Ir ao conteúdo
  • Cadastre-se
Entre para seguir isso  
andrilei

SpySheriff

Recommended Posts

Opa, vi que vocês ajudam com o infecção por spysheriff, segue abaixo o log que consegui com o Hijack. Qual o próximo passo?

Logfile of HijackThis v1.99.1

Scan saved at 15:41:33, on 03/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WIN\System32\smss.exe

C:\WIN\system32\winlogon.exe

C:\WIN\system32\services.exe

C:\WIN\system32\lsass.exe

C:\WIN\system32\svchost.exe

C:\WIN\System32\svchost.exe

C:\WIN\Explorer.EXE

C:\WIN\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\WIN\system32\pctspk.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\WIN\system32\paytime.exe

C:\WIN\system32\ctfmon.exe

C:\WIN\system32\paytime.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WIN\System32\svchost.exe

C:\Arquivos de programas\RealVNC\VNC4\WinVNC4.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\WIN\system32\ntvdm.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\Windows Media Player\wmplayer.exe

C:\Arquivos de programas\Skype\Phone\Skype.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Outlook Express\msimn.exe

C:\Arquivos de programas\Spybot\Spybot - Search & Destroy\SpybotSD.exe

C:\Arquivos de programas\Spyware bazuca\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\Spybot\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WIN\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PayTime] C:\WIN\system32\paytime.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WIN\system32\ctfmon.exe

O4 - HKCU\..\Run: [PayTime] C:\WIN\system32\paytime.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Arquivos de programas\Internet Explorer\PLUGINS\nppdf32.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {9EC30204-384D-11D3-9CA3-00A024F0AF03} (ValidaUsuario Class) - https://cpne.bradesco.com.br/certifexp.cab

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://crisdilei.multiply.com/photos/uploader.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {B3D3825B-2120-4B0E-8C45-80ECC1D3E70D} (GeraCert Class) - https://bradesconetempresa.com.br/pj/CA.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Arquivos de programas\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Compartilhar este post


Link para o post
Compartilhar em outros sites

Baixe:

smitRem > Salve na área de trabalho.

Ewido

CCleaner

Siga as instruções de instalação dos programas, mas só use quando for pedido:

- Instale e atualize o Ewido.

- Instale o CCleaner.

- Dê um duplo-clique em smitRem.exe e clique em Start. A pasta smitRem será criada no desktop.

Salve ou imprima estas instruções:

1 - Reinicie o PC, aperte F8 intermitentemente e depois escolha no menu: modo seguro.

Vá na pasta smitRem. Dê um duplo-clique em RunThis.bat.

É normal o desktop e os ícones desaparecer/reaparecer. Espere o exame ser concluído. O log smitfiles.txt será criado na raiz do disco (em C:\).

2 - Faça um full scan com o Ewido. Salve o log.

3 - Rode o CCleaner, clicando em Executar Cleaner.

4 - Reinicie em modo normal, faça um scan com o HijackThis e salve o log.

Poste:

resultado do Ewido

smitfiles.txt

log do HijackThis

A sua área de trabalho está normal?

Compartilhar este post


Link para o post
Compartilhar em outros sites

OI, valeu pela ajuda!!!

Sou leigo para computadores.

O que quis dizer com salvar na área de trabalho e se ela está normal?

área de trabalho = desktop?

Sorry pelo completo desconhecimento!!!!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Sam Spade

Seguinte, segui as instruções e tudo correu beleza até o full scan com o Ewido. Clikei para rodar e apareceu no canto esquerdo uma tela quadrada do Ewido e no centro estava escrito "inactivo". Ficou um tempão assim e tentei fazer de novo mas não fez scan. E agora?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Sim, disse que não havia atualizações....

Vou tentar fazer o procedimento novamento.

É normal o mouse não funcionar no modo seguro?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Seguinte:

1) A área de trabalho ficou azul e o lay-out da barra de ferramentas e o tamanho dos ícones mudou um pouco.

2) O mouse não funcionou em modo seguro e não consegui rodar os programas em modo de segurança (Ewido e CCleaner); então rodei em modo normal.

Para o Ewido ele detectava várias coisas.

Continua aparecendo o C:\secure32.html quando abre o Internet Explore e uma tela azul com:

Detected SPYware! System error #384

__________________________________________________________________________

Your IP address is 200.103.129.189. Using this address a remote computer has gained anaccess to your computer and probably is collecting the information about the sites you've visited and the files contained in the folder Temporary Internet Files. Attention! Ask for help or install the software for deleting secret information about the sites you visited.

Segue abaixo os resultados pós scan:

Ewido:

ewido anti-malware - Relatório de verificação

---------------------------------------------------------

+ Criado em: 19:00:34, 03/01/2006

+ Relatório-Checksum: 266696FD

+ Resultado da verificação:

HKU\S-1-5-21-1957994488-839522115-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B83FC273-3522-4CC6-92EC-75CC86678DA4} -> Spyware.CnsMin : Ignorado

C:\Arquivos de programas\RealVNC\VNC4\wm_hooks.dll -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.4 : Ignorado

C:\WIN\hosts -> Trojan.Qhost.el : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@z1.adserver[1].txt -> Spyware.Cookie.Adserver : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@weborama[2].txt -> Spyware.Cookie.Weborama : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@fl01.ct2.comclick[2].txt -> Spyware.Cookie.Comclick : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@statcounter[1].txt -> Spyware.Cookie.Statcounter : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@adopt.euroclick[1].txt -> Spyware.Cookie.Euroclick : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@as-us.falkag[1].txt -> Spyware.Cookie.Falkag : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@tribalfusion[1].txt -> Spyware.Cookie.Tribalfusion : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@paypopup[1].txt -> Spyware.Cookie.Paypopup : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@valueclick[1].txt -> Spyware.Cookie.Valueclick : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@advertising[1].txt -> Spyware.Cookie.Advertising : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@servedby.advertising[2].txt -> Spyware.Cookie.Advertising : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@hypertracker[1].txt -> Spyware.Cookie.Hypertracker : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@www.paypopup[1].txt -> Spyware.Cookie.Paypopup : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@as-us.falkag[2].txt -> Spyware.Cookie.Falkag : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@fastclick[1].txt -> Spyware.Cookie.Fastclick : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@serving-sys[2].txt -> Spyware.Cookie.Serving-sys : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@trafficmp[2].txt -> Spyware.Cookie.Trafficmp : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@casalemedia[1].txt -> Spyware.Cookie.Casalemedia : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@trafficmp[3].txt -> Spyware.Cookie.Trafficmp : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@z1.adserver[2].txt -> Spyware.Cookie.Adserver : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@adtech[2].txt -> Spyware.Cookie.Adtech : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@casalemedia[3].txt -> Spyware.Cookie.Casalemedia : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@edge.ru4[1].txt -> Spyware.Cookie.Ru4 : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@citi.bridgetrack[1].txt -> Spyware.Cookie.Bridgetrack : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@hypertracker[2].txt -> Spyware.Cookie.Hypertracker : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@statcounter[3].txt -> Spyware.Cookie.Statcounter : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@com[2].txt -> Spyware.Cookie.Com : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@serving-sys[3].txt -> Spyware.Cookie.Serving-sys : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@adopt.euroclick[3].txt -> Spyware.Cookie.Euroclick : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@tribalfusion[3].txt -> Spyware.Cookie.Tribalfusion : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@2o7[2].txt -> Spyware.Cookie.2o7 : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@ads.addynamix[1].txt -> Spyware.Cookie.Addynamix : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@adopt.specificclick[2].txt -> Spyware.Cookie.Specificclick : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@server.iad.liveperson[1].txt -> Spyware.Cookie.Liveperson : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@bluestreak[1].txt -> Spyware.Cookie.Bluestreak : Ignorado

C:\System Volume Information\_restore{9EFAA467-1765-4BD9-9EC2-8936B25F14C6}\RP78\A0022989.exe -> Downloader.PassAlert.i : Ignorado

C:\System Volume Information\_restore{9EFAA467-1765-4BD9-9EC2-8936B25F14C6}\RP85\A0023973.exe -> Downloader.PassAlert.i : Ignorado

C:\System Volume Information\_restore{9EFAA467-1765-4BD9-9EC2-8936B25F14C6}\RP85\A0023993.exe -> Adware.SpySheriff : Ignorado

C:\System Volume Information\_restore{9EFAA467-1765-4BD9-9EC2-8936B25F14C6}\RP85\A0023999.exe -> Hijacker.StartPage.agq : Ignorado

C:\Documents and Settings\Andrilei\Cookies\andrilei@revenue[1].txt -> Spyware.Cookie.Revenue : Limpo com backup

::Fim do Relatório

O SMITFILES.TXT:

smitRem © log file

version 2.8

by noahdfear

Microsoft Windows XP [versÆo 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

checking for WinHound.com key

WinHound.com key not present!

spyaxe uninstaller NOT present

Winhound uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 Craig.Peacock@beyondlogic.org

Killing PID 744 'explorer.exe'

Starting registry repairs

Deleting files

Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN! :)

e o Log do HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 19:10:05, on 03/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WIN\System32\smss.exe

C:\WIN\system32\winlogon.exe

C:\WIN\system32\services.exe

C:\WIN\system32\lsass.exe

C:\WIN\system32\svchost.exe

C:\WIN\System32\svchost.exe

C:\WIN\Explorer.EXE

C:\WIN\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\WIN\system32\pctspk.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\WIN\system32\ctfmon.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe

C:\Arquivos de programas\ewido anti-malware\ewidoguard.exe

C:\WIN\System32\svchost.exe

C:\Arquivos de programas\RealVNC\VNC4\WinVNC4.exe

C:\WIN\system32\wuauclt.exe

C:\Arquivos de programas\Spyware bazuca\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\Spybot\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WIN\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WIN\system32\ctfmon.exe

O4 - HKCU\..\Run: [PayTime] C:\WIN\system32\paytime.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Arquivos de programas\Internet Explorer\PLUGINS\nppdf32.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {9EC30204-384D-11D3-9CA3-00A024F0AF03} (ValidaUsuario Class) - https://cpne.bradesco.com.br/certifexp.cab

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://crisdilei.multiply.com/photos/uploader.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {B3D3825B-2120-4B0E-8C45-80ECC1D3E70D} (GeraCert Class) - https://bradesconetempresa.com.br/pj/CA.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Arquivos de programas\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Compartilhar este post


Link para o post
Compartilhar em outros sites

Baixe > KillBox

Copie e salve no Bloco de Notas este texto em azul:

c:\secure32.html

C:\WIN\system32\paytime.exe

C:\WIN\hosts

Desconecte e se tem uma conexão que inicia com o PC, remova o cabo do modem ou rede.

1 - Copie o texto que salvou no bloco de notas. Rode o KillBox e marque Delete on Reboot, no menu File clique em Paste from Clipboard.

Clique no botão com o X, em Sim e em Não.

Reinicie o PC e faça um scan com o HijackThis, marque as entradas abaixo, que ainda encontrar e clique em Fix checked:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O4 - HKCU\..\Run: [PayTime] C:\WIN\system32\paytime.exe

Reinicie novamente o PC, faça um scan com o HijackThis e salve/poste o log.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom dia Sam

Segue abaixo o log após seguir as últimas instruções.

Notei que o PC estámeio lento somente. No entanto, ao iniciar o IE já não mais apareceu a tela azul do Spysheriff.

Preciso fazer mais alguma coisa? Muito obrigado mesmo pela ajuda.

Logfile of HijackThis v1.99.1

Scan saved at 10:03:19, on 04/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WIN\System32\smss.exe

C:\WIN\system32\winlogon.exe

C:\WIN\system32\services.exe

C:\WIN\system32\lsass.exe

C:\WIN\system32\svchost.exe

C:\WIN\System32\svchost.exe

C:\WIN\Explorer.EXE

C:\WIN\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\WIN\system32\pctspk.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\WIN\system32\ctfmon.exe

C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe

C:\Arquivos de programas\ewido anti-malware\ewidoguard.exe

C:\WIN\System32\svchost.exe

C:\Arquivos de programas\RealVNC\VNC4\WinVNC4.exe

C:\WIN\system32\wuauclt.exe

C:\Arquivos de programas\Spyware bazuca\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\Spybot\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WIN\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WIN\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Arquivos de programas\Internet Explorer\PLUGINS\nppdf32.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {9EC30204-384D-11D3-9CA3-00A024F0AF03} (ValidaUsuario Class) - https://cpne.bradesco.com.br/certifexp.cab

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - http://crisdilei.multiply.com/photos/uploader.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {B3D3825B-2120-4B0E-8C45-80ECC1D3E70D} (GeraCert Class) - https://bradesconetempresa.com.br/pj/CA.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Arquivos de programas\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Compartilhar este post


Link para o post
Compartilhar em outros sites

O log está limpo. Pode ser pelo acréscimo do Ewido na proteção, que o PC ficou um pouco mais lento.

Para finalizar, vá no Painel de Controle > Sistema > Restauração do Sistema > marque Desativar a restauração do sistema > Aplicar > OK.

Depois desmarque novamente.

Leia este artigo Proteja seu PC para evitar novas infecções.

Se você não tem mais problemas, clique no botão Alertar e diga que o problema está resolvido.

Um próspero 2006. :-BEER

Compartilhar este post


Link para o post
Compartilhar em outros sites

Boa tarde Sam Spade

Muito obrigado mesmo pela ajuda e parabéns pelo fórum. Muito importante este veículo de comunicação e o trabalho que vocês estão desenvolvendo.

Um abraço e feliz 2006

Andrilei :palmas:

Compartilhar este post


Link para o post
Compartilhar em outros sites

CASO RESOLVIDO!

Caso o autor do tópico necessite, o mesmo será reaberto, para isso o mesmo deverá procurar um Moderador da área e solicitar o desbloqueio!

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×