Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Lucita

Problemas com lerdeza de pc e internet por spy

Recommended Posts

Há alguns dias tenho tido uns probleminhas com lerdeza do pc, e com a internet, que envia mais dados do que recebe, enfim.. probleminhas causados por spys chatos eheh

E esses eu não consegui retirar.. tirei um log do HijackThis pra ver se alguém pode me ajudar a retirá-los.

---------------

Logfile of HijackThis v1.99.1

Scan saved at 13:14:51, on 7/3/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\D-Tools\daemon.exe

C:\Arquivos de programas\iolo\System Mechanic 5\StartupGuard.exe

C:\Arquivos de programas\Discador itelefonica\DiscadorCompitelefonica.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\mswmf32.exe

C:\WINDOWS\System32\MS22.exe

C:\Documents and Settings\Lucita\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Arquivos de programas\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Arquivos de programas\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKCU\..\Run: [system Mechanic Startup Guard] "C:\Arquivos de programas\iolo\System Mechanic 5\StartupGuard.exe"

O4 - HKCU\..\RunServices: [Windows Configuration GUI] systemconfig32.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{90D67771-A9CC-4495-9C31-850B4FF45AD0}: NameServer = 200.204.0.138 200.204.0.10

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe

O23 - Service: mswmf32 - Unknown owner - C:\WINDOWS\mswmf32.exe

Desde já, obrigada.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Faça o download do ATF Cleaner by Atribune

http://www.atribune.org/ccount/click.php?id=1

Unzip em seu desktop

2.Cole o atalho Panda ActiveScan em seu desktop.

Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

Iniciar -> Executar. Digite services.msc e clique em OK. Procure o service cavalo de tróia mswmf32 . Dê um clique direito nele e clique em Propriedades. Clique em Parar e troque o Tipo de Inicialização para Desativado.

Roda HJThis -> Open the misc Tools section -> Delete an NT Service

Na caixa coloque mswmf32, clique em "OK" e confirme.

Execute o HijackThis, clique em Do a System Scan Only, marque somente as entradas abaixo e dê Fix Checked.

O4 - HKCU\..\RunServices: [Windows Configuration GUI] systemconfig32.exe

O23 - Service: mswmf32 - Unknown owner - C:\WINDOWS\mswmf32.exe

Habilite o Windows para mostrar todos os arquivos (até ocultos). -> veja

Via Windows Explorer apague arquivos

C:\WINDOWS\mswmf32.exe

Dois cliques no ATF-Cleaner.exe para rodar a ferramenta.

Check (assinale) os seguintes boxes:

Windows Temp

Current User Temp

All Users Temp

Temporary Internet Files

Prefetch

Java Cache

clica Empty Selected. Aparece uma janela "Done Cleaning" clique OK e exit.

Reiniciar

Execute o -> Panda ActiveScan

Depois do Scan Panda, faz um log hijackthis e anexe o resultado Panda.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom, eu fiz isso aí e não resolveu... O problema persiste, e eu não consegui abrir o Hijackthis, acontece o mesmo de quando tenta abrir os processos e o msconfig, ele fecha rapidinho sozinho.

uma coisa: depois q eu fiz isso Iniciar -> Executar. Digite services.msc e clique em OK. Procure o service cavalo de tróia mswmf32 . Dê um clique direito nele e clique em Propriedades. Clique em Parar e troque o Tipo de Inicialização para Desativado.

Roda HJThis -> Open the misc Tools section -> Delete an NT Service

Na caixa coloque mswmf32, clique em "OK" e confirme.

não apareceu mais isso O23 - Service: mswmf32 - Unknown owner - C:\WINDOWS\mswmf32.exe pra ser deletado lá no scan do hijackthis, só apareceu a outra coisa, e eu fiz o que foi dito pra fazer.

Antes, com muito custo, eu tinha conseguido abrir os processos, porque enquanto ele da aquele 1 segundo antes de fechar sozinho, eu consegui finalizar o systemconfig32, mas agora ele ta aparecendo lá no fim da lista e não consigo mais ehehhe.

Bom, o scan do hijackthis não deu pra fazer, mas do panda sim, aí está:

------

Incident Status Location

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\Updater\acroaum.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adobe\Acrobat 7.0\Setup Files\RdrBig705\PTB\instmsiw.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adobe\Acrobat 7.0\Setup Files\RdrBig705\PTB\setup.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adware Away\AdAway.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adware Away\EnumAutoRun.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adware Away\EProcess.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adware Away\ScanAtStartup.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adware Away\screenshot.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adware Away\unins000.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Adware Away\Update.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Ahead\Nero\NeroCmd.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Ahead\Nero\WaveEditor\WaveEdit.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriver.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriver2.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\7\Intel 32\IDriver.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\InstallShield\Engine\6\Intel 32\IKernel.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\InstallShield\Professional\RunTime\0700\Intel32\DotNetInstaller.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\Java\Update\Base Images\jre1.5.0.b64\patch-jre1.5.0_06.b05\launcher.exe

Virus:W32/Roditrev.A Disinfected C:\Arquivos de programas\Arquivos comuns\Java\Update\Base Images\jre1.5.0.b64\patch-jre1.5.0_06.b05\patchjre.exe

Possible Virus. Not disinfected C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\I123STUJ\c6[1].exe

Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\Lucita\Cookies\lucita@acesso.uol.com[1].txt

Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\Lucita\Cookies\lucita@de.uol.com[1].txt

Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\Lucita\Cookies\lucita@google.com[1].txt

Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\Lucita\Cookies\lucita@uol.com[1].txt

Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\Lucita\Dados de aplicativos\Mozilla\Firefox\Profiles\w3rg3rfn.default\cookies.txt[]

Spyware:Cookie/Server.iad.Liveperson Not disinfected C:\Documents and Settings\Lucita\Dados de aplicativos\Mozilla\Firefox\Profiles\w3rg3rfn.default\cookies.txt[33785543]

Spyware:Cookie/Server.iad.Liveperson Not disinfected C:\Documents and Settings\Lucita\Dados de aplicativos\Mozilla\Firefox\Profiles\w3rg3rfn.default\cookies.txt[]

Hacktool:HackTool/ExitWin.A Not disinfected C:\WINDOWS\pss\Reboot.exeStartup

Virus:W32/Sdbot.GSF.worm Disinfected C:\WINDOWS\system32\config\systemprofile\Configurações locais\Temporary Internet Files\Content.IE5\I9QRO34V\rp5[1].exe

Virus:Trj/Qhost.AD Disinfected C:\WINDOWS\system32\drivers\etc\hosts

Virus:W32/Sdbot.ftp Disinfected C:\WINDOWS\system32\i

Virus:W32/Sdbot.GNS.worm Disinfected C:\WINDOWS\system32\systemconfig32.exe

Hacktool:HackTool/Flood Not disinfected D:\CyberScript30\sistema\dlls\nHTMLn.dll

Espero que só com isso dê pra fazer alguma coisa..

Compartilhar este post


Link para o post
Compartilhar em outros sites

1.Faça o download do UnHookExec.inf

Desabilitar AV e Aspyware para n bloquear. Clique com o botão direito e clique em Instalar.

2.Faça o download do F-Secure Blacklight:

http://www.europe.f-secure.com/exclude/blacklight/blbeta.exe

http://www.europe.f-secure.com/exclude/redirect.html

http://www.f-secure.com/blacklight/try.shtml

Salve-o na área de trabalho e execute-o fechando todos os programas e janelas. Aceite o acordo.

Na janela Step 1: Scan for hidden items. Clique em scan.

Se ele encontrar qualquer arquivo, ignore. Queremos apenas o log.

Se alguma coisa aparecer mande o Blacklight renomear, com exceção dos arquivos:

• wbemtest.exe

• explorer.exe

• winlogon.exe

Esses arquivos são legítimos e podem ser detectados incorretamente pelo BlackLight, portanto ignore-os.

3) Faça o download do rdrivRem

http://linhadefensiva.uol.com.br/dl/rdrivrem

Tire-o do ZIP e coloque-o em uma pasta na sua área de trabalho.

Reinicie o computador no Modo de Segurança apertando F8 logo que iniciar até aparecer um menu onde você pode selecionar a opção "Modo Seguro" ou "Modo de Segurança".

• Abra a pasta do rdrivRem e dê um clique-duplo no rdrivRem.bat. Depois disso, o arquivo rdriv.txt será criado na mesma pasta.

Reiniciar

Post estes 02 logs.

Obs. O worm infectou arquivos executáveis que o Panda tirou. Depois terá que desinstalar e reinstalar os programas novamente.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Feito. Bom, o blbeta não encontrou nada..

03/09/06 19:23:42 [info]: BlackLight Engine 1.0.33 initialized

03/09/06 19:23:42 [info]: OS: 5.1 build 2600 (Service Pack 1)

03/09/06 19:23:44 [Note]: 7019 4

03/09/06 19:23:44 [Note]: 7005 0

03/09/06 19:24:04 [Note]: 7006 0

03/09/06 19:24:04 [Note]: 7011 1144

03/09/06 19:24:05 [Note]: FSRAW library version 1.7.1015

03/09/06 19:25:35 [Note]: 7007 0

E parece q o rdrivrem também não ehhehe

~~~~~~~~~~~~~ Pre-run File Check ~~~~~~~~~~~~~

rdriv.sys NOT PRESENT!

ItunesMusic.exe NOT PRESENT!

wkssvc.exe NOT PRESENT!

~~~~~~~~~~~~~ Post run File Check ~~~~~~~~~~~~~

rdriv.sys NOT PRESENT!

ItunesMusic.exe NOT PRESENT!

wkssvc.exe NOT PRESENT!

Compartilhar este post


Link para o post
Compartilhar em outros sites

1.Faça um log do Silent Runners:

http://www.silentrunners.org

Faça o download do Silent Runners.vbs

Rode-o. Ele vai gerar um log, anexe-o na resposta.

Nota Importante: Você precisa do WMI para rodar o Silent Runners. Se o seu computador não tiver o WMI instalado, o Silent Runners vai te direcionar até o site da Microsoft, onde você deverá fazer o download do WMI, reiniciar o computador e depois fazer o log.

Obs: Libere a execução do script se o seu antivírus reclamar. O Silent Runners não é um script malicioso.

2) Execute detecção de vírus

3) Apresenta novamente o log hijackthis (modo normal-> renomear o executável ... ou modo de segurança )

Cola os 03 resultados.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bom, fiz o que você disse. Baixei o silent runners e executei. Ele não gerou log e nem mandou baixar esse WMI, ele simplesmente deu um erro. No lugar do log apareceu isso:

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"

-----

Log da symantec:

C:\nefdw.exe está infectado com Backdoor.Trojan

C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\KX6ZS1QR\members[1].zip está infectado com Backdoor.Trojan

C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\8X6R85IJ\members[1].zip está infectado com Backdoor.Trojan

--------

Log do hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 11:59:21, on 10/3/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\iolo\System Mechanic 5\StartupGuard.exe

C:\WINDOWS\System32\devldr32.exe

C:\Arquivos de programas\Discador itelefonica\DiscadorCompitelefonica.exe

C:\WINDOWS\system32\cmd.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\Winamp\winamp.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\Lucita\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKCU\..\Run: [system Mechanic Startup Guard] "C:\Arquivos de programas\iolo\System Mechanic 5\StartupGuard.exe"

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{90D67771-A9CC-4495-9C31-850B4FF45AD0}: NameServer = 200.204.0.138 200.204.0.10

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

Submeta neste site

http://virusscan.jotti.org/

http://www.virustotal.com/flash/index_en.html

o seguinte arquivo estranho:

C:\WINDOWS\pss\Reboot.exeStartup

Browse -> send/submit -> Retorne com os resultados, ou de posse do resultado delete-o.

Faça o download do Hoster:

http://linhadefensiva.uol.com.br/dl/hoster

Abra o programa hoster.exe, clique em Restore Original Hosts e aperte em OK. Depois disso, finalize o programa.

Faça o download do Trojan Remover

http://www.simplysup.com/tremover/download.html

Instale, atualize e realize uma varredura no modo de segurança.

C:\nefdw.exe está infectado com Backdoor.Trojan < - delete este arquivo no modo de segurança !

Hacktool:HackTool/ExitWin.A Not disinfected C:\WINDOWS\pss\Reboot.exeStartup < - < - delete este arquivo no modo de segurança se não for falso/positivo !

reiniciar

Execute outro scan online

Desinstala/Reinstala os seguintes programas

C:\Arquivos de programas\Adobe

C:\Arquivos de programas\Ahead\Nero\

C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32 <- driver ?

Post o log KAV O log hijackthis n mostra + nada para tirar.

Boa sorte

Compartilhar este post


Link para o post
Compartilhar em outros sites

Fiz tudo isso aí, mas parece q não deu muito certo..

No lugar do C:\nefdw.exe já apareceu outro, e nos processos várias coisas executando também, assim como a net voltou a enviar mais do q receber, e o startup guard já acusou também várias tentativas de mudança do iniciar no msconfig por esses arquivos. Eu estou excluindo, excluindo (de acordo com o q você vai me falando), mas eles voltam com nomes diferentes. :(

------

Log do kav:

Scan Statistics:

Total number of scanned objects: 31175

Number of viruses found: 4

Number of infected objects: 8

Number of suspicious objects: 0

Duration of the scan process: 3101 sec

Infected Object Name - Virus Name

C:\Arquivos de programas\Adware Away\adaway.txt:yawada.exe:$DATA Infected: Trojan-Proxy.Win32.Bobax.t

C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\8X6R85IJ\members[1].zip Infected: Backdoor.Win32.Agent.tk

C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\I123STUJ\c6[1].exe Infected: Trojan-Proxy.Win32.Bobax.t

C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\KX6ZS1QR\members[1].zip Infected: Backdoor.Win32.Agent.tk

C:\WINDOWS\system32\config\systemprofile\Configurações locais\Temporary Internet Files\Content.IE5\KLS9CLYR\lat[1].exe Infected: Backdoor.Win32.Agobot.agw

C:\WINDOWS\system32\lup.exe Infected: Backdoor.Win32.Agobot.agw

C:\WINDOWS\system32\mssvcc.exe Infected: Backdoor.Win32.Rbot.aeu

C:\WINDOWS\Temp\ASHeuristic\c6[1]_exe.vir Infected: Trojan-Proxy.Win32.Bobax.t

Scan process completed.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

C:\Arquivos de programas\Adware Away\ -> delete -> adaway.txt:yawada.exe:$DATA

C:\WINDOWS\Temp\ASHeuristic\c6[1]_exe.vir <- deletar

C:\WINDOWS\system32\mssvcc.exe < - deletar

C:\WINDOWS\system32\lup.exe < - deletar

Limpe seus arquivos temporários.

Reiniciar

Agora você faz novamente o log Silent e cola ele inteiro ( aquele saiu somente o cabeçalho)

Faz o log hijackthis e cola ambos na resposta.

Uma pergunta, voce usa firewall

Compartilhar este post


Link para o post
Compartilhar em outros sites

Fiz isso aí, não resolveu nada. O log do hijackthis saiu igualzinho o ultimo que eu postei, e do silent não sai nada, só sai aquilo lá, como eu disse, ele dá um erro e não sai log nenhum.

Eu deleto esses arquivos aí, reinicio o computador e aparecem outros no lugar, não adianta nada. O jeito vai ser eu formatar o pc de novo, e dessa vez botar senha aqui pra ninguém mexer quando eu não estiver em casa. Não uso firewall, mas nunca usei e nunca tive esse tipo de problema, foi só dessa vez que eu formatei o pc faz +- 1 mês e não coloquei mais senha nas coisas como antes.. aí já viu.

Além disso, algum arquivo do win foi danificado, pois ele não iniciava mais (desde sábado) foi preciso reinstalar o win pra reparar.. bom.. só sei que contando todo o tempo que eu to perdendo com isso, eu vou formatar o drive c: e pronto.. já ta inviável pra mim tentat ficar tirando essas porcarias aqui, porque não tenho mais adsl, então a net é lenta pra baixar as coisas e não é td hr q posso ficar usando a linha.. Mas em td caso, obrigada por ter tentado me ajudar.

Compartilhar este post


Link para o post
Compartilhar em outros sites

veja isto

1) O seu computador foi infectado por botnets, veja abaixo os links:

http://www.superadblocker.com/definition/mswmf32/

http://www.sophos.com/virusinfo/analyses/w32rbotbjv.html

O seu caso é interessante, pois houve a contaminação em executáveis de outros programas, acusado no log panda (Adobe/Nero), dando um pouco de trabalho. Leve em consideração possíveis ações do "atacante", conforme está escrito nos links mencionados.

Agora veja os links abaixo, para você entender como funciona e sobre a infecção existente:

http://linhadefensiva.uol.com.br/2006/03/top-fev-06/

http://linhadefensiva.uol.com.br/informati...ts-redes-zumbi/

2) Leia o artigo Proteja seu PC para evitar futuras infecções:

http://linhadefensiva.uol.com.br/artigos/proteja-seu-pc/

Instale uma firewall terceira, para proteger seu computador, senão vai voltar de novo.

http://linhadefensiva.uol.com.br/downloads/firewalls/

procure, pesquise sobre tutorial e configuração da escolhida, na net, ou aqui mesmo no fórum, na outra sala.

3) Seguindo o tutorial “proteger seu pc”, instale o IE-SpyAd no navegador IE:

http://linhadefensiva.uol.com.br/downloads/outros/

4) Mande um amigo gravar o SP-2 do XP (veja no fórum XP) para instalar e corrigir problemas de segurança do win XP. Depois voce deixa para atualizar os patches atuais.

abraço

Compartilhar este post


Link para o post
Compartilhar em outros sites
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×