Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Iceflower

Ajuda com malware

Recommended Posts

Iceflower    0

Gente, aqui em ksa eu tenho o zone alarm, o arovax anti-spyware, e o avast. Eu precisava da licença de um corel, e entrei em um site bem suspeito. A partir dai, passaram a abrir uns sites que falam q o pc esta com vius. Eu não cliquei em nada, desconfiei na hora, mas ja passei o spybot, e tudo +, mas essa praga de página (amaena.com e outra la) nao param de abrir, e eu não formatar o pc..

aqui vai o log do HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 14:48:04, on 7/5/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\sm56hlpr.exe

C:\Arquivos de programas\Arovax AntiSpyware\arovaxantispyware.exe

C:\Arquivos de programas\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\ARQUIV~1\INTERN~2\MEDIAKEY.EXE

C:\Arquivos de programas\Java\jre1.5.0_08\bin\jusched.exe

C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

C:\WINDOWS\vsnpstd3.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\ARQUIV~1\INTERN~2\KBOSDCtl.EXE

C:\ARQUIV~1\INTERN~2\KCodeMsg.EXE

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\Arquivos comuns\Adobe\Updater5\AdobeUpdater.exe

C:\Arquivos de programas\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O4 - HKLM\..\Run: [sMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [system32] C:\WINDOWS\system32\system32.exe

O4 - HKLM\..\Run: [Arovax AntiSpyware] C:\Arquivos de programas\Arovax AntiSpyware\arovaxantispyware.exe /s

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Arquivos de programas\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [MediaKey] C:\ARQUIV~1\INTERN~2\MEDIAKEY.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_08\bin\jusched.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [infoData] rundll32.exe "C:\WINDOWS\system32\wcsvgduj.dll",realset

O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\system32\gkcspals.dll",realset

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [AceNotes] C:\Arquivos de programas\AceNotes 2000d\acnstd2d.exe /hide

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\arquivos de programas\bonjour\mdnsnsp.dll

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://extraweb-emea.ey.com/home/extraweb/iNotes.cab

O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://extraweb-emea.ey.com/home/extraweb/iNotes6.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Arquivos de programas\Bonjour\mDNSResponder.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe

O23 - Service: ServiceLayer - Nokia. - C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Por Favor, me ajudem rápido!!1

Compartilhar este post


Link para o post
Compartilhar em outros sites
msayago    2

Olá, Baixe o BankerFix

# Dê um duplo-clique no bankerfix.exe

# Se você está executando ela pela primeira vez, uma mensagem pedindo para confirmar a existência de conexão com a Internet será exibida. Clique em OK.

# Quando o BankerFix estiver instalado, uma mensagem de confirmação irá aparecer. Clique em OK para executá-lo ou Cancelar para sair

# Se você executá-lo, uma janela de texto simples irá aparecer na tela.

# Feche todas as janelas e programas, com exceção do Banker Fix

# Clique na janela do BankerFix e aperte qualquer tecla. O BankerFix faz o resto sozinho

# Você irá receber uma mensagem informando se nenhum problema foi encontrado, se algum problema foi encontrado e solucionado ou se alguns arquivos infectados não puderam ser removidos

Depois "envie" um novo log do Hijack This e o "relatorio.txt" do Banker Fix que está em C:\LinhaDefensiva

Compartilhar este post


Link para o post
Compartilhar em outros sites
Iceflower    0
  • Autor do tópico
  • Novo Log do HijackThis

    Logfile of HijackThis v1.99.1

    Scan saved at 15:53:14, on 7/5/2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v7.00 (7.00.6000.16414)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\sm56hlpr.exe

    C:\Arquivos de programas\Arovax AntiSpyware\arovaxantispyware.exe

    C:\Arquivos de programas\Nokia\Nokia PC Suite 6\LaunchApplication.exe

    C:\ARQUIV~1\INTERN~2\MEDIAKEY.EXE

    C:\Arquivos de programas\Java\jre1.5.0_08\bin\jusched.exe

    C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

    C:\WINDOWS\vsnpstd3.exe

    C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

    C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe

    C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

    C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    C:\ARQUIV~1\INTERN~2\KBOSDCtl.EXE

    C:\ARQUIV~1\INTERN~2\KCodeMsg.EXE

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

    C:\WINDOWS\system32\svchost.exe

    C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\Arquivos de programas\Arquivos comuns\Adobe\Updater5\AdobeUpdater.exe

    C:\Arquivos de programas\Internet Explorer\iexplore.exe

    C:\Arquivos de programas\Hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

    O4 - HKLM\..\Run: [sMSERIAL] sm56hlpr.exe

    O4 - HKLM\..\Run: [Arovax AntiSpyware] C:\Arquivos de programas\Arovax AntiSpyware\arovaxantispyware.exe /s

    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Arquivos de programas\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

    O4 - HKLM\..\Run: [MediaKey] C:\ARQUIV~1\INTERN~2\MEDIAKEY.EXE

    O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_08\bin\jusched.exe"

    O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup

    O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

    O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe

    O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

    O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe"

    O4 - HKLM\..\Run: [infoData] rundll32.exe "C:\WINDOWS\system32\wcsvgduj.dll",realset

    O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\system32\gkcspals.dll",realset

    O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

    O4 - HKCU\..\Run: [AceNotes] C:\Arquivos de programas\AceNotes 2000d\acnstd2d.exe /hide

    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O10 - Unknown file in Winsock LSP: c:\arquivos de programas\bonjour\mdnsnsp.dll

    O11 - Options group: [iNTERNATIONAL] International*

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.cab

    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

    O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://extraweb-emea.ey.com/home/extraweb/iNotes.cab

    O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://extraweb-emea.ey.com/home/extraweb/iNotes6.cab

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab

    O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

    O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O20 - AppInit_DLLs:

    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

    O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Arquivos de programas\Bonjour\mDNSResponder.exe (file missing)

    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

    O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe

    O23 - Service: ServiceLayer - Nokia. - C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe

    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    ____________________________________

    Relatório do BankerFix

    BankerFix 2.3 - Removedor de Bankers

    Linha Defensiva - http://www.linhadefensiva.org

    http://www.linhadefensiva.org/bankerfix/

    Data: 7/5/2007 - 15:51

    -------------------------------------------------------

    Lista de Definição: 2007-05-04-1

    =======================================================

    Log do FoxFix

    =======================================================

    Iniciando Log do PV

    -----------------------------------

    Killing '*'

    Arquivos a remover

    -----------------------------------

    Arquivos ruins restantes

    -----------------------------------

    Reg Importado

    -----------------------------------

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    msayago    2

    Com o Hijack This selecione depois aperte o botão Fix Cheked nessas entradas:

    O20 - AppInit_DLLs:

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local

    * Baixe o Vundo Fix .

    * Dê duplo-clique sobre VundoFix.exe para iniciá-lo;

    * Quando o VundoFix abrir clique em Scan for Vundo. Aguarde o término do scan que pode demorar algum tempo. Seja paciente;

    * Terminado o scan clique em Remove Vundo;

    * Você receberá um alerta perguntando se deseja remover os arquivos. Clique em YES. O seu desktop irá apagar (isto é normal);

    * Para completar o scan será necessário reinicializar a máquina. Clique em OK;

    * Favor postar o log do VundoFix (C:\vundofix.txt) em sua próxima resposta, juntamente com um novo do HijackThis.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Iceflower    0
  • Autor do tópico
  • Novo Log do HijackThis

    Logfile of HijackThis v1.99.1

    Scan saved at 16:27:50, on 7/5/2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v7.00 (7.00.6000.16414)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\sm56hlpr.exe

    C:\Arquivos de programas\Arovax AntiSpyware\arovaxantispyware.exe

    C:\Arquivos de programas\Nokia\Nokia PC Suite 6\LaunchApplication.exe

    C:\ARQUIV~1\INTERN~2\MEDIAKEY.EXE

    C:\Arquivos de programas\Java\jre1.5.0_08\bin\jusched.exe

    C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

    C:\WINDOWS\vsnpstd3.exe

    C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

    C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe

    C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

    C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    C:\ARQUIV~1\INTERN~2\KBOSDCtl.EXE

    C:\ARQUIV~1\INTERN~2\KCodeMsg.EXE

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

    C:\WINDOWS\system32\svchost.exe

    C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe

    C:\WINDOWS\system32\NOTEPAD.EXE

    C:\WINDOWS\system32\wuauclt.exe

    C:\Arquivos de programas\Internet Explorer\iexplore.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\Arquivos de programas\Hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

    O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\nrmtavhc.dll (file missing)

    O2 - BHO: (no name) - {1F737917-06DA-44ED-8156-944619AECE3F} - C:\WINDOWS\system32\mljjhgg.dll (file missing)

    O2 - BHO: (no name) - {2F8A0CDC-D24E-4D14-A8AB-EE1F6EEFAD65} - (no file)

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: (no name) - {73F998A3-8D0D-4778-80EE-8D5B3DA15741} - C:\WINDOWS\system32\gebca.dll (file missing)

    O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

    O4 - HKLM\..\Run: [sMSERIAL] sm56hlpr.exe

    O4 - HKLM\..\Run: [Arovax AntiSpyware] C:\Arquivos de programas\Arovax AntiSpyware\arovaxantispyware.exe /s

    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Arquivos de programas\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

    O4 - HKLM\..\Run: [MediaKey] C:\ARQUIV~1\INTERN~2\MEDIAKEY.EXE

    O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_08\bin\jusched.exe"

    O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\isuspm.exe" -startup

    O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

    O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe

    O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

    O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe"

    O4 - HKLM\..\Run: [infoData] rundll32.exe "C:\WINDOWS\system32\wcsvgduj.dll",realset

    O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\system32\gkcspals.dll",realset

    O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

    O4 - HKCU\..\Run: [AceNotes] C:\Arquivos de programas\AceNotes 2000d\acnstd2d.exe /hide

    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

    O10 - Unknown file in Winsock LSP: c:\arquivos de programas\bonjour\mdnsnsp.dll

    O11 - Options group: [iNTERNATIONAL] International*

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.cab

    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

    O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://extraweb-emea.ey.com/home/extraweb/iNotes.cab

    O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://extraweb-emea.ey.com/home/extraweb/iNotes6.cab

    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab

    O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

    O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O20 - Winlogon Notify: vturo - C:\WINDOWS\system32\vturo.dll (file missing)

    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

    O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

    O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Arquivos de programas\Bonjour\mDNSResponder.exe (file missing)

    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

    O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe

    O23 - Service: ServiceLayer - Nokia. - C:\Arquivos de programas\PC Connectivity Solution\ServiceLayer.exe

    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    _____________________________________________

    Log do Vundo

    VundoFix V6.3.21

    Checking Java version...

    Sun Java not detected

    Scan started at 16:14:59 7/5/2007

    Listing files found while scanning....

    C:\WINDOWS\system32\acbeg.bak1

    C:\WINDOWS\system32\acbeg.bak2

    C:\WINDOWS\system32\acbeg.ini

    C:\WINDOWS\system32\bxxgaslo.dll

    C:\WINDOWS\system32\dhpjumeo.dll

    C:\WINDOWS\system32\erotjibk.dll

    C:\WINDOWS\system32\eysyuhdw.dll

    C:\WINDOWS\system32\gebca.dll

    C:\WINDOWS\system32\jfbnonbr.dll

    C:\WINDOWS\system32\kissihxu.dll

    C:\WINDOWS\system32\kmtijpan.dll

    C:\WINDOWS\system32\lwusuawv.dll

    C:\WINDOWS\system32\mljjhgg.dll

    C:\WINDOWS\system32\sdpaqkhb.dll

    C:\WINDOWS\system32\vtqrsdvn.dll

    C:\WINDOWS\system32\vwausuwl.ini

    C:\WINDOWS\system32\wmsgkbkx.dll

    C:\WINDOWS\system32\wwfnyvft.dll

    C:\WINDOWS\system32\yrdjyirc.dll

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\acbeg.bak1

    C:\WINDOWS\system32\acbeg.bak1 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\acbeg.bak2

    C:\WINDOWS\system32\acbeg.bak2 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\acbeg.ini

    C:\WINDOWS\system32\acbeg.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\bxxgaslo.dll

    C:\WINDOWS\system32\bxxgaslo.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\erotjibk.dll

    C:\WINDOWS\system32\erotjibk.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\eysyuhdw.dll

    C:\WINDOWS\system32\eysyuhdw.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\gebca.dll

    C:\WINDOWS\system32\gebca.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\jfbnonbr.dll

    C:\WINDOWS\system32\jfbnonbr.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\kissihxu.dll

    C:\WINDOWS\system32\kissihxu.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\kmtijpan.dll

    C:\WINDOWS\system32\kmtijpan.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\lwusuawv.dll

    C:\WINDOWS\system32\lwusuawv.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\mljjhgg.dll

    C:\WINDOWS\system32\mljjhgg.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\sdpaqkhb.dll

    C:\WINDOWS\system32\sdpaqkhb.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\vtqrsdvn.dll

    C:\WINDOWS\system32\vtqrsdvn.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\vwausuwl.ini

    C:\WINDOWS\system32\vwausuwl.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\wmsgkbkx.dll

    C:\WINDOWS\system32\wmsgkbkx.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\wwfnyvft.dll

    C:\WINDOWS\system32\wwfnyvft.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\yrdjyirc.dll

    C:\WINDOWS\system32\yrdjyirc.dll Has been deleted!

    Performing Repairs to the registry.

    Done!

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\mljjhgg.dll

    C:\WINDOWS\system32\mljjhgg.dll Has been deleted!

    Performing Repairs to the registry.

    Done!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    msayago    2

    Faça download do KillBox

    Salve numa pasta em C:/

    Abra o KillBox e marque o Delete on Reboot. Insira na caixa Full Path of File to Delete, estas linhas:

    C:\WINDOWS\system32\wcsvgduj.dll

    C:\WINDOWS\system32\gkcspals.dll

    Clique no botão Single File, clique no botão vermelho com o X, e ao perguntar Reboot Now? Confirme.

    E com o Hijack This selecione depois aperte o botão Fix Checked nessas entradas:

    O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\nrmtavhc.dll (file missing)

    O2 - BHO: (no name) - {1F737917-06DA-44ED-8156-944619AECE3F} - C:\WINDOWS\system32\mljjhgg.dll (file missing)

    O2 - BHO: (no name) - {2F8A0CDC-D24E-4D14-A8AB-EE1F6EEFAD65} - (no file)

    O2 - BHO: (no name) - {73F998A3-8D0D-4778-80EE-8D5B3DA15741} - C:\WINDOWS\system32\gebca.dll (file missing)

    O4 - HKLM\..\Run: [infoData] rundll32.exe "C:\WINDOWS\system32\wcsvgduj.dll",realset

    O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\system32\gkcspals.dll",realset

    O20 - Winlogon Notify: vturo - C:\WINDOWS\system32\vturo.dll (file missing)

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Iceflower    0
  • Autor do tópico
  • Muiiiiiiiiiitooooo Obrigada.

    Acho q fiz tudo certinho!

    ;D

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×