Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Guilherme Hcore

Virtumonde! Malware

Recommended Posts

Será que meu log tem alguma infecção, eu queria saber se alguém poderia me ajudar ou dar uma dica de remoção desse malware, que já vi vários posts sobre ele, e notei que tem diferentes processos de remoção!

Já usei spyboot, avg anti-spyware e nada adiantou

Se aguém puder me ajudar , muito obrigado!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom Dia Guilherme Hcore!

<!> Faça o download do HijackThis.

<!> Baixe-o para o Disco Local-C e estabeleça uma pasta própria para o programa.

<!> Temos como exemplo: < C:\HijackThis.exe > ou < C:\HijackThis\HijackThis.exe >

<!> Mas,não execute-o ainda!

<!> Para que o Log do HijackThis saia completo,vá em Iniciar >> Executar.

<!> Digite: msconfig >> Ok.

<!> Na guia Inicializar,marque tôdos os ítens e confirme!

<!> Reinicie o computador!

<!> Abra o HijackThis e clique em Do a system scan and save a logfile.

<!> Abrir-se-á um Bloco de Notas!

<!> Selecione e copie o seu conteúdo para êste Tópico. Não crie outro!

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Olá Joram, muito obrigado pela atenção!

    Ok, vamos lá, instalei o HijackThis e ele se encontra na pasta c:\Hijack\Hijackthis

    Fiz o procedimento que você me pediu e estou postando aqui o meu log.

    Logfile of HijackThis v1.99.1

    Scan saved at 13:30:31, on 7/8/2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\RTHDCPL.EXE

    C:\WINDOWS\system32\ctfmon.exe

    C:\WINDOWS\system32\ex8W460h.exe

    C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    C:\WINDOWS\system32\inetsrv\inetinfo.exe

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\Hijack\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll

    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp9.tmp.dll

    O2 - BHO: (no name) - {eed8310d-0cb3-4cce-ba96-90b231ccb05e} - C:\WINDOWS\system32\dsdomm.dll

    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [systemOptimizer] rundll32.exe "C:\WINDOWS\tuttus.dll",forkonce

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [areslite] "C:\Arquivos de programas\Ares Lite Edition\AresLite.exe" -h

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

    O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O17 - HKLM\System\CCS\Services\Tcpip\..\{B87C4232-98EF-45E2-9466-2C5E619EC4FA}: NameServer = 201.10.1.2

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O20 - AppInit_DLLs: c:\windows\system32\gebcbax.dll

    O20 - Winlogon Notify: dsdomm - C:\WINDOWS\SYSTEM32\dsdomm.dll

    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    Mais uma vez agradeço a sua atenção

    abraços

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Será que tem algum problema com meu log?

    abraços

    Opa!Guilherme Hcore.

    Existem infecções pelo Vundo.

    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

    >@< Configure o Windows para que mostre: Ver todos os Arquivos,até os ocultos!

    >@< Desabilite as proteções residentes de AntiVírus e AntiSpywares!

    >@< Faça o download da EliStarA.

    >@< Baixe-a para o Disco Local-C e crie uma pasta para a ferramenta,estabelecendo um caminho para o Desktop! ( Atalho. )

    >@< Faça o download do ELINOTIF.DLL.Salve-o no interior da pasta criada para EliStarA!

    >@< Faça o download do EliTriIP.

    >@< Baixe-a para o Desktop!

    >@< Ps: Ambas,as ferramentas,estarão na página descargas ( Descargas > Utilidades SATINFO ).

    >@< Selecione as ferramentas ( Uma por vez! ) e clique no pé da página,no botão Descargar xxx.Onde xxx é a denominação da ferramenta escolhida!

    >@< Faça o download do Clean.

    >@< Salve-o no Disco Local-C e descompacte-o aí mesmo,enviando o executável para o Desktop! ( Atalho. )

    >@< O executável é um ícone denominado: clean.cmd.

    >@< Reinicie o computador e entre em Modo de Segurança.

    >@< Execute,primeiro,a ferramenta: EliStartA.

    >@< Vá ao seu ícone e execute-a!

    >@< Aceite as condições propostas e aguarde o término do scan.Aguarde!Pois vai demorar um pouco para concluir a varredura do PC.

    >@< Terminando,execute a ferramenta EliTriIP.

    >@< O scan desta ferramenta é mais rápido!

    >@< Terminando,execute o programa de limpeza profunda ( clean ) com um duplo clique no seu executável.

    >@< Abrir-se-á um prompt com três opções: Escolha o dois ( 2 )!

    >@< Aperte Enter! >> Aperte Enter,novamente! >> Aguarde!

    >@< Aperte Enter,novamente!

    >@< Surgirá um relatório ( rapport_clean ),que você deverá copiar e postar para análise.

    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

    >@< Poste o relatório infoSAT.txt que está na raíz C:\ ( Disco Local-C ) + rapport_clean.

    >@< Poste,também,um nôvo Log do HijackThis,feito em Modo Normal,na sua resposta.

    >@< Ps: A ferramenta EliStarA,deletará (Opcional! ) a sua página inicial!Posteriormente,você à configurará novamente.

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Olá Joram, agradeço a sua ajuda!

    Ok, vamos lá!

    Realizei todos os procedimentos, porém na execução do ElistarA, na correção através do ELINOTIF.DLL ele pediu a versão atualizada do arquivo.

    Mas estou enviando os resultados dos logs feitos, se precisar corrigimos esse imprevisto.

    Relatório InfoSAT.txt

    Wed Aug 08 02:11:00 2007

    EliStartPage v14.50 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Acción Directa):

    Key Eliminada [WinLogon\Notify\DSDOMM] -> C:\WINDOWS\SYSTEM32\dsdomm.dll

    Entrada Eliminada [HKLM\...\Run] "SystemOptimizer"="rundll32.exe "C:\WINDOWS\tuttus.dll",forkonce" (Vundo)

    Por favor, envienos una muestra del fichero

    C:\Muestras\DSDOMM.DLL.Muestra EliStartPage v14.50

    a "virus@satinfo.es". Gracias.

    C:\WINDOWS\SYSTEM32\DSDOMM.DLL --> Acceso Denegado.

    C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

    Por favor, envienos una muestra del fichero

    C:\Muestras\TUTTUS.DLL.Muestra EliStartPage v14.50

    a "virus@satinfo.es". Gracias.

    C:\WINDOWS\TUTTUS.DLL --> Renombrado a .VIR

    Por favor, envienos una muestra del fichero

    C:\Muestras\GEBCBAX.DLL.Muestra EliStartPage v14.50

    a "virus@satinfo.es". Gracias.

    C:\WINDOWS\SYSTEM32\GEBCBAX.DLL --> Acceso Denegado.

    Por favor, envienos una muestra del fichero

    C:\Muestras\WEBASSIST.DLL.Muestra EliStartPage v14.50

    a "virus@satinfo.es". Gracias.

    C:\WINDOWS\WEBASSIST.DLL --> Eliminado

    Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

    Eliminada Class, "{85589B5D-D53D-4237-A677-46B82EA275F3}" -> C:\WINDOWS\WebAssist.dll

    Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

    No detectado Parche MS06-001 de Microsoft instalado. (WMF)

    No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

    ALERTA. WindowsUpdate Incompleto.

    Eliminadas las Paginas de Inicio y de Busqueda del IE

    Eliminados Ficheros Temporales del IE

    No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

    Wed Aug 08 02:18:02 2007

    EliStartPage v14.50 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Acción Directa):

    Key Eliminada [WinLogon\Notify\DSDOMM] -> C:\WINDOWS\SYSTEM32\dsdomm.dll

    Por favor, envienos una muestra del fichero

    C:\Muestras\DSDOMM.DLL.Muestra EliStartPage v14.50

    a "virus@satinfo.es". Gracias.

    C:\WINDOWS\SYSTEM32\DSDOMM.DLL --> Acceso Denegado.

    Por favor, envienos una muestra del fichero

    C:\Muestras\GEBCBAX.DLL.Muestra EliStartPage v14.50

    a "virus@satinfo.es". Gracias.

    C:\WINDOWS\SYSTEM32\GEBCBAX.DLL --> Acceso Denegado.

    No detectado Parche MS06-001 de Microsoft instalado. (WMF)

    No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

    ALERTA. WindowsUpdate Incompleto.

    Eliminadas las Paginas de Inicio y de Busqueda del IE

    Eliminados Ficheros Temporales del IE

    No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

    Wed Aug 08 02:25:11 2007

    EliStartPage v14.50 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Acción Directa):

    Key Eliminada [WinLogon\Notify\DSDOMM] -> C:\WINDOWS\SYSTEM32\dsdomm.dll

    Por favor, envienos una muestra del fichero

    C:\Muestras\DSDOMM.DLL.Muestra EliStartPage v14.50

    a "virus@satinfo.es". Gracias.

    C:\WINDOWS\SYSTEM32\DSDOMM.DLL --> Acceso Denegado.

    Por favor, envienos una muestra del fichero

    C:\Muestras\GEBCBAX.DLL.Muestra EliStartPage v14.50

    a "virus@satinfo.es". Gracias.

    C:\WINDOWS\SYSTEM32\GEBCBAX.DLL --> Acceso Denegado.

    No detectado Parche MS06-001 de Microsoft instalado. (WMF)

    No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

    ALERTA. WindowsUpdate Incompleto.

    Eliminadas las Paginas de Inicio y de Busqueda del IE

    Eliminados Ficheros Temporales del IE

    Wed Aug 08 02:25:45 2007

    EliStartPage v14.50 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Exploración):

    Explorando Unidad C:\

    C:\Arquivos de programas\Borland\Delphi6\Bin\MTSINST.EXE --> Eliminado, Spy.Delf (BHO)

    C:\Arquivos de programas\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

    C:\Delphi6\Install\program files\Borland\Delphi6\Bin\MTSINST.EXE --> Eliminado, Spy.Delf (BHO)

    C:\WINDOWS\XHELPER.DLL --> Eliminado, Adware.XHelper(BHO)

    Wed Aug 08 02:36:21 2007

    EliStartPage v14.50 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Exploración):

    Explorando Unidad D:\

    No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

    Wed Aug 08 02:37:15 2007

    EliStartPage v14.50 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Acción Directa):

    Key Eliminada [WinLogon\Notify\DSDOMM] -> C:\WINDOWS\SYSTEM32\dsdomm.dll

    Por favor, envienos una muestra del fichero

    C:\Muestras\DSDOMM.DLL.Muestra EliStartPage v14.50

    a "virus@satinfo.es". Gracias.

    C:\WINDOWS\SYSTEM32\DSDOMM.DLL --> Acceso Denegado.

    Por favor, envienos una muestra del fichero

    C:\Muestras\GEBCBAX.DLL.Muestra EliStartPage v14.50

    a "virus@satinfo.es". Gracias.

    C:\WINDOWS\SYSTEM32\GEBCBAX.DLL --> Acceso Denegado.

    No detectado Parche MS06-001 de Microsoft instalado. (WMF)

    No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

    ALERTA. WindowsUpdate Incompleto.

    Eliminadas las Paginas de Inicio y de Busqueda del IE

    Eliminados Ficheros Temporales del IE

    Wed Aug 08 02:37:29 2007

    EliStartPage v14.50 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Exploración):

    Explorando Unidad C:\

    Wed Aug 08 02:37:37 2007

    EliStartPage v14.50 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Acción Directa):

    Key Eliminada [WinLogon\Notify\DSDOMM] -> C:\WINDOWS\SYSTEM32\dsdomm.dll

    Por favor, envienos una muestra del fichero

    C:\Muestras\DSDOMM.DLL.Muestra EliStartPage v14.50

    a "virus@satinfo.es". Gracias.

    C:\WINDOWS\SYSTEM32\DSDOMM.DLL --> Acceso Denegado.

    Por favor, envienos una muestra del fichero

    C:\Muestras\GEBCBAX.DLL.Muestra EliStartPage v14.50

    a "virus@satinfo.es". Gracias.

    C:\WINDOWS\SYSTEM32\GEBCBAX.DLL --> Acceso Denegado.

    No detectado Parche MS06-001 de Microsoft instalado. (WMF)

    No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

    ALERTA. WindowsUpdate Incompleto.

    Eliminadas las Paginas de Inicio y de Busqueda del IE

    Eliminados Ficheros Temporales del IE

    Instalada Utilidad "ELINOTIF.DLL"

    Instalada Utilidad "ELINOTIF.DLL"

    Wed Aug 08 02:39:10 2007

    EliTriIP v3.78 ©2007 S.G.H. / Satinfo S.L.

    ---------------------------------------------

    Lista de Acciones (por Acción Directa):

    No detectado Parche MS06-001 de Microsoft instalado. (WMF)

    No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

    ALERTA. WindowsUpdate Incompleto.

    Wed Aug 08 02:39:17 2007

    EliTriIP v3.78 ©2007 S.G.H. / Satinfo S.L.

    ---------------------------------------------

    Lista de Acciones (por Exploración):

    Explorando Unidad C:\

    C:\Arquivos de programas\Macromedia\Dreamweaver 8\Configuration\JSExtensions\SSITranslator.dll --> Eliminado, BackDoor.CMQ (dropper)

    Wed Aug 08 02:43:15 2007

    EliStartPage v14.50 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Acción Directa):

    Key Eliminada [WinLogon\Notify\DSDOMM] -> C:\WINDOWS\SYSTEM32\dsdomm.dll

    Por favor, envienos una muestra del fichero

    C:\Muestras\DSDOMM.DLL.Muestra EliStartPage v14.50

    a "virus@satinfo.es". Gracias.

    C:\WINDOWS\SYSTEM32\DSDOMM.DLL --> Acceso Denegado.

    Por favor, envienos una muestra del fichero

    C:\Muestras\GEBCBAX.DLL.Muestra EliStartPage v14.50

    a "virus@satinfo.es". Gracias.

    C:\WINDOWS\SYSTEM32\GEBCBAX.DLL --> Acceso Denegado.

    No detectado Parche MS06-001 de Microsoft instalado. (WMF)

    No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

    ALERTA. WindowsUpdate Incompleto.

    Eliminadas las Paginas de Inicio y de Busqueda del IE

    Eliminados Ficheros Temporales del IE

    Wed Aug 08 02:43:41 2007

    EliStartPage v14.50 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Exploración):

    Explorando Unidad C:\

    Instalada Utilidad "ELINOTIF.DLL"

    EliNotify v1.7.07.27 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones:

    Detectado DownLoader.ConHook2

    Elininada KEY "Winlogon\Notify\DSDOMM"

    Detectado SurfSideKick

    C:\WINDOWS\SYSTEM32\c:\windows\system32\gebcbax.dll -> Acceso Denegado.

    Desinstalado EliNotif.dll

    Wed Aug 08 02:48:39 2007

    EliStartPage v14.50 ©2007 S.G.H. / Satinfo S.L.

    --------------------------------------------------

    Lista de Acciones (por Acción Directa):

    No detectado Parche MS06-001 de Microsoft instalado. (WMF)

    No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

    ALERTA. WindowsUpdate Incompleto.

    Eliminadas las Paginas de Inicio y de Busqueda del IE

    Eliminados Ficheros Temporales del IE

    Relatório Rapport_Clean

    Script executed in Safe Mode

    Rapport clean par Malekal_morte - http://www.malekal.com

    Script executed in Safe Mode qua 08/08/2007 a 2:41:39,43

    Microsoft Windows XP [versÆo 5.1.2600]

    *** Suppression C:

    *** Suppression C:\WINDOWS\

    *** Suppression C:\WINDOWS\system32

    *** Suppression C:\Arquivos de programas

    *** Deletion of the registry keys successful..

    *** End of the report !

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Estou enviando o Log do HijackThis ( atualizado )

    Logfile of HijackThis v1.99.1

    Scan saved at 02:59:58, on 8/8/2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.EXE

    C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    C:\WINDOWS\system32\inetsrv\inetinfo.exe

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\WINDOWS\RTHDCPL.EXE

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Mozilla Firefox\firefox.exe

    C:\Hijack\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp9.tmp.dll

    O2 - BHO: (no name) - {eed8310d-0cb3-4cce-ba96-90b231ccb05e} - C:\WINDOWS\system32\dsdomm.dll

    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [areslite] "C:\Arquivos de programas\Ares Lite Edition\AresLite.exe" -h

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

    O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O17 - HKLM\System\CCS\Services\Tcpip\..\{B87C4232-98EF-45E2-9466-2C5E619EC4FA}: NameServer = 201.10.1.2

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    Ok, obrigado pela atenção Joram

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Bom Dia Guilherme Hcore!

    >@< Faça o download do KillBox.

    >@< Salve-o no Disco Local-C,em uma pasta própria < C:\Killbox.exe >.

    >@< Abra o KillBox e marque Delete on reboot.

    >@< Copie os ficheiros,logo abaixo,para a área de transferência ( Full path of file to delete ).

    >@< Selecione e clique em Copiar.Ou seja,estando desconectado e com estas instruções salvas,você copiará os ficheiros para o Bloco de Notas e,dêste,para a área de transferência no KillBox.

    C:\WINDOWS\system32\tmp9.tmp.dll

    C:\WINDOWS\system32\dsdomm.dll

    >@< Volte ao KillBox e clique em File >> Past from clipboard >> All files.

    >@< Clique no botão X e,na pergunta sobre o Reboot,diga Não!

    >@< Reinicie o computador e entre em Modo de Segurança.

    >@< Durante a reinicialização aperte,intermitentemente,a tecla F8 ou F5 e,no Menu que surgir escolha:Modo Seguro ou de Segurança.

    >@< Abra o HijackThis e clique em Do a system scan only e marque as entradas,logo abaixo:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\tmp9.tmp.dll

    O2 - BHO: (no name) - {eed8310d-0cb3-4cce-ba96-90b231ccb05e} - C:\WINDOWS\system32\dsdomm.dll

    >@< Finalize-as,clicando em Fix checked!

    >@< Reinicie,normalmente,o computador!

    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

    >@< Faça o download do VundoFix.

    >@< Salve-o no Desktop!

    >@< Execute o VundoFix.exe

    >@< Quando o VundoFix abrir,novamente, clique em Scan for Vundo.

    >@< Quando ele terminar, clique em Remove Vundo.

    >@< Você receberá um prompt perguntando se quer remover os arquivos. Confirme!

    >@< Sua área de trabalho vai desaparecer!

    >@< Surgirá um aviso dizendo que seu computador deve ser desligado.

    >@< Clique em OK e depois,ligue o computador novamente!

    >@< É possível que o VundoFix encontre um arquivo, mas não consiga removê-lo. Se isso acontecer, a ferramenta rodará ao reiniciar.

    >@< Quando o VundoFix aparecer, clique no botão Scan for Vundo para repetir o processo.

    >@< Quando o VundoFix não encontrar mais nenhum arquivo,que não consiga remover,poste o seu relatório ( Log ) que se encontra em C:\Vundofix.txt

    >@< Poste,também,um nôvo Log do HijackThis.

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Muito Obrigado!

    Ok,

    Log Vundofix.txt

    VundoFix V6.5.7

    Checking Java version...

    Sun Java not detected

    Scan started at 12:12:36 8/8/2007

    Listing files found while scanning....

    C:\WINDOWS\rqsvvw.ini

    C:\windows\system32\gebcbax.dll

    C:\WINDOWS\wvvsqr.dll

    Beginning removal...

    Attempting to delete C:\WINDOWS\rqsvvw.ini

    C:\WINDOWS\rqsvvw.ini Has been deleted!

    Attempting to delete C:\windows\system32\gebcbax.dll

    C:\windows\system32\gebcbax.dll Has been deleted!

    Attempting to delete C:\WINDOWS\wvvsqr.dll

    C:\WINDOWS\wvvsqr.dll Has been deleted!

    Performing Repairs to the registry.

    Done!

    VundoFix V6.5.7

    Checking Java version...

    Sun Java not detected

    Scan started at 12:15:26 8/8/2007

    Listing files found while scanning....

    No infected files were found.

    Log HijackThis ( atualizado 2 )

    Logfile of HijackThis v1.99.1

    Scan saved at 12:50:57, on 8/8/2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\RTHDCPL.EXE

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    C:\WINDOWS\system32\qwerty12.exe

    C:\WINDOWS\system32\inetsrv\inetinfo.exe

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\Arquivos de programas\Mozilla Firefox\firefox.exe

    C:\Hijack\HijackThis.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [areslite] "C:\Arquivos de programas\Ares Lite Edition\AresLite.exe" -h

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

    O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O17 - HKLM\System\CCS\Services\Tcpip\..\{B87C4232-98EF-45E2-9466-2C5E619EC4FA}: NameServer = 201.10.1.2

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\qwerty12.exe

    Muito Obrigado pela atenção Joram

    abraços

    Eu notei que ao usar o Internet Explorer que aparece essas janelas, após esse problema passei a usar o mozilla firefox e não ocorreu mais, mas como infecção é infecção, muito obrigado!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Boa Tarde Guilherme Hcore!

    Eu notei que ao usar o Internet Explorer que aparece essas janelas, após esse problema passei a usar o mozilla firefox e não ocorreu mais, mas como infecção é infecção, muito obrigado!

    >@< Sim,ainda temos infecção!

    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

    >@< Vá em Iniciar >> Executar >> Digite: msconfig >> Ok.

    >@< Abrir-se-á o: Utilitário de configuração do sistema.

    >@< Desmarque a caixa referente à êste Serviço: DomainService.

    >@< Clique em Aplicar >> Ok.

    >@< Faça o download do KillBox.

    >@< Salve-o no Disco Local-C,em uma pasta própria < C:\Killbox.exe >.

    >@< Abra o KillBox e marque Delete on reboot.

    >@< Insira ou digite o ficheiro,logo abaixo,para a área de transferência ( Full path of file to delete ).

    C:\WINDOWS\system32\qwerty12.exe

    >@< Clique no botão X e,na pergunta sobre o Reboot,confirme!

    >@< O computador vai reiniciar!

    >@< Abra o HijackThis e clique em: Open the misc tools section.

    >@< Clique em: Delete an NT Service.

    >@< Coloque o nome do Serviço: DomainService,na caixa.

    >@< Clique em Ok.

    >@< Faça e poste um novo Log do HijackThis,na sua resposta.

    Abraços!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Oi Joram, muito obrigado pelo auxilílio!

    Log HijackThis

    Logfile of HijackThis v1.99.1

    Scan saved at 17:47:28, on 8/8/2007

    Platform: Windows XP SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\RTHDCPL.EXE

    C:\WINDOWS\system32\ctfmon.exe

    C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    C:\WINDOWS\system32\inetsrv\inetinfo.exe

    C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

    C:\WINDOWS\system32\wscntfy.exe

    C:\Arquivos de programas\Mozilla Firefox\firefox.exe

    C:\WINDOWS\system32\wuauclt.exe

    C:\Hijack\HijackThis.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

    O4 - HKCU\..\Run: [areslite] "C:\Arquivos de programas\Ares Lite Edition\AresLite.exe" -h

    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)

    O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O17 - HKLM\System\CCS\Services\Tcpip\..\{B87C4232-98EF-45E2-9466-2C5E619EC4FA}: NameServer = 201.10.1.2

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Arquivos de programas\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    Obrigado pela ajuda,

    Abraços

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Boa Noite Guilherme Hcore!

    C:\Muestras\DSDOMM.DLL

    C:\Muestras\TUTTUS.DLL

    C:\Muestras\WEBASSIST.DLL

    C:\!KillBox << A pasta!

    >@< Apague as pastas,em destaque!

    No detectado Parche MS06-001 de Microsoft instalado. (WMF)

    No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

    ALERTA. WindowsUpdate Incompleto.

    >@< Estão lhe faltando alguns patches de segurança,busque atualizar o computador!

    @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

    >@< Faça o download do CCleaner.

    >@< Baixe-o para o Desktop!

    >@< Abra o programa e clique em Executar cleaner.

    >@< Terminando,clique em Erros >> Procurar erros >> Corrigir erros.

    >@< No mais,tudo Ok.

    >@< Log Limpo!

    Abraços! :)

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Joram, cara , muito obrigado mesmo, sem você eu jamais saberiaresolver isso, brigadão mesmo.

    Abraços, brigado

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Uma hora se puder me dar umas dicas de como posso aprender melhor isso, sobre esse tipo de remoção eu estaria grato,

    Abraços

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Oi Galera Por Favor Me Ajudem?

    Pois Estou Com U ProblemÃo NÃo Consigo Remover O Vitumonde Po Ai Se Puder Alguem Pode Me Ajudar

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×