Ir ao conteúdo
  • Cadastre-se
Entre para seguir isso  
pericles

W32.Sinnaka.A@mm

Posts recomendados

Antes de mais nada, queria desde já agradecer a ajuda para resolver este meu problema. Vamos a ele. Quando abro meu IE, mesmo ele estando como página inicial about:blank, ele em um primeiro momento abre com o endereço res://C:\WINDOWS\system32\shdoclc.dll/navcancl.htm, e direciona para a página de endereço http://www.warningmessage.com/, que informa que meu micro está infectado com o spyware W32.Sinnaka.A@mm, informa meu IP, meu país de origem, meu navegador, sistema operacional e outras informações, e também que o IP 88.115.69.23 está tendo acesso remoto a minha máquina. Esta página sugere como solução a este spyware dois links p/ downloads (PS Guard e Spy Trooper). Junto a isto, ficam abrindo diversas janelas de propagandas, como Casino, sites de pornografia, etc., e também de tempo em tempo aparece um ícone dizendo que meu computador está infectado, para clicar nele, que vai direcionar para a pag. do Spy Trooper. Já atualizei e passei o Norton 2005 três vezes, e não acusou nenhum vírus. também atualizei e passei o Spybot diversas vezes, e também não achou nenhum spyware. Abaixo tem o log do Hijack This para análise. Por favor me ajudem, que não sei mais o que fazer, e sou leigo no assunto. Obrigado e desculpe pela extensão do tópico.

Logfile of HijackThis v1.99.1

Scan saved at 23:15:03, on 30/10/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\DVDRAMSV.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\Arquivos de programas\Norton AntiVirus\navapsvc.exe

C:\Arquivos de programas\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\mssearchnet.exe

C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\boeline.exe

C:\Arquivos de programas\GetRight\getright.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\RAMASST.exe

C:\WINDOWS\system32\msiexec.exe

C:\Arquivos de programas\Discador iBest\discador.exe

C:\Hijack Thiis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\system32\hpAD28.tmp

O3 - Toolbar: Discador iBest - {4F869C58-D71D-4850-8BDD-7B5CDF8EC911} - C:\Arquivos de programas\Discador iBest\ibestbar.dll

O3 - Toolbar: Tradu&zWeb - {2d43d3a4-ec29-11d2-8ade-0020182cecb3} - C:\Arquivos de programas\Kounen\TraduzWeb\2.0p\bin\TWeb.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Arquivos de programas\Norton AntiVirus\NavShExt.dll (file missing)

O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Arquivos de programas\Security Toolbar\Security Toolbar.dll

O4 - HKLM\..\Run: [ulead Memory Card Detector] C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [soundMAXPnP] C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMax] "C:\Arquivos de programas\Analog Devices\SoundMAX\smax4.exe" /tray

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [TraduzU.exe] C:\ARQUIV~1\KOUNEN\TRADUZ~1\2.0p\bin\TraduzU.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [iBest.baloon] "C:\Arquivos de programas\Discador iBest\baloon.exe"

O4 - HKCU\..\Run: [DR_S] C:\Arquivos de programas\DR_S\DR_S.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [boeline] C:\WINDOWS\boeline.exe

O4 - Global Startup: GetRight.lnk = C:\Arquivos de programas\GetRight\getright.exe

O4 - Global Startup: Autodetect.lnk = C:\Revista\CDRom118\Photolightning\autodetect.exe

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O8 - Extra context menu item: Abrir com o GetRight Browser - C:\ARQUIV~1\GETRIGHT\GRbrowse.htm

O8 - Extra context menu item: Download com o GetRight - C:\ARQUIV~1\GETRIGHT\GRdownload.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Tradu&zir - file://C:\Arquivos de programas\Kounen\TraduzWeb\2.0p\bin\tw.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1093842853890

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{839D33CF-8024-4CD5-BD5E-76ACC8C7ED9F}: NameServer = 201.10.120.3 201.10.1.2

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: Serviço do Auto-Protect do Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Arquivos de programas\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Arquivos de programas\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\CCPD-LC\symlcsvc.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

Baixe:

KillBox

Ewido

CCleaner

Ad-Aware

smitRem > Salve no desktop.

Copie e salve no bloco de notas, este texto abaixo em azul:

C:\WINDOWS\system32\mssearchnet.exe

C:\WINDOWS\boeline.exe

C:\WINDOWS\system32\hpAD28.tmp

C:\Arquivos de programas\Security Toolbar\Security Toolbar.dll

C:\Arquivos de programas\DR_S\DR_S.exe

Instale o Ewido e o Ad-Aware. Faça o update dos dois programas. Mas não use ainda.

Instale o CCleaner. Não use ainda.

Dê um duplo-clique em smitRem.exe e clique em Start. A pasta smitRem será criada no desktop. Aguarde o momento de usar.

Configure o Windows para mostrar todos os arquivos

Salve ou imprima estas instruções:

1 - No Painel de Controle > Adicionar/Remover Programas, desinstale:

Security Toolbar

DR_S

2 - Copie o texto que salvou no bloco de notas. Rode o KillBox e marque Delete on Reboot, no menu File clique em Paste from Clipboard.

Clique no botão com o X, em Yes e em No.

Quando o KillBox der o reboot, entre em modo de segurança apertando F8 intermitentemente.

3 - Vá na pasta smitRem. Dê um duplo-clique em RunThis.bat.

É normal o desktop e os ícones desaparecer/reaparecer. Espere o exame ser concluído. O log smitfiles.txt será criado na raiz do disco (em C:\).

4 - Faça um full scan com o Ad-Aware. Coloque na Quarentena todos os arquivos detectados.

5 - Faça um full scan com o Ewido. Salve o log.

6 - Faça um scan com o HijackThis, marque as entradas abaixo, que ainda encontrar e clique em Fix checked:

O2 - BHO: HomepageBHO - {3bf1f86f-b1a8-489b-8d8b-43781d51411f} - C:\WINDOWS\system32\hpAD28.tmp

O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Arquivos de programas\Security Toolbar\Security Toolbar.dll

O4 - HKCU\..\Run: [DR_S] C:\Arquivos de programas\DR_S\DR_S.exe

O4 - HKCU\..\Run: [boeline] C:\WINDOWS\boeline.exe

7 - Rode o CCleaner clicando em Executar Cleaner.

8 - Procure por pastas e arquivos com os nomes Security Toolbar e DR_S e delete.

9 - Reinicie em modo normal, faça um scan com o HijackThis e salve o log.

Poste os logs > smitfiles.txt, Ewido e HijackThis.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Já fiz os procedimentos solicitados. Abaixo, os logs solicitados.

LOG DO SMITFILES.TXT

smitRem © log file

version 2.7

by noahdfear

Microsoft Windows XP [versÆo 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

msvol.tlb

ld****.tmp

ncompat.tlb

nvctrl.exe

mscornet.exe

oleext.dll

hp***.tmp

~~~ Icons in System32 ~~~

ts.ico

ot.ico

~~~ Windows directory ~~~

warnhp.html

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN! :)

LOG DO EWIDO

---------------------------------------------------------

ewido security suite - Relatório de verificação

---------------------------------------------------------

+ Criado em: 05:10:05, 3/11/2005

+ Relatório-Checksum: E3739B41

+ Resultado da verificação:

HKLM\SOFTWARE\Classes\CLSID\{4F869C58-D71D-4850-8BDD-7B5CDF8EC911} -> Spyware.iBest : Limpo com backup

HKLM\SOFTWARE\Classes\Ibestbar.IbestBarCtl\CLSID\\ -> Spyware.iBest : Limpo com backup

HKLM\SOFTWARE\Classes\Ibestbar.IbestBarCtl.1\CLSID\\ -> Spyware.iBest : Limpo com backup

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{4F869C58-D71D-4850-8BDD-7B5CDF8EC911} -> Spyware.iBest : Limpo com backup

C:\WINDOWS\system32\1024\ldD068.tmp -> Trojan.Small.ev : Limpo com backup

C:\WINDOWS\system32\1024\ld3DE7.tmp -> Dialer.Generic : Limpo com backup

C:\WINDOWS\boeline.exe -> Spyware.Hijacker.Generic : Limpo com backup

C:\Documents and Settings\Luiz\Meus documentos\Joacir\Zango\ZangoInstaller.exe/ZangoLib.dll -> Spyware.180Solutions : Limpo com backup

C:\Documents and Settings\Luiz\Meus documentos\Joacir\Zango\ZangoInstaller.exe/ZangoLib.dll -> Spyware.180Solutions : Limpo com backup

:mozilla.64:C:\Documents and Settings\Luiz\Dados de aplicativos\Mozilla\Firefox\Profiles\1thns1yi.default\cookies.txt -> Spyware.Cookie.Adbrite : Limpo com backup

:mozilla.68:C:\Documents and Settings\Luiz\Dados de aplicativos\Mozilla\Firefox\Profiles\1thns1yi.default\cookies.txt -> Spyware.Cookie.Falkag : Limpo com backup

:mozilla.74:C:\Documents and Settings\Luiz\Dados de aplicativos\Mozilla\Firefox\Profiles\1thns1yi.default\cookies.txt -> Spyware.Cookie.Sexcounter : Limpo com backup

:mozilla.75:C:\Documents and Settings\Luiz\Dados de aplicativos\Mozilla\Firefox\Profiles\1thns1yi.default\cookies.txt -> Spyware.Cookie.Sexcounter : Limpo com backup

:mozilla.92:C:\Documents and Settings\Luiz\Dados de aplicativos\Mozilla\Firefox\Profiles\1thns1yi.default\cookies.txt -> Spyware.Cookie.Revenue : Limpo com backup

:mozilla.98:C:\Documents and Settings\Luiz\Dados de aplicativos\Mozilla\Firefox\Profiles\1thns1yi.default\cookies.txt -> Spyware.Cookie.Statcounter : Limpo com backup

:mozilla.100:C:\Documents and Settings\Luiz\Dados de aplicativos\Mozilla\Firefox\Profiles\1thns1yi.default\cookies.txt -> Spyware.Cookie.Weborama : Limpo com backup

:mozilla.103:C:\Documents and Settings\Luiz\Dados de aplicativos\Mozilla\Firefox\Profiles\1thns1yi.default\cookies.txt -> Spyware.Cookie.Cqcounter : Limpo com backup

:mozilla.183:C:\Documents and Settings\Luiz\Dados de aplicativos\Mozilla\Firefox\Profiles\1thns1yi.default\cookies.txt -> Spyware.Cookie.Googleadservices : Limpo com backup

C:\Arquivos de programas\Discador iBest\discador.exe -> Heuristic.Win32.Dialer : Limpo com backup

C:\data -> TrojanDownloader.IstBar.kc : Limpo com backup

C:\!KillBox\mssearchnet.exe -> TrojanDownloader.Zlob.ap : Limpo com backup

C:\teste\Nero 6\NERO_6316_Keygen.exe -> TrojanDropper.Delf.gi : Limpo com backup

::Fim do Relatório

LOG DO HIJACKTHIS

Logfile of HijackThis v1.99.1

Scan saved at 05:40:41, on 03/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\DVDRAMSV.exe

C:\Arquivos de programas\ewido\security suite\ewidoctrl.exe

C:\Arquivos de programas\ewido\security suite\ewidoguard.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\Arquivos de programas\Norton AntiVirus\navapsvc.exe

C:\Arquivos de programas\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\system32\rundll32.exe

C:\Arquivos de programas\Discador iBest\baloon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\GetRight\getright.exe

C:\WINDOWS\system32\RAMASST.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\msiexec.exe

C:\Hijack Thiis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

O3 - Toolbar: Tradu&zWeb - {2d43d3a4-ec29-11d2-8ade-0020182cecb3} - C:\Arquivos de programas\Kounen\TraduzWeb\2.0p\bin\TWeb.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Arquivos de programas\Norton AntiVirus\NavShExt.dll (file missing)

O4 - HKLM\..\Run: [ulead Memory Card Detector] C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [soundMAXPnP] C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMax] "C:\Arquivos de programas\Analog Devices\SoundMAX\smax4.exe" /tray

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [TraduzU.exe] C:\ARQUIV~1\KOUNEN\TRADUZ~1\2.0p\bin\TraduzU.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [iBest.baloon] "C:\Arquivos de programas\Discador iBest\baloon.exe"

O4 - HKCU\..\Run: [DR_S] C:\Arquivos de programas\DR_S\DR_S.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [boeline] C:\WINDOWS\boeline.exe

O4 - Global Startup: GetRight.lnk = C:\Arquivos de programas\GetRight\getright.exe

O4 - Global Startup: Autodetect.lnk = C:\Revista\CDRom118\Photolightning\autodetect.exe

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O8 - Extra context menu item: Abrir com o GetRight Browser - C:\ARQUIV~1\GETRIGHT\GRbrowse.htm

O8 - Extra context menu item: Download com o GetRight - C:\ARQUIV~1\GETRIGHT\GRdownload.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Tradu&zir - file://C:\Arquivos de programas\Kounen\TraduzWeb\2.0p\bin\tw.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1093842853890

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\ewido\security suite\ewidoguard.exe

O23 - Service: Serviço do Auto-Protect do Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Arquivos de programas\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Arquivos de programas\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\CCPD-LC\symlcsvc.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

Estas entradas continuam:

O4 - HKCU\..\Run: [DR_S] C:\Arquivos de programas\DR_S\DR_S.exe

O4 - HKCU\..\Run: [boeline] C:\WINDOWS\boeline.exe

Faça uma busca por este arquivo no PC > SYSSFITB.EXE

Informe se encontrou e onde.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Fiz a busca do arquivo SYSSFITB.EXE e não encontrei nada. Aguardo novas instruções.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Copie e salve no bloco de notas, este texto abaixo em azul:

C:\WINDOWS\boeline.exe

C:\Arquivos de programas\DR_S\DR_S.exe

Configure o Windows para mostrar todos os arquivos

Salve ou imprima estas instruções:

1 - No Painel de Controle > Adicionar/Remover Programas, desinstale: DR_S

2 - Copie o texto que salvou no bloco de notas. Rode o KillBox e marque Delete on Reboot, no menu File clique em Paste from Clipboard.

Clique no botão com o X, em Yes e em No.

Quando o KillBox der o reboot, entre em modo de segurança apertando F8 intermitentemente.

3 - Faça um full scan com o Ewido. Salve o log.

4 - Faça um scan com o HijackThis, marque as entradas abaixo, que ainda encontrar e clique em Fix checked:

O4 - HKCU\..\Run: [DR_S] C:\Arquivos de programas\DR_S\DR_S.exe

O4 - HKCU\..\Run: [boeline] C:\WINDOWS\boeline.exe

5 - Procure por pastas e arquivos com o nome DR_S e delete.

6 - Iniciar > Executar > digite: regedit > OK

Procure nestas chaves:

HKCR\ > a sub-chave drs.n

HKCU\Software\ > a sub-chave DR_S

Delete apenas as sub-chaves se as encontrar.

7 - Rode o CCleaner clicando em Executar Cleaner.

8 - Reinicie em modo normal, faça um scan com o HijackThis e salve o log.

Poste os logs > Ewido e HijackThis.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Quanto suas instruções:

1 - No Painel de Controle > Adicionar/Remover Programas, desinstale: DR_S

Não encontrei nenhum programa com este nome para desinstalar

4 - Faça um scan com o HijackThis, marque as entradas abaixo, que ainda encontrar e clique em Fix checked:

O4 - HKCU\..\Run: [DR_S] C:\Arquivos de programas\DR_S\DR_S.exe

O4 - HKCU\..\Run: [boeline] C:\WINDOWS\boeline.exe

Não encontrei nenhuma entrada acima citada

5 - Procure por pastas e arquivos com o nome DR_S e delete.

Não encontrei nenhuma pasta ou arquivo com este nome

6 - Iniciar > Executar > digite: regedit > OK

Procure nestas chaves:

HKCR\ > a sub-chave drs.n

HKCU\Software\ > a sub-chave DR_S

Não encontrei nenhuma das sub-chaves acima p/ deletar

Abaixo estou postando os logs solicitados:

LOG DO EWIDO

---------------------------------------------------------

ewido security suite - Relatório de verificação

---------------------------------------------------------

+ Criado em: 05:14:49, 5/11/2005

+ Relatório-Checksum: C534CEFB

+ Resultado da verificação:

Não foram encontrados ficheiros infectados!

::Fim do Relatório

LOG DO HIJACKTHIS

Logfile of HijackThis v1.99.1

Scan saved at 05:36:36, on 05/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\DVDRAMSV.exe

C:\Arquivos de programas\ewido\security suite\ewidoctrl.exe

C:\Arquivos de programas\ewido\security suite\ewidoguard.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\Arquivos de programas\Norton AntiVirus\navapsvc.exe

C:\Arquivos de programas\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\GetRight\getright.exe

C:\WINDOWS\system32\RAMASST.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Hijack Thiis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.0.10:80

O3 - Toolbar: Tradu&zWeb - {2d43d3a4-ec29-11d2-8ade-0020182cecb3} - C:\Arquivos de programas\Kounen\TraduzWeb\2.0p\bin\TWeb.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Arquivos de programas\Norton AntiVirus\NavShExt.dll (file missing)

O4 - HKLM\..\Run: [ulead Memory Card Detector] C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [soundMAXPnP] C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMax] "C:\Arquivos de programas\Analog Devices\SoundMAX\smax4.exe" /tray

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [TraduzU.exe] C:\ARQUIV~1\KOUNEN\TRADUZ~1\2.0p\bin\TraduzU.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [DR_S] C:\Arquivos de programas\DR_S\DR_S.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [boeline] C:\WINDOWS\boeline.exe

O4 - Global Startup: GetRight.lnk = C:\Arquivos de programas\GetRight\getright.exe

O4 - Global Startup: Autodetect.lnk = C:\Revista\CDRom118\Photolightning\autodetect.exe

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O8 - Extra context menu item: Abrir com o GetRight Browser - C:\ARQUIV~1\GETRIGHT\GRbrowse.htm

O8 - Extra context menu item: Download com o GetRight - C:\ARQUIV~1\GETRIGHT\GRdownload.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Tradu&zir - file://C:\Arquivos de programas\Kounen\TraduzWeb\2.0p\bin\tw.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1093842853890

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\ewido\security suite\ewidoguard.exe

O23 - Service: Serviço do Auto-Protect do Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Arquivos de programas\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Arquivos de programas\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\CCPD-LC\symlcsvc.exe

Pelo que pude notar, as duas entradas (boeline e DRS) ainda continuam. Aguardo mais instruções.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Como as entradas só aparecem em modo normal, então continue assim. Marque-as e clique em Fix checked:

O4 - HKCU\..\Run: [DR_S] C:\Arquivos de programas\DR_S\DR_S.exe

O4 - HKCU\..\Run: [boeline] C:\WINDOWS\boeline.exe

Poste um novo log.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Novo log do HijackThis depois de marcar as duas entradas

Logfile of HijackThis v1.99.1

Scan saved at 23:18:48, on 05/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\DVDRAMSV.exe

C:\Arquivos de programas\ewido\security suite\ewidoctrl.exe

C:\Arquivos de programas\ewido\security suite\ewidoguard.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\Arquivos de programas\Norton AntiVirus\navapsvc.exe

C:\Arquivos de programas\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\GetRight\getright.exe

C:\WINDOWS\system32\RAMASST.exe

C:\WINDOWS\system32\msiexec.exe

C:\Hijack Thiis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

O3 - Toolbar: Tradu&zWeb - {2d43d3a4-ec29-11d2-8ade-0020182cecb3} - C:\Arquivos de programas\Kounen\TraduzWeb\2.0p\bin\TWeb.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Arquivos de programas\Norton AntiVirus\NavShExt.dll (file missing)

O4 - HKLM\..\Run: [ulead Memory Card Detector] C:\Arquivos de programas\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [soundMAXPnP] C:\Arquivos de programas\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMax] "C:\Arquivos de programas\Analog Devices\SoundMAX\smax4.exe" /tray

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [TraduzU.exe] C:\ARQUIV~1\KOUNEN\TRADUZ~1\2.0p\bin\TraduzU.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: GetRight.lnk = C:\Arquivos de programas\GetRight\getright.exe

O4 - Global Startup: Autodetect.lnk = C:\Revista\CDRom118\Photolightning\autodetect.exe

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O8 - Extra context menu item: Abrir com o GetRight Browser - C:\ARQUIV~1\GETRIGHT\GRbrowse.htm

O8 - Extra context menu item: Download com o GetRight - C:\ARQUIV~1\GETRIGHT\GRdownload.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Tradu&zir - file://C:\Arquivos de programas\Kounen\TraduzWeb\2.0p\bin\tw.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1093842853890

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{839D33CF-8024-4CD5-BD5E-76ACC8C7ED9F}: NameServer = 201.10.120.3 201.10.1.2

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\ewido\security suite\ewidoguard.exe

O23 - Service: Serviço do Auto-Protect do Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Arquivos de programas\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Arquivos de programas\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\CCPD-LC\symlcsvc.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

Agora o log está limpo. :-BEER

Para finalizar, vá no Painel de Controle > Sistema > Restauração do Sistema > marque Desativar a restauração do sistema > Aplicar > OK.

Depois desmarque novamente.

Leia este artigo Proteja seu PC para evitar novas infecções.

Se você não tem mais problemas, clique no botão Alertar e diga que o problema está resolvido.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Antes de mais nada, gostaria de agradecer a paciência e pronta disposição em resolver o problema de infecção de meu PC. Resta ainda uma última dúvida.

O que faço com os arquivos que estão em quarentena no Ewido? Deleto eles ou deixo em quarentena? A mesma pergunta vale para o backup que o hijackthis gerou das entradas que deletei.

E por último, depois da infecção, quando inicio o windows, ao carregar os programas, abre uma janela do windows instaler dizendo que o pc está se preparando para instalar, mas não fala qual programa. Na sequência, abre uma janela em cima desta, com a seguinte mensagem: "Norton antivirus 2005 does not support the repair features, please uninstall and reinstall". Esta mensagem está pedindo para que eu desinstale e reinstale o Norton, não é? Se não for isso, por gentileza me oriente o que devo fazer. Esta mensagem continua aparecendo mesmo depois de meu log estar limpo. Aguardo sua resposta. Obrigado.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Poderá ser este:

HKLM\SOFTWARE\Classes\CLSID\{4F869C58-D71D-4850-8BDD-7B5CDF8EC911} -> Spyware.iBest : Limpo com backup

http://castlecops.com/clsid-774.html

O Ewido considerou malicioso mas não é. Restaure do backup os ítens do iBest.

Desde o primeiro log que você postou, a entrada da Toolbar do Norton aparece assim:

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Arquivos de programas\Norton AntiVirus\NavShExt.dll (file missing)

file missing > sem o arquivo

Fez algo ou sabe explicar porque está assim?

Provavelmente é por isso que o Norton está pedindo para ser reinstalado, pois é um componente importante do anti vírus.

Compartilhar este post


Link para o post
Compartilhar em outros sites

O Norton, até a infecção , estava carregando e funcionando normalmente. Esta mensagem de instalação começou a surgir logo após a contaminação. Que eu me lembre, não fiz nada de anormal para que ele esteja assim. Pelo sim, pelo não, vou desinstalar e reinstalar o Norton.

Quanto aos backups do Hijackthis e quarentena do ewido, restaurando os do Ibest, posso deletar o restante? Eu lembro que antes, de vez em quando abria uma popup do ibest com propaganda do site, mesmo tendo bloqueador de popups. Isto não vai retornar, se eu retaurar todos as entradas do Ibest?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Se o iBest funciona normal, não restaure ainda. Primeiro reinstale o Norton e se continuar o problema com o Windows installer, o jeito vai ser restaurar os ítens do iBest ou reinstalá-lo.

Pode deletar os ítens dos backups do HijackThis e do Ewido, só mantendo o do iBest se for precisar restaurar.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Reinstalei o Norton e o problema do Windows Installer foi resolvido. Devia ser no Norton o problema mesmo. Então posso deletar todos os backups e quarentena do Hijackthis e Ewido, inclusive os do ibest, não é?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Pode deletar tudo, tanto do Ewido como do HijackThis, já que o problema era com o Norton e o iBest está funcionando normal e sem os pop-ups.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok. Vou fazer isto. Acredito que está tudo ok :joia: . Mais uma vez, muito obrigado pela presteza e paciência que dispensou para com este meu problema :palmas: . Estou alertando a moderação para dizer que meu problema está resolvido. Obrigado. :-BEER

Compartilhar este post


Link para o post
Compartilhar em outros sites

CASO RESOLVIDO!

Caso o autor do tópico necessite, o mesmo será reaberto, para isso o mesmo deverá procurar um Moderador da área e solicitar o desbloqueio!

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...

GRÁTIS: minicurso “Como ganhar dinheiro montando computadores”

Gabriel TorresGabriel Torres, fundador e editor executivo do Clube do Hardware, acaba de lançar um minicurso totalmente gratuito: "Como ganhar dinheiro montando computadores".

Você aprenderá sobre o quanto pode ganhar, como cobrar, como lidar com a concorrência, como se tornar um profissional altamente qualificado e muito mais!

Inscreva-se agora!