win não reinicia nem desliga

[flubber]

Postado Originalmente por Sam Spade@19 de março de 2006, 00:46

Bem, para deletá-lo é preciso colocar o nome exato com que estiver. Em modo de segurança o arquivo carrega?

←

não entendi, como assim pra deleta-lo é preciso colocar o nome exato?

Em modo de segurança ele aparece na pasta porém não carrega, você deleta reinicia e ele volta.

Outro log dessa vez com o nome: GL2D5A.EXE

Antivirus Version Update Result

AntiVir 6.34.0.53 03.18.2006 Heuristic/Backdoor.Generic

Avast 4.6.695.0 03.17.2006 no virus found

AVG 718 03.17.2006 no virus found

Avira 6.34.0.53 03.18.2006 Heuristic/Backdoor.Generic

BitDefender 7.2 03.18.2006 no virus found

CAT-QuickHeal 8.00 03.18.2006 no virus found

ClamAV devel-20060126 03.19.2006 no virus found

DrWeb 4.33 03.18.2006 no virus found

eTrust-InoculateIT 23.71.105 03.18.2006 no virus found

eTrust-Vet 12.4.2123 03.17.2006 no virus found

Ewido 3.5 03.18.2006 no virus found

Fortinet 2.71.0.0 03.19.2006 no virus found

F-Prot 3.16c 03.17.2006 no virus found

Ikarus 0.2.59.0 03.17.2006 no virus found

Kaspersky 4.0.2.24 03.19.2006 no virus found

McAfee 4721 03.17.2006 no virus found

NOD32v2 1.1450 03.18.2006 no virus found

Norman 5.70.10 03.17.2006 no virus found

Panda 9.0.0.4 03.18.2006 no virus found

Sophos 4.03.0 03.18.2006 no virus found

Symantec 8.0 03.19.2006 no virus found

TheHacker 5.9.5.115 03.17.2006 no virus found

UNA 1.83 03.16.2006 no virus found

VBA32 3.10.5 03.19.2006 no virus found

[Sam Spade]

Abra uma pasta qualquer em Meus Documentos e em modo de segurança, vá na pasta TEMP e clique em cima com o direito no arquivo do cachorro e renomeie para cachorro mesmo. Ficará com o nome de cachorro.exe.

Recorte e cole na pasta que abriu em Meus documentos.

Reinicie em modo normal, gere um novo log com o HijackThis e poste.

[flubber]

Ele não aparece mais na pasta Temp em modo de segurança desde que eu o deletei em modo de segurança. Fiz isso em modo normal, renomeei, recortei e colei em uma pasta em Meus Documentos. quando você faz isso e reinicia o micro aparece outro arquivo na pasta temp.

Logfile of HijackThis v1.99.1

Scan saved at 21:16:31, on 16/1/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Arquivos comuns\ArchestrA\aaLogger.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Arquivos de programas\Toshiba\Power Management\CeEPwrSvc.exe

C:\WINDOWS\System32\DVDRAMSV.exe

C:\Arquivos de programas\Arquivos comuns\ArchestrA\NTServApp.exe

C:\ARQUIV~1\ROCKWE~1\RSCOMMON\RSOBSERV.EXE

C:\Arquivos de programas\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\ARQUIV~1\ROCKWE~1\RSLINX\RSLINX.EXE

C:\Arquivos de programas\Arquivos comuns\ArchestrA\slssvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Trend Micro\OfficeScan Client\tmlisten.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Arquivos de programas\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

C:\WINDOWS\TEMP\NQF20C.EXE

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Apoint2K\Apoint.exe

C:\TOSHIBA\ivp\ISM\pinger.exe

C:\Arquivos de programas\TOSHIBA\Power Management\CePMTray.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Arquivos de programas\TOSHIBA\E-KEY\CeEKey.exe

C:\WINDOWS\Logi_MwX.Exe

C:\Arquivos de programas\Trend Micro\OfficeScan Client\pccntmon.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\Arquivos de programas\Spyware Doctor\swdoctor.exe

C:\Arquivos de programas\Apoint2K\Apntex.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\WINDOWS\system32\RAMASST.exe

D:\Patrick\Variedades\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.devicenet.com.br/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://petronet.petrobras.com.br/ep.pac

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 8080:80

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARQUIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARQUIV~1\SPYWAR~1\tools\iesdpb.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.4000.1001\pt-br\msntb.dll (file missing)

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Apoint] C:\Arquivos de programas\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [Pinger] C:\TOSHIBA\ivp\ISM\pinger.exe /run

O4 - HKLM\..\Run: [CeEPOWER] C:\Arquivos de programas\TOSHIBA\Power Management\CePMTray.exe

O4 - HKLM\..\Run: [CeEKEY] C:\Arquivos de programas\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Arquivos de programas\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [spySweeper] "C:\Arquivos de programas\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [spyware Doctor] "C:\Arquivos de programas\Spyware Doctor\swdoctor.exe" /Q

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARQUIV~1\SPYWAR~1\tools\iesdpb.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1139816276296

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = rnce.ep.petrobras.biz

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = rnce.ep.petrobras.biz

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: 1784-PCIDS DeviceNet - Rockwell Automation - C:\Arquivos de programas\Rockwell Software\RSLogix Emulate 5000\PcidsService.exe

O23 - Service: ArchestrA Logger (aaLogger) - Invensys Systems, Inc. - C:\Arquivos de programas\Arquivos comuns\ArchestrA\aaLogger.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Arquivos de programas\Toshiba\Power Management\CeEPwrSvc.exe

O23 - Service: dnWhoDisp - Unknown owner - C:\Arquivos de programas\Rockwell Software\RSLINX\dnwhodisp.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe

O23 - Service: FS Service Control - Wonderware Corporation - C:\Arquivos de programas\Arquivos comuns\ArchestrA\NTServApp.exe

O23 - Service: Harmony - Rockwell Software Inc. - C:\ARQUIV~1\ROCKWE~1\RSCOMMON\RSOBSERV.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Wonderware Alarm Logger Service (New_AlarmLogger) - Invensys Systems, Inc. - C:\Arquivos de programas\Wonderware\InTouch\\wwalmlogger.exe

O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Arquivos de programas\Trend Micro\OfficeScan Client\ntrtscan.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Arquivos de programas\Trend Micro\OfficeScan Client\OfcPfwSvc.exe

O23 - Service: RSLinx - Rockwell Software, Inc. - C:\ARQUIV~1\ROCKWE~1\RSLINX\RSLINX.EXE

O23 - Service: 1789-SIM Simulator Module (SimModuleService) - Unknown owner - C:\Arquivos de programas\Rockwell Software\RSLogix Emulate 5000\SimModuleService.exe

O23 - Service: Wonderware SuiteLink (slssvc) - Invensys Systems, Inc. - C:\Arquivos de programas\Arquivos comuns\ArchestrA\slssvc.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Arquivos de programas\Trend Micro\OfficeScan Client\tmlisten.exe

O23 - Service: Wonderware NetDDE Helper (WWNetDDE) - Invensys Systems, Inc. - C:\Arquivos de programas\Arquivos comuns\ArchestrA\wwnetdde.exe

O23 - Service: WwRpcSvr - Wonderware Corporation - C:\WINDOWS\System32\wwinstsvc.exe

[rplinfo]

cara eu tive um problema assim e foi difícil tirar essa praga do micro eu instalei o zonealarm ai na medida que os programas tentavam acessar a rede ou a net eu liberava e bloqueava, você não consegue apagar o arquivo porque tem um que ta cliando ele (mãe) você so ta deletando os filhos usa um firewall que fica mais fácil ver de onde a praga ta vindo pra você poder ficar livre dele

[Sam Spade]

Foi um teste para ver se aparecia no log o cachorro.exe rodando.

Estava vendo resultados sobre a detecção heurística do Antivir e por tabela, o Avira também usa o mesmo sistema no scan on line.

tmproxy.exe = arquivo legítimo do Trend Micro PC-cillin 2003 antivirus software.

Veja o que diz a detecção do AntiVir:

http://www.castlecops.com/check146760next.html

tmproxy.exe

Status: POSSIBLY INFECTED/MALWARE (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)

MD5 4b3a26eb186f9fe43495a95aad0e2139

Packers detected: -

Scanner results

AntiVir Found Heuristic/Backdoor.Generic (probable variant)

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

UNA Found nothing

VBA32 Found nothing

issimsvc.exe = Entrada legítima do Ibm Global Services

http://www.hijackthis-forum.de/showpost.ph...575&postcount=3

File: issimsvc.exe Status:

POSSIBLY INFECTED/MALWARE (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)

MD5 5462d6678d37e83b32a8b808d965ff8e Packers detected:

AntiVir - Found Heuristic/Backdoor.Generic (probable variant)

Resumindo, a observação diz: Que o arquivo foi classificado como malware, por detecção heurística. Isso pode ser um falso positivo.

Palavras do especialista em vírus e programador Marcos Velasco, criador do Verificador do Registro MV RegClean:

"Heurística" vem da palavra grega "heuriskein", e significa "descobrir". A heurística é uma técnica utilizada para estudar o comportamento, a estrutura e as características de um arquivo, para defini-lo como suspeito ou não. Ela pode fazer com que o antivírus emita muitos falsos-positivos, mas é uma técnica que se mostrou bastante útil para evitar vírus desconhecidos.

Portanto, como nenhuma das empresas que fazem o scan do arquivo no Jotti e no VirusTotal, terem detectado qualquer infecção e somente os dois que usam o mesmo sistema terem apontado como infectado, a conclusão é que é um falso positivo.

Este arquivo está sendo gerado por algum programa que usa e não é malicioso.

O problema com o seu modem não é causado por malwares.

Erro 633 - A porta está em uso ou não está configurada para acesso externo.

Solicite uma visita do serviço técnico do seu provedor para avaliação.

[flubber]

Amigos,

o problema até pode realmente ser o modem...mais tenho um duvida: no Gerenciado de Dispositivos no item portas não deveria aparecer também as "COM"?

E quando mando realizar um diagnostico do modem aparece a seguinte mensagem: "A porta que o modem está conectado não pode ser aberta...."

Um abraço.