Ir ao conteúdo
  • Cadastre-se
Entre para seguir isso  
phbsapo

Virus não deixa me conectar

Recommended Posts

Olá,

Tem um ou mais virus chatos o meu computador que não me deixa conectar - minha conexão é discada, e parece interferir nos downloads também. Uso o AVG e o Ad-ware, e eles até que de vez em quando pegam eles, mas não conseguem dar o heal. Alguém poderia me ajudar? :help:

baixei o hijackthis e esse é o log dele:

Logfile of HijackThis v1.99.1

Scan saved at 19:52:43, on 11/12/2005

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\shost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\pctspk.exe

C:\WINNT\System32\conish.exe

C:\WINNT\loadqm.exe

C:\Arquivos de programas\Winamp\winampa.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINNT\System32\internat.exe

C:\Arquivos de programas\Samsung\Digimax Viewer 1.0\DigimaxViewer.exe

C:\Arquivos de programas\Discador iBest\discador.exe

C:\WINNT\Explorer.exe

C:\WINNT\system32\cmd.exe

C:\WINNT\system32\cmd.exe

C:\WINNT\system32\ftp.exe

C:\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\System32\wvwwv.dll (file missing)

O2 - BHO: ATLDistrib Object - {3FE36807-69ED-45D1-B9BE-85C0E3F75B6A} - C:\WINNT\System32\iiijh.dll

O2 - BHO: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\ARQUIV~1\IGV6\igshop.dll (file missing)

O3 - Toolbar: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\ARQUIV~1\IGV6\igshop.dll (file missing)

O3 - Toolbar: Discador iBest - {4F869C58-D71D-4850-8BDD-7B5CDF8EC911} - C:\Arquivos de programas\Discador iBest\ibestbar.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [MSN services] conish.exe

O4 - HKLM\..\Run: [Windows32] zlip.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe

O4 - HKLM\..\RunServices: [MS-patch333] winservices.exe

O4 - HKLM\..\RunServices: [MSN services] conish.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - Global Startup: Digimax Viewer 1.0.lnk = C:\Arquivos de programas\Samsung\Digimax Viewer 1.0\DigimaxViewer.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\ARQUIV~1\IGV6\igshop.dll (file missing)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B7427100-4EA0-4EC2-BFA4-1A87BC1E2EFA}: NameServer = 200.142.84.135 200.225.159.124

O20 - Winlogon Notify: awvtq - awvtq.dll (file missing)

O20 - Winlogon Notify: cbxya - cbxya.dll (file missing)

O20 - Winlogon Notify: iiijh - C:\WINNT\System32\iiijh.dll

O20 - Winlogon Notify: sstuv - sstuv.dll (file missing)

O20 - Winlogon Notify: wvwwv - wvwwv.dll (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe

Muito obrigado!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Baixe:

Vundo Removal Tool

Desconecte, remova o cabo da conexão do modem ou rede.

1 - Dê dois cliques no FixVundo.exe e clique depois em Start. Espere até o scan terminar. Reinicie e repita o scan e veja se aparece a mensagem de que está limpo do trojan Vundo.

Reconecte o cabo de conexão, faça um scan com o HijackThis, salve/poste o log e informe sobre a mensagem do Vundo

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok, finalmente consegui me reconectar de novo. Cada vez tenho q tentar mais de 10x... :bravo:

O log final do FixVundo:

Symantec Trojan.Vundo Removal Tool 1.5.0

The process "Explorer.exe" contained a viral thread (00000398). The thread was terminated.

The process "Explorer.exe" contained a viral thread (0000039C). The thread was terminated.

Trojan.Vundo has not been found on your computer.

E o log do hijack:

Logfile of HijackThis v1.99.1

Scan saved at 18:46:19, on 7/1/2006

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\shost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.exe

C:\WINNT\System32\pctspk.exe

C:\WINNT\System32\conish.exe

C:\WINNT\loadqm.exe

C:\Arquivos de programas\Winamp\winampa.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINNT\System32\internat.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Samsung\Digimax Viewer 1.0\DigimaxViewer.exe

C:\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

O2 - BHO: ATLDistrib Object - {3FE36807-69ED-45D1-B9BE-85C0E3F75B6A} - C:\WINNT\System32\iiijh.dll

O2 - BHO: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\ARQUIV~1\IGV6\igshop.dll (file missing)

O3 - Toolbar: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\ARQUIV~1\IGV6\igshop.dll (file missing)

O3 - Toolbar: Discador iBest - {4F869C58-D71D-4850-8BDD-7B5CDF8EC911} - C:\Arquivos de programas\Discador iBest\ibestbar.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [MSN services] conish.exe

O4 - HKLM\..\Run: [Windows32] zlip.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe

O4 - HKLM\..\RunServices: [MS-patch333] winservices.exe

O4 - HKLM\..\RunServices: [MSN services] conish.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - Global Startup: Digimax Viewer 1.0.lnk = C:\Arquivos de programas\Samsung\Digimax Viewer 1.0\DigimaxViewer.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\ARQUIV~1\IGV6\igshop.dll (file missing)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O20 - Winlogon Notify: awvtq - awvtq.dll (file missing)

O20 - Winlogon Notify: cbxya - cbxya.dll (file missing)

O20 - Winlogon Notify: iiijh - C:\WINNT\System32\iiijh.dll

O20 - Winlogon Notify: sstuv - sstuv.dll (file missing)

O20 - Winlogon Notify: wvwwv - wvwwv.dll (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINNT\shost.exe

Bom, o problema de conexão continua, mas parece que foi um pouco amenizado... mas pode ser impressão.

Compartilhar este post


Link para o post
Compartilhar em outros sites

É impressão. O Fix da Symantec não removeu o Vundo. Mas além dele existem outros malwares. Como é o pior, deve ser o primeiro a ser removido.

Configure o Windows para mostrar todos os arquivos

Desabilite temporariamente o seu Anti vírus. Baixe: VundoFix > salve na área de trabalho.

Salve ou imprima estas instruções:

1 - Dê dois cliques em cima do VundoFix.exe e na janela VundoFix Setup clique em Install > e em Close. Será criada a pasta VundoFix no desktop.

2 - Desconecte e remova o cabo do modem ou de rede. Reinicie o computador e aperte F8 intermitentemente. No menu escolha: modo seguro.

3 - Entre na pasta VundoFix e dê dois cliques em KillVundo.bat. Clique em Enter para aceitar as condições para o uso do programa.

4 - Quando ver esta mensagem > Please Type in the filepath as instructed by the fórum staff and then press enter: coloque:

C:\WINNT\System32\iiijh.dll

Clique em Enter

5 - Vai ver esta mensagem > Please type in the second filepath as instructed by the fórum staff then press enter: então coloque exatamente como está abaixo:

C:\WINNT\System32\hjiii.*

Clique em Enter.

6 - O HijackThis deve abrir automaticamente e caso isso não aconteça, abra, marque as entradas abaixo e clique em Fix checked:

O2 - BHO: ATLDistrib Object - {3FE36807-69ED-45D1-B9BE-85C0E3F75B6A} - C:\WINNT\System32\iiijh.dll

O20 - Winlogon Notify: awvtq - awvtq.dll (file missing)

O20 - Winlogon Notify: cbxya - cbxya.dll (file missing)

O20 - Winlogon Notify: iiijh - C:\WINNT\System32\iiijh.dll

O20 - Winlogon Notify: sstuv - sstuv.dll (file missing)

O20 - Winlogon Notify: wvwwv - wvwwv.dll (file missing)

7 - Após ter feito isso, feche o HijackThis e clique em Enter no VundoFix.

8 - Vá em Iniciar > Executar > digite: services.msc e clique em OK.

Procure o serviço Service Hosts, clique em cima com o direito e depois em Propriedades.

Pare o serviço e coloque o Tipo de Inicialização como desativado.

9 - Localize este arquivo e delete: shost.exe

está em C:\WINNT\shost.exe <<< aqui

10 - Abra novamente o HijackThis, clique no botão Open the Misc Tools section e depois em Delete an NT service.

Coloque isto: Service Hosts

Clique em OK.

11 - Reinicie em modo normal , coloque o cabo de conexão e habilite o Anti vírus.

12 - Faça um scan com o HijackThis e salve/poste o log. Poste também o vundofix.txt que verá na pasta VundoFix.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok, feito.

No passo 8 tive que reiniciar o computador, pois a barra de tarefas e o botão iniciar sumiu. Reiniciei no modo de segurança e continuei normalmente.

No passo 10, ele não achou o serviço especificado.

Log do Vundofix:

VundoFix V2.15 by Atri

--------------------------------------------------------------------------------------

Listing files contained in the vundofix folder.

--------------------------------------------------------------------------------------

ReadMe.txt

killvundo.bat

process.exe

vundo.reg

vundofix.txt

--------------------------------------------------------------------------------------

Filepaths entered

--------------------------------------------------------------------------------------

The filepath entered was c:\winnt\system32\iiijh.dll

The second filepath entered was c:\winnt\system32\hjiii.*

--------------------------------------------------------------------------------------

Log from Process

--------------------------------------------------------------------------------------

Killing PID 104 'smss.exe'

Killing PID 428 'explorer.exe'

Killing PID 152 'winlogon.exe'

--------------------------------------------------------------------------------------

c:\winnt\system32\iiijh.dll Deleted sucessfully.

c:\winnt\system32\hjiii.* Deleted sucessfully.

Fixing Registry

--------------------------------------------------------------------------------------

Log do Hijack:

Logfile of HijackThis v1.99.1

Scan saved at 00:26:36, on 8/1/2006

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.exe

C:\WINNT\System32\pctspk.exe

C:\WINNT\System32\conish.exe

C:\WINNT\loadqm.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINNT\System32\internat.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

O2 - BHO: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\ARQUIV~1\IGV6\igshop.dll (file missing)

O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINNT\System32\urspp.dll

O3 - Toolbar: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\ARQUIV~1\IGV6\igshop.dll (file missing)

O3 - Toolbar: Discador iBest - {4F869C58-D71D-4850-8BDD-7B5CDF8EC911} - C:\Arquivos de programas\Discador iBest\ibestbar.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [MSN services] conish.exe

O4 - HKLM\..\Run: [Windows32] zlip.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe

O4 - HKLM\..\RunServices: [MS-patch333] winservices.exe

O4 - HKLM\..\RunServices: [MSN services] conish.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - Global Startup: Digimax Viewer 1.0.lnk = C:\Arquivos de programas\Samsung\Digimax Viewer 1.0\DigimaxViewer.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\ARQUIV~1\IGV6\igshop.dll (file missing)

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O20 - Winlogon Notify: urspp - C:\WINNT\SYSTEM32\urspp.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Parece que esse se foi... qual o próximo passo?

Compartilhar este post


Link para o post
Compartilhar em outros sites

O Vundo continua. Baixe:

Ewido > instale, atualize, mas não use ainda.

CCleaner > instale, mas também não use.

Copie e salve no Bloco de notas, este texto em azul:

C:\WINNT\system32\conish.exe

C:\WINNT\system32\zlip.exe

C:\WINNT\system32\msupdate32.exe

C:\WINNT\system32\winservices.exe

Salve ou imprima estas instruções:

1 - Desabilite temporariamente o seu Anti vírus. Desconecte e remova o cabo do modem ou de rede.

Copie o texto que salvou no bloco de notas. Rode o KillBox e marque Delete on Reboot, no menu File clique em Paste from Clipboard.

Clique no botão com o X, em Sim e em Não.

Reinicie o computador e aperte F8 intermitentemente. No menu escolha: modo seguro.

2 - Entre na pasta VundoFix e dê dois cliques em KillVundo.bat. Clique em Enter para aceitar as condições para o uso do programa.

3 - Quando ver esta mensagem > Please Type in the filepath as instructed by the fórum staff and then press enter: coloque:

C:\WINNT\SYSTEM32\urspp.dll

Clique em Enter.

4 - Vai ver esta mensagem > Please type in the second filepath as instructed by the fórum staff then press enter: então coloque exatamente como está abaixo:

C:\WINNT\SYSTEM32\ppsru.*

Clique em Enter.

5 - O HijackThis deve abrir automaticamente e caso isso não aconteça, abra, marque as entradas abaixo e clique em Fix checked:

O2 - BHO: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\ARQUIV~1\IGV6\igshop.dll (file missing)

O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINNT\System32\urspp.dll

O3 - Toolbar: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - C:\ARQUIV~1\IGV6\igshop.dll (file missing)

O4 - HKLM\..\Run: [MSN services] conish.exe

O4 - HKLM\..\Run: [Windows32] zlip.exe

O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe

O4 - HKLM\..\RunServices: [MS-patch333] winservices.exe

O4 - HKLM\..\RunServices: [MSN services] conish.exe

O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\ARQUIV~1\IGV6\igshop.dll (file missing)

O20 - Winlogon Notify: urspp - C:\WINNT\SYSTEM32\urspp.dll

6 - Após ter feito isso, feche o HijackThis e clique em Enter no VundoFix.

7 - Reinicie o PC em modo de segurança novamente e faça um full scan com o Ewido. Salve o resultado.

8 - Rode o CCleaner, clicando em Executar Cleaner.

9 - Reinicie em modo normal, coloque o cabo de conexão e habilite o Anti vírus.

10 - Faça um scan com o HijackThis e salve o log.

Poste:

vundofix.txt

resultado do Ewido

log do HijackThis

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá,

tive problemas ao efetuar os passos anteriores. Não tinha o killbox, então baixei. Instalei o ewido e o Cleaner, e eles até detectaram malware, mas não fiz nada. O Avg também detectou o vírus, mas não conseguia dar o heal.

Ao copiar para o killbox, o paste from clipboard não funcionava, simplesmente não colava nada. Tentei colar um por um manulamente, separado por espaços, e a seguinte mensagem ocorreu:

"PendingFileRenameOperation Registry Data has benn removed by external process"

tentei executar o killbox no modo de segurança e não funcionou também. Também tentei dar o killbox em um por um, sem sucesso.

É uma boa ideia passar os antivírus agora, antes de continuar? O computador está estranho, tenho difucldades pra fazer algumas operções simples as vezes (conectar, colar, etc), e talvez passanod os antivirus melhore? Ou tem perigo de piorar o que fiz até agora?

Qual a orientação?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Realize os procedimentos a partir do passo 2, usando o VundoFix, mas entre antes em modo de segurança.

Siga até o passo 10 sem pular nada e o que for detectado pelo Ewido é para remover. Não sei se já consertam este bug no Ewido mas só coloque para serem ignorados estes ítens:

C:\WINDOWS\NOTEPAD.EXE -> Hijacker.StartPage.adh

C:\WINDOWS\system32\dllcache\notepad.exe -> Hijacker.StartPage.adh

C:\WINDOWS\system32\notepad.exe -> Hijacker.StartPage.adh

É o seu Bloco de notas que está sendo erroneamente detectado como um trojan StartPage.

Esta também: Heuristic.Win32.Dialer, se for do seu Discador. Ex:

C:\Arquivos de programas\Discador Positivo\discador.exe -> Heuristic.Win32.Dialer

Compartilhar este post


Link para o post
Compartilhar em outros sites

ok, feito.

Esses não forma achados no log do hijackthis:

O4 - HKLM\..\Run: [MSN services] conish.exe

O4 - HKLM\..\RunServices: [MSN services] conish.exe

e este

O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINNT\System32\urspp.dll

tinha um ATLDistrib object no lugar do (no name). Selecionei mesmo assim.

Os outros estavam normal.

log do ewido:

---------------------------------------------------------

ewido anti-malware - Relatório de verificação

---------------------------------------------------------

+ Criado em: 17:15:21, 8/1/2006

+ Relatório-Checksum: 97BDD4D9

+ Resultado da verificação:

C:\Arquivos de programas\POPDiscador\PopDiscador.exe -> Heuristic.Win32.Dialer : Ignorado

C:\Arquivos de programas\Discador iBest\discador.exe -> Heuristic.Win32.Dialer : Ignorado

HKLM\SOFTWARE\Classes\CLSID\{4F869C58-D71D-4850-8BDD-7B5CDF8EC911} -> Spyware.iBest : Limpo com backup

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{4F869C58-D71D-4850-8BDD-7B5CDF8EC911} -> Spyware.iBest : Limpo com backup

C:\Arquivos de programas\n-CASE -> Spyware.180Solutions : Limpo com backup

C:\Arquivos de programas\n-CASE\fiz20 -> Spyware.180Solutions : Limpo com backup

C:\Arquivos de programas\n-CASE\swiss.ico -> Spyware.180Solutions : Limpo com backup

C:\Arquivos de programas\n-CASE\pillvault_jpg_32x32.ico -> Spyware.180Solutions : Limpo com backup

C:\WINNT\system32\ljjhg.dll -> Downloader.ConHook.s : Limpo com backup

C:\WINNT\system32\gebxx.dll -> Downloader.ConHook.s : Limpo com backup

C:\WINNT\system32\oppqn.dll -> Downloader.ConHook.s : Limpo com backup

C:\WINNT\system32\byxuu.dll -> Downloader.ConHook.s : Limpo com backup

C:\WINNT\system32\hgdby.dll -> Downloader.ConHook.s : Limpo com backup

C:\WINNT\system32\rdriv.sys -> Trojan.Rootkit.k : Limpo com backup

C:\WINNT\system32\mmf32.exe -> Worm.Nanspy.i : Limpo com backup

C:\WINNT\system32\efeda.dll -> Downloader.ConHook.s : Limpo com backup

C:\WINNT\system32\byxyx.dll -> Downloader.ConHook.s : Limpo com backup

C:\WINNT\system32\rqonl.dll -> Downloader.ConHook.s : Limpo com backup

C:\WINNT\system32\TFTP1112 -> Backdoor.Rbot : Limpo com backup

C:\WINNT\system32\TFTP712 -> Backdoor.Rbot : Limpo com backup

C:\WINNT\system32\wvwvw.dll -> Downloader.ConHook.s : Limpo com backup

C:\WINNT\system32\eraseme_61426.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_76757.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_01110.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_32847.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_73611.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_23506.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_14364.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\qopqp.dll -> Downloader.ConHook.s : Limpo com backup

C:\WINNT\system32\TFTP824 -> Heuristic.Win32.Morphine-Crypted : Limpo com backup

C:\WINNT\system32\fccda.dll -> Downloader.ConHook.s : Limpo com backup

C:\WINNT\system32\TFTP2160 -> Heuristic.Win32.Morphine-Crypted : Limpo com backup

C:\WINNT\system32\cbxvv.dll -> Downloader.ConHook.s : Limpo com backup

C:\WINNT\system32\yabcy.dll -> Downloader.ConHook.s : Limpo com backup

C:\WINNT\system32\asn2.exe -> Backdoor.Rbot.aht : Limpo com backup

C:\WINNT\system32\ssqoo.dll -> Downloader.ConHook.s : Limpo com backup

C:\WINNT\system32\TFTP1180 -> Backdoor.Rbot.adf : Limpo com backup

C:\WINNT\system32\TFTP1184 -> Backdoor.Rbot : Limpo com backup

C:\WINNT\system32\TFTP1280 -> Backdoor.Rbot.adf : Limpo com backup

C:\WINNT\system32\TFTP1232 -> Backdoor.Codbot.at : Limpo com backup

C:\WINNT\system32\eraseme_00347.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_22051.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_11144.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_13263.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_10358.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_63225.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_15720.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_20647.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_13775.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_42342.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_18377.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_03240.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_81650.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_26314.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_83820.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_56526.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_58207.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_13418.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_53231.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_70883.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_37830.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_17024.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_55105.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_34228.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_32655.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_05747.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_08342.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\winproxy32.exe -> Backdoor.Codbot.at : Limpo com backup

C:\WINNT\shost.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\GXOJCV2R\winapi[1].exe/winapi32.exe -> Dropper.Small.aju : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\GXOJCV2R\winapi[1].exe/winapi64.exe -> Proxy.Ranky.dg : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\GXOJCV2R\winapi[2].exe/winapi32.exe -> Dropper.Small.aju : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\GXOJCV2R\winapi[2].exe/winapi64.exe -> Proxy.Ranky.dg : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\GXOJCV2R\winapi[3].exe/winapi32.exe -> Dropper.Small.aju : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\GXOJCV2R\winapi[3].exe/winapi64.exe -> Proxy.Ranky.dg : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\GXOJCV2R\winapi[4].exe/winapi32.exe -> Dropper.Small.aju : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\GXOJCV2R\winapi[4].exe/winapi64.exe -> Proxy.Ranky.dg : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\G1Y7O1AV\winapi[1].exe/winapi32.exe -> Dropper.Small.aju : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\G1Y7O1AV\winapi[1].exe/winapi64.exe -> Proxy.Ranky.dg : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\G1Y7O1AV\winapi[2].exe/winapi32.exe -> Dropper.Small.aju : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\G1Y7O1AV\winapi[2].exe/winapi64.exe -> Proxy.Ranky.dg : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\CVIXYZ4N\winapi[1].exe/winapi32.exe -> Dropper.Small.aju : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\CVIXYZ4N\winapi[1].exe/winapi64.exe -> Proxy.Ranky.dg : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\81EBGHYF\winapi[1].exe/winapi32.exe -> Dropper.Small.aju : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\81EBGHYF\winapi[1].exe/winapi64.exe -> Proxy.Ranky.dg : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\81EBGHYF\winapi[2].exe/winapi32.exe -> Dropper.Small.aju : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\81EBGHYF\winapi[2].exe/winapi64.exe -> Proxy.Ranky.dg : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\81EBGHYF\winapi[3].exe/winapi32.exe -> Dropper.Small.aju : Limpo com backup

C:\Documents and Settings\Default User\Configurações locais\Temporary Internet Files\Content.IE5\81EBGHYF\winapi[3].exe/winapi64.exe -> Proxy.Ranky.dg : Limpo com backup

C:\Documents and Settings\Paulo\Configurações locais\Temp\scr32.com -> Backdoor.PcClient.gs : Limpo com backup

C:\Documents and Settings\Paulo\Configurações locais\Temp\zlip2.cpl -> Backdoor.Ledor : Limpo com backup

C:\Documents and Settings\Paulo\Configurações locais\Temp\temp.fr7123 -> Downloader.ConHook.s : Limpo com backup

C:\Documents and Settings\Paulo\Cookies\paulo@atdmt[1].txt -> Spyware.Cookie.Atdmt : Limpo com backup

:mozilla.43:C:\Documents and Settings\Paulo\Dados de aplicativos\Mozilla\Firefox\Profiles\3mgj48ke.default\cookies.txt -> Spyware.Cookie.Doubleclick : Limpo com backup

:mozilla.75:C:\Documents and Settings\Paulo\Dados de aplicativos\Mozilla\Firefox\Profiles\3mgj48ke.default\cookies.txt -> Spyware.Cookie.Tribalfusion : Limpo com backup

:mozilla.77:C:\Documents and Settings\Paulo\Dados de aplicativos\Mozilla\Firefox\Profiles\3mgj48ke.default\cookies.txt -> Spyware.Cookie.Overture : Limpo com backup

:mozilla.78:C:\Documents and Settings\Paulo\Dados de aplicativos\Mozilla\Firefox\Profiles\3mgj48ke.default\cookies.txt -> Spyware.Cookie.Overture : Limpo com backup

:mozilla.91:C:\Documents and Settings\Paulo\Dados de aplicativos\Mozilla\Firefox\Profiles\3mgj48ke.default\cookies.txt -> Spyware.Cookie.Revenue : Limpo com backup

:mozilla.105:C:\Documents and Settings\Paulo\Dados de aplicativos\Mozilla\Firefox\Profiles\3mgj48ke.default\cookies.txt -> Spyware.Cookie.Googleadservices : Limpo com backup

:mozilla.126:C:\Documents and Settings\Paulo\Dados de aplicativos\Mozilla\Firefox\Profiles\3mgj48ke.default\cookies.txt -> Spyware.Cookie.Mediaplex : Limpo com backup

C:\winapi23.exe/winapi32.exe -> Dropper.Small.aju : Limpo com backup

C:\winapi23.exe/winapi64.exe -> Proxy.Ranky.dg : Limpo com backup

C:\winapi32.exe -> Dropper.Small.aju : Limpo com backup

::Fim do Relatório

log do vundovix.txt:

VundoFix V2.15 by Atri

--------------------------------------------------------------------------------------

Listing files contained in the vundofix folder.

--------------------------------------------------------------------------------------

ReadMe.txt

killvundo.bat

process.exe

vundo.reg

vundofix.txt

--------------------------------------------------------------------------------------

Filepaths entered

--------------------------------------------------------------------------------------

The filepath entered was c:\winnt\system32\urspp.dll

The second filepath entered was c:\winnt\system32\ppsru.*

--------------------------------------------------------------------------------------

Log from Process

--------------------------------------------------------------------------------------

Killing PID 104 'smss.exe'

Killing PID 408 'explorer.exe'

Killing PID 152 'winlogon.exe'

--------------------------------------------------------------------------------------

c:\winnt\system32\urspp.dll Deleted sucessfully.

c:\winnt\system32\ppsru.* Deleted sucessfully.

Fixing Registry

--------------------------------------------------------------------------------------

log do hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 17:22:35, on 8/1/2006

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\System32\svchost.exe

C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe

C:\Arquivos de programas\ewido anti-malware\ewidoguard.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.exe

C:\WINNT\System32\pctspk.exe

C:\WINNT\loadqm.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINNT\System32\internat.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - Global Startup: Digimax Viewer 1.0.lnk = C:\Arquivos de programas\Samsung\Digimax Viewer 1.0\DigimaxViewer.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoguard.exe

O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe

parece que diminuiu bastante. Ainda tem muita coisa?

Compartilhar este post


Link para o post
Compartilhar em outros sites

O Vundo já se foi. Falta somente o W32/Tilebot que é o worm que está criando os serviços maliciosos.

Baixe > rdrivRem

Salve ou imprima estas instruções:

1 - Reinicie em modo de segurança. Vá em Iniciar > Executar > digite: services.msc e clique em OK.

Procure o serviço MicroSoft Media Tools, clique em cima com o direito e depois em Propriedades.

Pare o serviço e coloque o Tipo de Inicialização como desativado.

2 - Localize o rdrivrem.zip. Abra uma pasta no desktop e extraia os arquivos para ela.

Entre na pasta do rdrivRem e dê dois cliques no rdrivrem.bat e quando acabar o scan, será criado na pasta, o rdriv.txt.

3 - Localize este arquivo e delete: MSmedia.exe

está em C:\WINNT\MSmedia.exe <<< aqui

4 - Faça um full scan com o Ewido e salve o resultado.

5 - Rode o CCleaner.

6 - Abra o HijackThis, clique no botão Open the Misc Tools section e depois em Delete an NT service.

Coloque isto: MicroSoft Media Tools

Clique em OK.

7 - Reinicie em modo normal, faça um scan com o HijackThis e salve o log.

Poste:

rdriv.txt

resultado do Ewido

log do HijackThis

Compartilhar este post


Link para o post
Compartilhar em outros sites

ok, todos os passos foram feitos.

rdriv.txt:

~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~

~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~

~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~

~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~

rdriv.sys present!

WinRep.exe present!

~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~

resultado do Ewido:

---------------------------------------------------------

ewido anti-malware - Relatório de verificação

---------------------------------------------------------

+ Criado em: 20:21:47, 8/1/2006

+ Relatório-Checksum: 77E28DC9

+ Resultado da verificação:

C:\Arquivos de programas\POPDiscador\PopDiscador.exe -> Heuristic.Win32.Dialer : Ignorado

C:\Arquivos de programas\Discador iBest\discador.exe -> Heuristic.Win32.Dialer : Ignorado

HKLM\SOFTWARE\Classes\CLSID\{4F869C58-D71D-4850-8BDD-7B5CDF8EC911} -> Spyware.iBest : Limpo com backup

C:\WINNT\system32\msgame32.exe -> Backdoor.Rbot : Limpo com backup

C:\WINNT\system32\eraseme_44751.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_38470.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\system32\eraseme_61531.exe -> Backdoor.SdBot.aig : Limpo com backup

C:\WINNT\shost.exe -> Backdoor.SdBot.aig : Limpo com backup

:mozilla.15:C:\Documents and Settings\Paulo\Dados de aplicativos\Mozilla\Firefox\Profiles\3mgj48ke.default\cookies.txt -> Spyware.Cookie.Doubleclick : Limpo com backup

::Fim do Relatório

log do HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 20:28:38, on 8/1/2006

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\System32\svchost.exe

C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe

C:\Arquivos de programas\ewido anti-malware\ewidoguard.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.exe

C:\WINNT\System32\pctspk.exe

C:\WINNT\loadqm.exe

C:\Arquivos de programas\Winamp\winampa.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINNT\System32\internat.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Samsung\Digimax Viewer 1.0\DigimaxViewer.exe

C:\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - Global Startup: Digimax Viewer 1.0.lnk = C:\Arquivos de programas\Samsung\Digimax Viewer 1.0\DigimaxViewer.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\ewido anti-malware\ewidoguard.exe

Acho q ainda tem mais coisa pra tirar... estou certo?

Compartilhar este post


Link para o post
Compartilhar em outros sites

O log do HijackThis está limpo e o rdivRem removeu o rdriv.sys, que foi encontrado no Pre-run e no Post run já mostrava limpo:

~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~

rdriv.sys present!

WinRep.exe present!

~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~

Como está o PC?

Compartilhar este post


Link para o post
Compartilhar em outros sites

O PC ainda tem problemas. Tentei reconectar e tive problemas, não reconectei na primeira. Ora dá login/senha inválido, ora conecta.

Outra coisa estranha, uso o Firefox, e quando conecto na internet as vezes abre uma janela de propaganda no internet explorer.

E o que mais incomoda é que de vez em quando o computador fica extremamente lento. com Ctrl+Alt+Del, entro no gerenciador de tarefas e vejo qe o processo "svchost" ocupa mais de 95% da CPU.

E agora?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ok, vou passar hoje a noite e postar aqui.

Sam, muito obrigado pela ajuda que você está dando. Sei que demanda tempo e paciência. Valeu!

Compartilhar este post


Link para o post
Compartilhar em outros sites
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×