Ir ao conteúdo
  • Cadastre-se
Entre para seguir isso  
rodrigoshaller

SpySherif

Recommended Posts

Olá, me informaram que meu computador pode estar infectado com o SpySherif que pensei ser um programa do windows, agora devido a ele (acho eu) todos os meus planos de fundo estão bloqueados e no lugar do plano de fundo fica um quadrado escrito que meu computador está infectado por um malware e que eu devo usar uma ferramenta de remoção, por isso e por outras coisas, acho que estou com esse bendito spysherif.

Estou enviando o log do HIJACKTHIS para poderem analisar:

Logfile of HijackThis v1.99.1

Scan saved at 07:04:31, on 28/1/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Alwil Software\Avast4\setup\avast.setup

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\Documents and Settings\Zeus\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] C:\Arquivos de programas\Puxa Rápido\Atualiza.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [unSpyPC] "C:\Arquivos de programas\UnSpyPC\UnSpyPC.exe"

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1137878701622

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{45434ECE-3625-43AC-80CF-B1E697228352}: NameServer = 85.255.116.156,85.255.112.218

O17 - HKLM\System\CCS\Services\Tcpip\..\{55B425BF-B777-4F5B-B26C-0682ECAC8949}: NameServer = 85.255.116.156,85.255.112.218

O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Espero que possam me ajudar!!!

Um Abraço e muito obrigado...

:ZZZ:

Compartilhar este post


Link para o post
Compartilhar em outros sites

1) Faça o download do AutoRuns

http://www.sysinternals.com/Files/Autoruns.zip

Tire-o do ZIP.

Execute o Autoruns.exe

Espere ele fazer a análise.

Clique em File -> Save as

Salve o TXT.

Não copie o log inteiro aqui no fórum.

hospede o arquivo

http://www.rapidshare.de/

veja

e cola o link para analise

2) Abra o Bloco de Notas. Passe o mouse neste conteúdo (conteúdo -> que esta dentro do quote, ou que esta no branco sem o quote) e cola no bloco de notas. A palavra REGEDIT4 tem que estar na primeira linha do bloco de notas e não deve ter espaço. Apague *txt e copie remove.reg , e logo abaixo, salve como todos arquivos. Vai ficar uma extensão .reg. (quadradinho azul) ok? Salve-o em seu desktop.

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\

{BF69DF00-4734-477F-8257-27CD04F88779}]

[-HKEY_CURRENT_USER\Software\UnSpyPC]

[-HKEY_LOCAL_MACHINE\Software\UnSpyPC]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\UnSpyPC]

3) Vá ao Painel de Controle -> em Adicionar e Remover programas -> remova

C:\Arquivos de programas\UnSpyPC

4) Iniciar > Executar > cola regsvr32 /u -> veja como... agora de novo

> Na seqüência cola esta

regsvr32 /u msupdate32.dll

Reboot (desliga e liga computador) => Entra no modo de segurança apertando a tecla F8 onde você pode selecionar a opção "Modo Seguro" ou "Modo de Segurança"

Habilite o Windows para mostrar todos os arquivos (até ocultos). -> veja

•Veja o quadradinho na área de trabalho remove.reg -> dar 02 cliques nele -> de o aceite para inserir mudanças no registro -> ok

• Rode o HijackThis, clique em Do a system scan only e marque:

O4 - HKCU\..\Run: [unSpyPC] "C:\Arquivos de programas\UnSpyPC\UnSpyPC.exe"

O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)

Agora via Windows Explorer -> apaga a pasta e o arquivo

C:\Arquivos de programas\UnSpyPC

C:\WINDOWS\system32\msupdate32.dll

• Reinicie o computador normalmente

1.Faça um log do Silent Runners:

http://www.silentrunners.org

Faça o download do Silent Runners.vbs

Rode-o. Ele vai gerar um log, anexe-o na resposta.

Nota Importante: Você precisa do WMI para rodar o Silent Runners. Se o seu computador não tiver o WMI instalado, o Silent Runners vai te direcionar até o site da Microsoft, onde você deverá fazer o download do WMI, reiniciar o computador e depois fazer o log.

Obs: Libere a execução do script se o seu antivírus reclamar. O Silent Runners não é um script malicioso.

Faça o seguinte:

2.Faça o download do F-Secure Blacklight:

http://www.europe.f-secure.com/exclude/blacklight/blbeta.exe

Salve-o na área de trabalho e execute-o. Aceite o acordo.

Deixe marcado a opção Scan through windows explorer e clique em Scan.

Se ele encontrar qualquer arquivo, ignore. Queremos apenas o log.

Se alguma coisa aparecer mande o Blacklight renomear, com exceção dos arquivos:

• wbemtest.exe

• explorer.exe

• winlogon.exe

Esses arquivos são legítimos e podem ser detectados incorretamente pelo BlackLight, portantto ignore-os.

Ao final do scan, anexe o arquivo fsb-xxxxx.log (onde xxx são números) na sua resposta

3) Rode a Hijackthis e postar novo log no modo normal e cole tudo na sua resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caro SR.Ida, não consegui fazer este passo:

3) Vá ao Painel de Controle -> em Adicionar e Remover programas -> remova

C:\Arquivos de programas\UnSpyPC

Pois não tem nenhum programa com esse nome no adicionar e remover programas e nem no arquivos de programas!!!!

Não sei se fiz algo de errado + peço que me informe o que aconteceu!!!

Obrigado e espero seu retorno...

Compartilhar este post


Link para o post
Compartilhar em outros sites

Eis aqui o link do autoruns:

http://ul23.rapidshare.de/cgi-bin/upload.c...110476249374430

Aqui está o log do Silent Runners:

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:

---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"WindowsUpdate" = (empty string)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"avast!" = "C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe" [null data]

"Atualizador - Puxa Rápido" = "C:\Arquivos de programas\Puxa Rápido\Atualiza.exe" [null data]

"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]

"InCD" = "C:\Arquivos de programas\Ahead\InCD\InCD.exe" ["Ahead Software AG"]

"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]

"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extensão do 'Painel de controle' para panorâmica de vídeo"

-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extensão de ícone do HyperTerminal"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"

-> {CLSID}\InProcServer32\(Default) = "C:\Arquivos de programas\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]

"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]

"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Arquivos de programas\WinRAR\rarext.dll" [null data]

"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"

-> {CLSID}\InProcServer32\(Default) = "C:\Arquivos de programas\Ahead\InCD\incdshx.dll" ["Ahead Software AG"]

"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

INFECTION WARNING! "System" = "cskeb.exe" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

-> {CLSID}\InProcServer32\(Default) = "C:\Arquivos de programas\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\Arquivos de programas\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\Arquivos de programas\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"

-> {CLSID}\InProcServer32\(Default) = "C:\Arquivos de programas\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {CLSID}\InProcServer32\(Default) = "C:\Arquivos de programas\WinRAR\rarext.dll" [null data]

Group Policies [Description] {enabled Group Policy setting}:

------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001

[enables Active Desktop and prevents disabling it]

{User Configuration|Administrative Templates|Desktop|Active Desktop|

Enable Active Desktop}

Active Desktop and Wallpaper:

-----------------------------

Active Desktop enabled via Group Policy.

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Meus documentos\Rodrigo\Wallpapers\"

Enabled Screen Saver:

---------------------

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\

"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Winsock2 Service Provider DLLs:

-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:

------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{85D1F590-48F4-11D9-9669-0800200C9A66}\

"MenuText" = "Uninstall BitDefender Online Scanner v8"

"Exec" = "%windir%\bdoscandel.exe" [null data]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Arquivos de programas\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points

------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):

[strings]: SEARCH_PAGE_URL="&http://home.microsoft.com/intl/br/access/allinone.asp"

[strings]: SAFESITE_VALUE="search.msn.com.br"

Missing lines (compared with English-language version):

[strings]: 2 lines

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe"" [null data]

avast! iAVS4 Control Service, aswUpdSv, ""C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe"" [null data]

avast! Mail Scanner, avast! Mail Scanner, ""C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]

avast! Web Scanner, avast! Web Scanner, ""C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]

InCD Helper, InCDsrv, "C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe" ["Ahead Software AG"]

LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]

NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]

SmartLinkService, SLService, "slserv.exe" [" "]

Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

Print Monitors:

---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\

Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]

----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

DLL launch points and all Registry CLSIDs for dormant Explorer Bars,

use the -supp parameter or answer "No" at the first message box.

---------- (total run time: 24 seconds, including 5 seconds for message boxes)

Este aqui é o log do black light:

01/28/06 13:49:50 [info]: BlackLight Engine 1.0.30 initialized

01/28/06 13:49:50 [info]: OS: 5.1 build 2600 (Service Pack 2)

01/28/06 13:49:50 [Note]: 7019 4

01/28/06 13:49:50 [Note]: 7005 0

01/28/06 13:50:08 [Note]: 7006 0

01/28/06 13:50:08 [Note]: 7011 1416

01/28/06 13:50:08 [Note]: FSRAW library version 1.7.1014

01/28/06 13:50:38 [Note]: 7007 0

E finalmente, este é o log do HIJACKTHIS:

Logfile of HijackThis v1.99.1

Scan saved at 13:51:28, on 28/1/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Puxa Rápido\PuxaRapido.exe

C:\Documents and Settings\Zeus\Desktop\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] C:\Arquivos de programas\Puxa Rápido\Atualiza.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1137878701622

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2396873D-719F-4B33-919C-7F5BDC3117EF}: NameServer = 201.10.120.3 201.10.1.2

O17 - HKLM\System\CCS\Services\Tcpip\..\{45434ECE-3625-43AC-80CF-B1E697228352}: NameServer = 85.255.116.156,85.255.112.218

O17 - HKLM\System\CCS\Services\Tcpip\..\{55B425BF-B777-4F5B-B26C-0682ECAC8949}: NameServer = 85.255.116.156,85.255.112.218

O17 - HKLM\System\CS1\Services\Tcpip\..\{2396873D-719F-4B33-919C-7F5BDC3117EF}: NameServer = 201.10.120.3 201.10.1.2

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites
Postado Originalmente por rodrigoshaller Postado em Hoje+ 14:29 -->

Consegui!!! Estou vendo... Não achei o que estava procurando. Melhor assim!

Copie as instruções para o bloco de notas, ou imprima!

rodrigoshaller Hoje@ 07:20

me informaram que meu computador pode estar infectado com o SpySherif que pensei ser um programa do windows

Vamos ver:

Baixa o smitRem© noahdfear

http://noahdfear.geekstogo.com/click%20cou.../click.php?id=1

e salve o file em sua área de trabalho.

Reinicie o computador no Modo de Segurança apertando F8 (dando toques na tecla) logo que iniciar até aparecer um menu onde você pode selecionar a opção "Modo Seguro" ou "Modo de Segurança".

Abra o smitRem folder, dê um duplo click no RunThis.bat file para starter na ferramenta. Vai abrir o prompt, e você vai aguardar com paciência até que a ferramenta cumpra a limpeza e rastreamento no disco. Localize um arquivo texto com nome de smitfiles.txt que geralmente fica em -> C:/ ou partição de onde você executou a ferramenta.

Reinicie o computador

Postar o smitfiles.txt

Confirme se consegue mudar as configs de vídeo

Compartilhar este post


Link para o post
Compartilhar em outros sites

Antes, meu plano de fundo estava igual ao deste link:

http://forum.clubedohardware.com.br/index....21&hl=spysherif

Porém, já faz uns 2 dias, que eu entri em modo de segurança para tentar excluir todos os arquivos do dia anterior que poderiam ser os causadores do problema...

então reiniciei o PC e olha só como ficou o plano de fundo:(Baixe o arquivo)

http://rapidshare.de/files/12028969/imagem.bmp.html

Note que há um X no canto esquerdo superior da tela!

Será que devido a isso, não terei problemas para recolocar o plano de fundo?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Outra coisa.. Olha só o que o ewide encontrou:

__________________________________________________

ewido security suite online scanner

http://www.ewido.net

__________________________________________________

Name: Adware.SpySheriff

Path: HKU\S-1-5-21-1409082233-2049760794-839522115-1003\Software\SNO2

Risk: High

Isso não ajuda a resolver o problema?

Espero seu retorno!!!

Compartilhar este post


Link para o post
Compartilhar em outros sites

voce vai ter que me contar como aprendeu isso!!!

Cara você descobriu o problema... agora já era, ta tudo normal.

valeu Mesmo!!! Que deus te de em dobro hehehe

Só tem + uma coisinha, você não poderia me indicar um Firewall bom pra evitar que isso ocorra de novo!!!

valeu CARA BRIGADÃO...................

Compartilhar este post


Link para o post
Compartilhar em outros sites
Cara você descobriu o problema...

Tem mais + coisa ... volta ai

1. Download FixWareout from destes sites:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

2. Download wareout.reg

http://linhadefensiva.uol.com.br/files/reg/wareout.reg

Salve na sua área de trabalho. (obs. Depois q você usá-lo pode limpar do desktop)

- Abra o Painel de Controle > Adicionar e Remover Programas e desinstale o WareOut se estiver presente.

Agora fecha todos os programas para fluir a ferramenta -> Execute o - > FixWareout -> "Run fixit" - > "Finish" -> se a ferramenta pedir reboot -> aceite

-> veja lá o -> o arquivo C:\fixwareout\report.txt. -> no C:\fixwareout

Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"WindowsUpdate" = (empty string)

Iniciar -> executar -> escreve regedit -. com muito cuidado va de encontro nesta chave e delete com o mouse do lado direito -> WindowsUpdate

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "cskeb.exe" [file not found]

Dar 02 cliques no wareout.reg -> vão ser inceridas mudancas no registro! de o aceite!

encontre e se achar delete o cskeb.exe na pasta C:\WINDOWS\system32\

Reinicie

Encontre e postar o report.txt na pasta C:\fixwareout

Volte q tem mais uma etapa do DNS

Compartilhar este post


Link para o post
Compartilhar em outros sites

Aí vai o report:

Fixwareout ver 1.003

Last edited 1/12/2006

Post this report in the forums please

Reg Entries that were deleted

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\fjsmd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\daolnwodi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\lavinraCputeS

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

C:\WINDOWS\SYSTEM32\DMSJF.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

+ 1 coisinha.. O que é DNS?

Compartilhar este post


Link para o post
Compartilhar em outros sites
+ 1 coisinha.. O que é DNS?

o Trojan "Bagunçou" o seu DNS :sne: , é recomendavel que você contate o seu provedor de acesso a internet (fala com a/o atendente) e relate o :Baaa: problema, ...são essas as linhas:

veja no log hijackthis

O17 - HKLM\System\CCS\Services\Tcpip\..\{45434ECE-3625-43AC-80CF-B1E697228352}: NameServer = 85.255.116.156,85.255.112.218

O17 - HKLM\System\CCS\Services\Tcpip\..\{55B425BF-B777-4F5B-B26C-0682ECAC8949}: NameServer = 85.255.116.156,85.255.112.218

Se enrolar ... :crazy: (atendente+telefone+provedor+ninguém sabe nada)

outra coisa...

no log aparece 02 entradas legitimas com DNS certo

O17 - HKLM\System\CCS\Services\Tcpip\..\{2396873D-719F-4B33-919C-7F5BDC3117EF}: NameServer = 201.10.120.3 201.10.1.2

Sendo assim, temos que eliminar as entradas ruins, e ver se existe alguma “desova malware” durante este ínterim -> vista na entrada 04 na hijackthis.

-.-.-.-.-.-

Procedimento por conta (já deu certo, fica tranqüilo).

Agora vamos eliminar as entradas de no. 17 que foram adicionadas pelo malware.

1. Abra Conexões de Rede.

2. Clique com o botão direito do mouse na conexão de rede que deseja configurar e, em seguida, clique em Propriedades.

3. Na guia Geral (para uma conexão de rede local) ou na guia Rede (para todas as outras conexões), clique em Protocolo Internet (TCP/IP) e em Propriedades.

4. Se você deseja obter endereços do servidor DNS, a partir de um servidor DHCP, clique em Obter o endereço dos servidores DNS automaticamente.

• Pressionar OK

Agora iniciar -> executar -> escreve CMD -> ok

cola -> cd\

cola -> ipconfig /flushdns

(tem espaço entre o g e o / e da enter),

escreve exit -> enter para sair

para que nas propriedades voltem depois dar o reboot (desligar o micro, e ele voltar). IMPORTANTE!

Reinicie o computador no Modo de Segurança apertando F8 logo que iniciar até aparecer um menu onde você pode selecionar a opção "Modo Seguro" ou "Modo de Segurança". Não perde este pique.

Lá, rode o HijackThis, clique em Do a system scan only e marque:

O17 - HKLM\System\CCS\Services\Tcpip\..\{45434ECE-3625-43AC-80CF-B1E697228352}: NameServer = 85.255.116.156,85.255.112.218

O17 - HKLM\System\CCS\Services\Tcpip\..\{55B425BF-B777-4F5B-B26C-0682ECAC8949}: NameServer = 85.255.116.156,85.255.112.218

Reinicie e postar um novo log hijackthis no modo normal

Para terminar

Execute o -> ActiveScan

Veja se ficou resto malware no seu computador. (Mostra os 02 logs Panda e HJThis)

Compartilhar este post


Link para o post
Compartilhar em outros sites

Eis aqui o log do hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 05:08:36, on 30/1/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\Zeus\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] C:\Arquivos de programas\Puxa Rápido\Atualiza.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1137878701622

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

PS: o Panda, na hora que está baixando uma coisa no scan online, acusa um vírus, por isso achei melhor não faze-lo!!!

Compartilhar este post


Link para o post
Compartilhar em outros sites

Acabou! Da um pouco de trabalho, mas agora seu log se apresenta bom, sem nenhuma entrada ruim.

Para finalizar, vá ao Painel de Controle > Sistema > Restauração do Sistema > marque Desativar a restauração do sistema > Aplicar > OK.

Depois desmarque novamente.

Leia o artigo Proteja seu PC para evitar futuras infecções:

http://linhadefensiva.uol.com.br/artigos/proteja-seu-pc/

Postado Originalmente por rodrigoshaller 28 de janeiro de 2006@ 15:27

Só tem + uma coisinha, você não poderia me indicar um Firewall bom pra evitar que isso ocorra de novo!!!

http://linhadefensiva.uol.com.br/downloads/firewalls/

Se você não tem mais problemas, clique no botão Alertar e diga que o problema está resolvido.

Bye

Compartilhar este post


Link para o post
Compartilhar em outros sites

CASO RESOLVIDO!

Caso o autor do tópico necessite, o mesmo será reaberto, para isso o mesmo deverá procurar um Moderador da área e solicitar o desbloqueio!

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×