Finalize-as clicando em Fix checked!

    >@< Reinicie,normalmente,o computador!

    >@< Faça e poste um nôvo Log do HijackThis,em Modo Normal,na sua resposta.

    Sem Mais!

    DigRam

    >

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    V_Martins    0
  • Autor do tópico
  • Boa tarde Joram,

    Fiz como você mandou... Aí vai o recente log do HijackThis:

    Logfile of HijackThis v1.99.1

    Scan saved at 16:03:26, on 6/5/2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE

    C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\Arquivos de programas\Internet Explorer\iexplore.exe

    C:\HijackThis.exe

    O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARQUIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

    O4 - HKLM\..\Run: [EPSON Stylus C43 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE /P23 "EPSON Stylus C43 Series" /O5 "LPT1:" /M "Stylus C43"

    O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\pmnmjk.dll",realset

    O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\ARQUIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O17 - HKLM\System\CCS\Services\Tcpip\..\{454B9407-D722-4FFA-B3B0-F33037A1A1C7}: NameServer = 200.165.132.154,200.165.132.147

    O17 - HKLM\System\CS1\Services\Tcpip\..\{454B9407-D722-4FFA-B3B0-F33037A1A1C7}: NameServer = 200.165.132.154,200.165.132.147

    O17 - HKLM\System\CS2\Services\Tcpip\..\{454B9407-D722-4FFA-B3B0-F33037A1A1C7}: NameServer = 200.165.132.154,200.165.132.147

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    joram    0

    Boa Noite V_Martins!

    >@< Vá a satInfo e baixe a nova versão de EliStarA 13.90 e a execute no PC.

    >@< Delete a antiga versão!Baixe,também,a utilidade ELINOTIF.DLL e delete a antiga.

    >@< Salve a utilidade,na mesma pasta criada para EliStarA.

    >@< Entre em Modo de Segurança e rode a ferramenta!

    >@< Terminando,salve o relatório ( infoSat.txt ),que está em C:\xxx...

    >@< Ainda em Modo Seguro,faça uma busca ao arquivo:C:\WINDOWS\y.exe

    >@< Encontrando-o,pode apagar!

    >@< Reinicie,normalmente,o computador!

    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

    <!> Faça o download do VundoFix.

    <!> Salve-o no Desktop!

    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

    <!> Execute o VundoFix.exe

    <!> Quando o VundoFix abrir,novamente, clique em Scan for Vundo.

    <!> Quando ele terminar, clique em Remove Vundo.

    <!> Você receberá um prompt perguntando se quer remover os arquivos. Confirme!

    <!> Sua área de trabalho vai desaparecer!

    <!> Surgirá um aviso dizendo que seu computador deve ser desligado.

    <!> Clique em OK e depois,ligue o computador novamente!

    <!> É possível que o VundoFix encontre um arquivo, mas não consiga removê-lo. Se isso acontecer, a ferramenta rodará ao reiniciar.

    <!> Quando o VundoFix aparecer, clique no botão Scan for Vundo para repetir o processo.

    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

    <!> Quando o VundoFix não encontrar mais nenhum arquivo,que não consiga remover,poste o seu relatório ( Log ) que se encontra em C:\Vundofix.txt <!> Ps: Faça os procedimentos,com a Restauração do Sistema desligada!

    >@< Poste,também,um nôvo Log do HijackThis + infoSat.txt,na sua resposta.

    Sem Mais!

    DigRam

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    V_Martins    0
  • Autor do tópico
  • Caro DigRam, desculpe a demora e mais uma vez obrigada pela ajuda...

    Aí vão os Logs:

    INFOSAT

    Thu May 10 13:57:17 2007

    EliStartPage v13.93 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Acción Directa):

    Por favor, envienos una muestra del fichero

    C:\Muestras\PMNMJK.DLL.Muestra EliStartPage v13.93

    a "virus@satinfo.es". Gracias.

    C:\WINDOWS\PMNMJK.DLL --> Eliminado

    Entrada Eliminada [HKLM\...\Run] "WindowsService"="rundll32.exe "C:\WINDOWS\pmnmjk.dll",realset"

    No detectado Parche MS06-001 de Microsoft instalado. (WMF)

    No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

    ALERTA. WindowsUpdate Incompleto.

    Eliminadas las Paginas de Inicio y de Busqueda del IE

    Eliminados Ficheros Temporales del IE

    Thu May 10 13:58:54 2007

    EliStartPage v13.93 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Exploración):

    Explorando Unidad C:\

    C:\!KillBox\IPCSPC.DLL --> Eliminado, DownLoader.ConHook(BHO)

    C:\!KillBox\TMP14.TMP.DLL --> Eliminado, JuanSearch(BHO)

    C:\!KillBox\__C00C2919.DAT --> Eliminado, Morphine(notify)

    C:\!KillBox\__C00E4D04.DAT --> Eliminado, Morphine(notify)

    C:\backups\BACKUP-20070506-155628-282.DLL --> Eliminado, JuanSearch(BHO)

    Exploración Detenida por el Usuario.

    Thu May 10 14:11:41 2007

    EliStartPage v13.93 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Acción Directa):

    No detectado Parche MS06-001 de Microsoft instalado. (WMF)

    No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

    ALERTA. WindowsUpdate Incompleto.

    Eliminadas las Paginas de Inicio y de Busqueda del IE

    Eliminados Ficheros Temporales del IE

    Thu May 10 14:11:48 2007

    EliStartPage v13.93 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Exploración):

    Explorando Unidad C:\

    C:\WINDOWS\system32\TMP12.TMP.DLL --> Eliminado, JuanSearch(BHO)

    C:\WINDOWS\system32\TMP2.TMP.DLL --> Eliminado, JuanSearch(BHO)

    C:\WINDOWS\system32\TMP5.TMP.DLL --> Eliminado, JuanSearch(BHO)

    C:\WINDOWS\system32\TMPD.TMP.DLL --> Eliminado, JuanSearch(BHO)

    C:\WinLogon\IPCSPC.DLL --> Eliminado, DownLoader.ConHook(BHO)

    C:\WinLogon\__C00C2919.DAT --> Eliminado, Morphine(notify)

    C:\WinLogon\__C00E4D04.DAT --> Eliminado, Morphine(notify)

    VUNDOFIX

    VundoFix V6.3.21

    Checking Java version...

    Sun Java not detected

    Scan started at 14:33:42 10/5/2007

    Listing files found while scanning....

    No infected files were found.

    Beginning removal...

    HIJACKTHIS

    Logfile of HijackThis v1.99.1

    Scan saved at 14:44:25, on 10/5/2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE

    C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Relatorio

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

    O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARQUIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

    O4 - HKLM\..\Run: [EPSON Stylus C43 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE /P23 "EPSON Stylus C43 Series" /O5 "LPT1:" /M "Stylus C43"

    O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\reader_sl.exe

    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Arquivos de programas\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\ARQUIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O17 - HKLM\System\CCS\Services\Tcpip\..\{454B9407-D722-4FFA-B3B0-F33037A1A1C7}: NameServer = 200.165.132.154,200.165.132.147

    O17 - HKLM\System\CS1\Services\Tcpip\..\{454B9407-D722-4FFA-B3B0-F33037A1A1C7}: NameServer = 200.165.132.154,200.165.132.147

    O17 - HKLM\System\CS2\Services\Tcpip\..\{454B9407-D722-4FFA-B3B0-F33037A1A1C7}: NameServer = 200.165.132.154,200.165.132.147

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARQUIV~1\ARQUIV~1\Skype\SKYPE4~1.DLL

    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

    ***Obrigada, os malditos sumiram!!! :)

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    V_Martins    0
  • Autor do tópico
  • PS.

    Não achei o arquivo C:\WINDOWS\y.exe

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    joram    0

    Boa Noite V_Martins!

    Por favor, envienos una muestra del fichero

    C:\Muestras\PMNMJK.DLL.Muestra EliStartPage v13.93

    a "virus@satinfo.es". Gracias.

    >@< Envie a SatInfo,amostras dos arquivos infectados!

    >@< Compacte e encripte a pasta Muestras,para que não sejam detectadas por AntiVírus.Entitule o E-Mail como Muestras e,internamente,nomeie-os pelo caminho que ocupam.

    No detectado Parche MS06-001 de Microsoft instalado. (WMF)

    No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

    ALERTA. WindowsUpdate Incompleto.

    >@< EliStarA,também,lhe alerta sobre os Patches de Segurança,que estão lhe faltando.

    >@< Procure,se possível,atualizar o computador!

    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

    >@< O seu HijackThis,não está mostrando nenhum serviço,executado pelo PC.

    >@< Caso queira,delete o seu HijackThis e,baixe outro deste endereço!( v 1.99.1 )

    >@< Faça um scan,em Modo Normal,e poste o relatório!

    >@< Provavelmente,não teremos serviços malwares.

    PS.

    Não achei o arquivo C:\WINDOWS\y.exe

    >@< Foi,então,apagado pela ferramenta Clean.

    ***Obrigada, os malditos sumiram!!!

    >@< Como o seu problema foi resolvido,poste um nôvo Log do HijackThis,se for de sua vontade!

    >@< Bom Trabalho!

    >@< Log Limpo!

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    V_Martins    0
  • Autor do tópico
  • Caro DigRam,

    Agradeço imensamente sua ajuda.... Sem suas orientações não teria conseguido. Veleu mesmo!!! :)

    Aqui vai o último Log do HijackThis v1.99.1

    Logfile of HijackThis v1.99.1

    Scan saved at 20:39:38, on 14/5/2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S08IC1.EXE

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

    C:\Arquivos de programas\MSN Messenger\usnsvc.exe

    C:\Arquivos de programas\Internet Explorer\iexplore.exe

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe

    C:\HijackThis.exe

    Espero que esteja tudo ok!!! Mais uma vez muito obrigada!!! :joia:

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    joram    0

    Boa Noite V_Martins!

    >@< Esse Log saiu incompleto,minha amiga!

    >@< Caso queira,faça um nôvo scan e poste.Verifique se o Log está completo,antes de postar!

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×