Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
betelboy

Me ajudem por favor!

Recommended Posts

No meu pc tem um monte de gente que usa. e apareceu um tal de spysheriff que não saia por nada! bom, lendo outros tópicos consegui tira, ou melhor achei que tinha conseguido. agora aparece um erro de um tal winldra.exe. mando o meu log. se alguém puder me ajudar!

Logfile of HijackThis v1.99.1

Scan saved at 00:39:43, on 06/09/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\PTSNOOP.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\ARQUIVOS DE PROGRAMAS\PCI AUDIO APPLICATIONS\MIXER.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG FREE\AVGCC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG FREE\AVGEMC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG FREE\AVGAMSVR.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\WINLOGON.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARQUIVOS DE PROGRAMAS\OUTLOOK EXPRESS\MSIMN.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\ARQUIVOS DE PROGRAMAS\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

F1 - win.ini: load=ptsnoop.exe

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [C-Media Mixer] C:\Arquivos de programas\PCI Audio Applications\Mixer.exe /startup

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE

O4 - HKLM\..\Run: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [userinit] C:\WINDOWS\winlogon.exe

O4 - HKLM\..\Run: [sysMemory manager] c:\windows\system\mdms.exe

O4 - HKLM\..\Run: [load32] C:\WINDOWS\SYSTEM\winldra.exe

O4 - HKLM\..\Run: [AttuneClientEngine] C:\ARQUIV~1\AVEO\ATTUNE\bin\attune_ce.exe

O4 - HKLM\..\Run: [winpos] C:\WINDOWS\winpos.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [sNInstall] C:\WINDOWS\TOOL2.EXE

O4 - Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O12 - Plugin for .pdf: C:\ARQUIV~1\INTERN~1\PLUGINS\nppdf32.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {65231111-1111-1111-1111-111177773458} - file://C:\WINDOWS\Tempor~1\Content.IE5\MD04G71W\epl29[1].cab

Compartilhar este post


Link para o post
Compartilhar em outros sites

Betelboy

Preliminar

Submeta neste site

http://virusscan.jotti.org/

http://www.virustotal.com/flash/index_en.html

os seguintes arquivos estranhos:

C:\WINDOWS\winlogon.exe

C:\WINDOWS\winpos.exe

Browse -> send/submit ->

Download the hoster.zip

Download e --> salve em seu desktop --> DelDomains.inf clica

Download smitfraud.reg e salve em seu desktop

Download firewall

Backdoor.Nibu.J

1ª Etapa

Baixe o Killbox do Option^Explicit em: -> clica

Baixe, unzip na área de trabalho.

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima estapa entraremos em Modo Seguro e a conexão à internet não será possível. Pula o que voce não achar, pois eu estava baseado no log anterior.

Habilite o Windows para mostrar todos os arquivos (até ocultos). -> veja

Procure e localize os seguintes arquivos. Não necessariamente deva-se dizer que todos existem. Se encontrar marca no bloco de notas.

%Windir%\prntc.log

%System%\winldra.exe

%Windir%\dvpd.dll

%Windir%\netdx.dat

%Windir%\socks.dat

%Windir%\prntsvra.dll

%Windir%\TEMP\fa4537ef.tmp

Notas:

%Windir%

%System%

C:\Windows\System (Windows 95/98/Me),

C:\Windows (Windows 95/98/Me/XP)

2ª Etapa

Execute o KillBox:

1) Selecione Delete on reboot;

2) No box Full path of file to delete;

3) Coloque (fica azul):

C:\WINDOWS\SYSTEM\winldra.exe

- Aperte X. Responda "yes" à primeira pergunta e "no" à segunda.

Repita a operação com aqueles outros se constarem na sua máquina :

3ª Etapa

Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

Execute o HijackThis, clique em Do a System Scan Only, marque

somente as entradas abaixo e dê Fix Checked.

O4 - HKLM\..\Run: [load32] C:\WINDOWS\SYSTEM\winldra.exe

Fecha HJThis

4ª Etapa

Iniciar -> executar -> escrever a palavra regedit -> enter -> vai cuidadosamente na chave

HKEY_LOCAL_MACHINE\SOFTWARE\ … SARS < - deleta se encontrar

5ª Etapa

Roda o CCleaner -> veja

Restart o computador não vai na net.

Trojan.Repsamo

1ª Etapa

Procure e localize os seguintes arquivos. Não necessariamente deva-se dizer que todos existem. Se encontrar marca no bloco de notas.

%System%\mcsmss.exe

%System%\mdms.exe

%System%\winacpi.dll

%Windir%\tgbcde\kbd.txt

%Windir%\tgbcde\~tmp636

%Windir%\tgbcde\~tmp666

%Windir%\tgbcde\req.txt

%Windir%\tgbcde\htm.txt

Notas:

%Windir%

%System%

C:\Windows\System (Windows 95/98/Me),

C:\Windows (Windows 95/98/Me/XP)

2ª Etapa

Execute o KillBox:

1) Selecione Delete on reboot;

2) No box Full path of file to delete;

3) Coloque (fica azul):

c:\windows\system\mdms.exe

- Aperte X. Responda "yes" à primeira pergunta e "no" à segunda.

Repita a operação com aqueles outros se constarem na sua máquina :

3ª Etapa

Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

Execute o HijackThis, clique em Do a System Scan Only, marque

somente as entradas abaixo e dê Fix Checked.

O4 - HKLM\..\Run: [sysMemory manager] c:\windows\system\mdms.exe

O16 - DPF: {65231111-1111-1111-1111-111177773458} - file://C:\WINDOWS\Tempor~1\Content.IE5\MD04G71W\epl29[1].cab

Fecha HJThis

4ª Etapa

Iniciar -> executar -> escrever a palavra regedit -> enter -> vai cuidadosamente na chave

Nota: Se o editor do registro não abrir a ameaça pode ter modificado o registro para impedir o acesso ao editor do registro. A Symantec desenvolveu uma ferramenta para resolver este problema, e continue então com a remoção

HKEY_CURRENT_USER\Software\ ….samba\mcsmss\mzu < - deleta se encontrar

HKEY_CURRENT_USER\Software\ … mzs\mdms\mzu < - deleta se encontrar

5ª Etapa

Roda o CCleaner -> veja

02 cliques em "DelDomains.inf" -> Save Target As -> Install (no need to restart).

02 cliques em Hoster -> Pressiona "Restore Original Hosts" e clique "OK".

Exit o Programa.

Restart

Retorne com os resultados do virusscan, e post novo log HJThis

Compartilhar este post


Link para o post
Compartilhar em outros sites

Sr.Ida

muito obrigado por ter respondido...e tão rápido! vai meus problemas

Resultado no virusscan

Service load: 0% 100%

File: winlogon.exe

Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5 e80a10e167917a7c657bd27776a48555

Packers detected: Analyzing...

Scanner results

AntiVir Found TR/Dldr.Mawitz.A.2

ArcaVir Found Trojan.Downloader.Small.Mg.S02

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found Trojan.DownLoader.4138

F-Prot Antivirus Found unknown virus (probable variant)

Fortinet Found nothing

Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Agent.tn

NOD32 Found probably unknown NewHeur_PE (probable variant)

Norman Virus Control Scanning, please wait...

UNA Scanning, please wait...

VBA32 Scanning, please wait...

C:\WINDOWS\winpos.exe

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

primeiro problema...

no kilbox não aparece a segunda pergunta para eu clicar não, só aparece 2 OK e não ficou azul!

segundo problema...

muitos arquivos eu não achei

obs a mensagem de erro no inicio sumiu vou mandar o novo log

Logfile of HijackThis v1.99.1

Scan saved at 11:18:23, on 06/09/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\PTSNOOP.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\ARQUIVOS DE PROGRAMAS\PCI AUDIO APPLICATIONS\MIXER.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG FREE\AVGCC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG FREE\AVGEMC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG FREE\AVGAMSVR.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\WINLOGON.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\ARQUIVOS DE PROGRAMAS\INTERNET EXPLORER\IEXPLORE.EXE

D:\HIJACKTHIS.EXE

F1 - win.ini: load=ptsnoop.exe

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [C-Media Mixer] C:\Arquivos de programas\PCI Audio Applications\Mixer.exe /startup

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE

O4 - HKLM\..\Run: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [userinit] C:\WINDOWS\winlogon.exe

O4 - HKLM\..\Run: [AttuneClientEngine] C:\ARQUIV~1\AVEO\ATTUNE\bin\attune_ce.exe

O4 - HKLM\..\Run: [winpos] C:\WINDOWS\winpos.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [sNInstall] C:\WINDOWS\TOOL2.EXE

O4 - Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O12 - Plugin for .pdf: C:\ARQUIV~1\INTERN~1\PLUGINS\nppdf32.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

mais uma vez obrigado!

Compartilhar este post


Link para o post
Compartilhar em outros sites
primeiro problema...

no kilbox não aparece a segunda pergunta para eu clicar não, só aparece 2 OK e não ficou azul!

Quando voce coloca o arquivo/virus no box, você aperta no X para deletar o arquivo... ai ela te fala assim... voce realmente quer deletar este arquivo... você fala q YES... depois como voce apertou deletar e reboot now (dar um boot-> restart)... ela pergunta se quer dar o reboot agora neste instante-> deiga NO ... entendeu

segundo problema...

muitos arquivos eu não achei

melhor assim,...

SpySheriff e outros

D:\HIJACKTHIS.EXE -> ta errado

abra uma pasta em C:\ -> chamada tipo HJThis -> coloca a ferramenta neste local

Download o Ad Aware clica aqui. Procure atualizar, e siga as instruções do site. Não roda ainda.

1ª Etapa

Utilize Adicionar / Remover programas no Painel de Controle.

Desinstale: ->

C:\Program Files\SpySheriff

e Aveo Attune

2ª Etapa

Execute o KillBox:

1) Selecione Delete on reboot;

2) No box Full path of file to delete;

3) Coloque (fica azul):

C:\winstall.exe

- Aperte X. Responda "yes" à primeira pergunta e "no" à segunda.

Repita a operação

C:\WINDOWS\winlogon.exe

C:\WINDOWS\TOOL2.EXE

Install.dat

C:\Windows\Desktop.html

C:\ARQUIV~1\AVEO\ATTUNE\bin\attune_ce.exe

3ª Etapa

Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

Execute o HijackThis, clique em Do a System Scan Only, marque

somente as entradas abaixo e dê Fix Checked.

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [sNInstall] C:\WINDOWS\TOOL2.EXE

O4 - HKLM\..\Run: [userinit] C:\WINDOWS\winlogon.exe

O4 - HKLM\..\Run: [AttuneClientEngine] C:\ARQUIV~1\AVEO\ATTUNE\bin\attune_ce.exe

4ª Etapa

Via Windows Explorer apague a pasta

--> C:\Program Files\SpySheriff

Aveo Attune

e todo seu conteúdo

Limpa Lixeira

Roda o Ad Aware clica e o CCleaner clica

5ª Etapa

Double-click smitfraud.reg em seu desktop. Quando pedir para incerir mudancas no registro diga que sim. Depois ele vai falar do sucesso.

Verifique se o problema foi resolvido e poste o novo log.

Um abraço.

Obs. Pode haver mudanca nas propriedades de video com o smitfraud.reg. Executar somente se o papel de parede estiver alterado por aquele da praga.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Aparentemente resolveu... mas tem 3 coisas

1 - o plano de fundo ficou azul...

2 - Aprimeira pergunta que aparece no killbox é: file will be deleted on next reboot, eu clico OK , depois aparece: you will need to reboot the computer to complete the replace, com uma única opção (OK). fiz assim mesmo e parece estar tudo certo.

3 - vai meu log atual... da uma olhada pra ver se ta tudo certo....

obs: como faço pra voltar a tela como estava? ou é melhor deixar assim mesmo?

Logfile of HijackThis v1.99.1

Scan saved at 14:34:49, on 06/09/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\PTSNOOP.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\ARQUIVOS DE PROGRAMAS\PCI AUDIO APPLICATIONS\MIXER.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG FREE\AVGCC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG FREE\AVGEMC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG FREE\AVGAMSVR.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARQUIVOS DE PROGRAMAS\OUTLOOK EXPRESS\MSIMN.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\HJTHIS\HIJACKTHIS.EXE

F1 - win.ini: load=ptsnoop.exe

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [C-Media Mixer] C:\Arquivos de programas\PCI Audio Applications\Mixer.exe /startup

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE

O4 - HKLM\..\Run: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [winpos] C:\WINDOWS\winpos.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O12 - Plugin for .pdf: C:\ARQUIV~1\INTERN~1\PLUGINS\nppdf32.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

muito obrigado por tudo....

obs2: não sei se impressão minha, mas minha internet ficou mais rápida. tem alguma coisa a ver?

valeu!

Compartilhar este post


Link para o post
Compartilhar em outros sites
obs2: não sei se impressão minha, mas minha internet ficou mais rápida. tem alguma coisa a ver?

A partir do log foram eliminados todas as entradas ruins. Com certeza parte dos recursos eram absorvidos pelas pragas, e eram muitas. O ad aware faz uma boa faxina nesta raça, mas seria muito interessante você instalar uma firewall para evitar novas infecções. Se te interessar eu te recomendo uma, bem como um scan on line para minha verificação.

C:\WINDOWS\winpos.exe .... parece limpo ... pelos anti-virus.

ou é melhor deixar assim mesmo?

Não, lógico que não, mas agora o problema será restaurar as configurações das propriedades de vídeo. Existe uma preocupação em sistemas XP, em todo caso veja isto -> clica

1 - o plano de fundo ficou azul...

obs: como faço pra voltar a tela como estava?

a condição era esta... se ....

Postado Originalmente por Sr.Ida Hoje@ 11:56

Obs. Pode haver mudança nas propriedades de vídeo com o smitfraud.reg. Executar somente se o papel de parede estiver alterado por aquele da praga.

q voce fez? voce usou ou não o smitfraud.reg ?

Por acaso encontrou o arquivo -> C:\Windows\Desktop.html <_< ?

Agora temos que partir para configs do win 98 ... :unsure:

Compartilhar este post


Link para o post
Compartilhar em outros sites

"q voce fez? voce usou ou não o smitfraud.reg ?"

usei sim! o meu windows é 98se...

qual firewall você me indica?

"bem como um scan on line para minha verificação"

o que seria isto!

Sr.Ida muito obrigado por tudo! abrção! :bandeira:

se precisar de alguma coisa ( que não seja para ajeitar o sistema) pode contar comigo! :-BEER

Compartilhar este post


Link para o post
Compartilhar em outros sites

betel

qual firewall você me indica?

clica - > porque usar firewall

Eu já tinha linkado, …

Download Outpost -> clica, instale após o scan on line. Outpost bem levinha, mas existem outras. Adiante voce pode ate mudar caso queira.

"bem como um scan on line para minha verificação"

o que seria isto!

Evidentemente que a sugestão está relacionada com hábitos de navegação.

Regularmente você deve verificar se não há algo escondido no seu micro. Então proceda semanalmente um scan on line, depois você amplia este tempo para 15/30 dias. E post um log HJThis mensal para averiguações.

Scan da Bit defender ->

http://www.bitdefender.com/scan8/ie.html

se precisar de alguma coisa ( que não seja para ajeitar o sistema) pode contar comigo!

:D obrigado ... valeu o retorno de respostas.

Boa surfada

Compartilhar este post


Link para o post
Compartilhar em outros sites

Sr.Ida

como eu faço para reconfigurar o video(já que meu plano de fundo ficou azul)????????

mais uma vez obrigado e abração.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Postado Originalmente por Sr.Ida Ontem@ 17:51

Por acaso encontrou o arquivo -> C:\Windows\Desktop.html

Sim ou Não ?

como eu faço para reconfigurar o vídeo (já que meu plano de fundo ficou azul)????????

Já expliquei que o fix deveria ser usado somente se o plano de fundo estivesse alterado. Agora vamos ter que entrar nas particularidades do sistema operacional win 98, e não me lembro bem dos pormenores. Vamos ver -> Deixa a área de serviço livre e clique com botão esquerdo do mouse -> propriedades de vídeo, e muda o tema. Ve ai ... Agora se você não conseguir, vamos ver com a...

Download the latest version of “Silent Runners.vbs”, clica

Post um log -> veja como faz

Compartilhar este post


Link para o post
Compartilhar em outros sites

SR IDA

Acho que entendi errado! eu usei sim, mas não encontrei o arquivo. foi mal!

agora o “Silent Runners.vbs” eu peguei, mas não consigo fazer o log como mostra no site, porque não aparece como lá!

mais uma vez obrigado!

obs: o pode ter acontecido, já que usei o programa se necessidade?

Compartilhar este post


Link para o post
Compartilhar em outros sites

postei o log aqui também! não sabia se era pelo e-mail ou por aqui!

:wow:

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/

Operating System: Windows 98

Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:

---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]

"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]

"SystemTray" = "SysTray.Exe" [MS]

"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]

"C-Media Mixer" = "C:\Arquivos de programas\PCI Audio Applications\Mixer.exe /startup" ["C-Media Electronic Inc."]

"CountrySelection" = "pctptt.exe" ["PCtel, Inc."]

"AVG7_CC" = "C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP" ["GRISOFT, s.r.o."]

"AVG7_EMC" = "C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE" ["GRISOFT, s.r.o."]

"AVG7_AMSVR" = "C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE" ["GRISOFT, s.r.o."]

"StillImageMonitor" = "C:\WINDOWS\SYSTEM\STIMON.EXE" [MS]

"CorelCorelDRAW 10 Reminder" = (empty string)

"winpos" = "C:\WINDOWS\winpos.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++}

"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]

"SchedulingAgent" = "mstask.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Arquivos de programas\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Arquivos de programas\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

-> {CLSID}\InProcServer32\(Default) = "C:\ARQUIVOS DE PROGRAMAS\WINRAR\rarext.dll" [null data]

"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"

-> {CLSID}\InProcServer32\(Default) = "C:\Arquivos de programas\Ahead\nero\neroshx.dll" ["Ahead Software AG"]

"{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "Componente da extensão do shell do CorelDRAW"

-> {CLSID}\InProcServer32\(Default) = "C:\ARQUIVOS DE PROGRAMAS\COREL\GRAPHICS10\DRAW\CDRVIEWER\CRLSHELL100.DLL" [null data]

"{D3796116-94D3-4009-96D7-51578411CC7D}" = "Outpost Shell Extension"

-> {CLSID}\InProcServer32\(Default) = "C:\ARQUIV~1\AGNITUM\OUTPOS~1.0\OSHDLR.DLL" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"

-> {CLSID}\InProcServer32\(Default) = "C:\Arquivos de programas\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\ARQUIVOS DE PROGRAMAS\WINRAR\rarext.dll" [null data]

sysacpildap\(Default) = "{5E2121EE-0300-11D4-8D3B-444553540000}"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\WINACPI.DLL" [file not found]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\ARQUIVOS DE PROGRAMAS\WINRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"

-> {CLSID}\InProcServer32\(Default) = "C:\Arquivos de programas\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\ARQUIVOS DE PROGRAMAS\WINRAR\rarext.dll" [null data]

Active Desktop and Wallpaper:

-----------------------------

Active Desktop is enabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

WIN.INI & SYSTEM.INI launch points:

-----------------------------------

WIN.INI

[windows]

INFECTION WARNING! "load=ptsnoop.exe" ["PCtel, Inc."]

INFECTION WARNING! "run=C:\WINDOWS\SYSTEM\cmmpu.exe" [null data]

SYSTEM.INI

[boot]

"SCRNSAVE.EXE=C:\WINDOWS\SYSTEM\CAIXAF~1.SCR" (Caixa florescente 3D.scr) [MS]

Startup items in "Startup" & "All Users...Startup" folders:

-----------------------------------------------------------

C:\WINDOWS\Menu Iniciar\Programas\Iniciar

"Microsoft Office" -> shortcut to: "C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE -b -l" [MS]

Enabled Scheduled Tasks:

------------------------

"Aplicativo de ajuste" -> launches: "walign" [MS]

Winsock2 Service Provider DLLs:

-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:

C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1

C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4

C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6

Toolbars, Explorer Bars, Extensions:

------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{85D1F590-48F4-11D9-9669-0800200C9A66}\

"MenuText" = "Uninstall BitDefender Online Scanner v8"

"Exec" = "%windir%\bdoscandel.exe" [null data]

Miscellaneous IE Hijack Points

------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):

[strings]: SEARCH_PAGE_URL="&http://home.microsoft.com/intl/br/access/allinone.asp"

[strings]: SAFESITE_VALUE="search.msn.com.br"

Missing lines (compared with English-language version):

[strings]: 2 lines

----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

DLL launch points and all Registry CLSIDs for dormant Explorer Bars,

use the -supp parameter or answer "No" at the first message box.

---------- (total run time: 51 seconds, including 5 seconds for message boxes)

Compartilhar este post


Link para o post
Compartilhar em outros sites

SR.IDA

MUITO OBRIGADO POR SUA AJUDA! TÁ TUDO RESOLVIDO GRAÇAS A DEUS(E A você...HEHEHE) :palmas: :palmas: :palmas:

:-BEER PRECISANDO DE ALGUMA COISA PODE CONTAR COMIGO!!!

ABRAÇÃO E MAIS UMA VEZ OBRIGADO!!! B)

Compartilhar este post


Link para o post
Compartilhar em outros sites

CASO RESOLVIDO!

Caso o autor do tópico necessite, o mesmo será reaberto, para isso o mesmo deverá procurar um Moderador da área e solicitar o desbloqueio!

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×