Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
eliasfb

Pc totalmente bixado...

Recommended Posts

E aí pessoal.. to com um probleminha no meu pc..

ele tá cheio de spywares e esses bixos ai...

o log do hijack (assustador) tá ai em baixo...

OBS.: gerenciador de tarefas não abre, aparece a mensagem "o gerenciador de tarefas foi desativado pelo administrador"

se alguem puder me ajudar, agradeço MUITO

--------

Logfile of HijackThis v1.99.1

Scan saved at 14:25:45, on 25/3/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Sygate\SPF\smc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

C:\Arquivos de programas\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Arquivos de programas\Brasil Telecom Turbo\WrOS.EXE

C:\WINDOWS\Mixer.exe

C:\Program Files\DSLink180U\Adsl\dslstat.exe

C:\Arquivos de programas\Brasil Telecom Turbo\winpppoverethernet.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\DSLink180U\Adsl\dslagent.exe

C:\WINDOWS\System32\kernels8.exe

C:\Arquivos de programas\Java\jre1.5.0_03\bin\jusched.exe

C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe

C:\Windows\xpupdate.exe

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\VRLServer.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

C:\hijack\hijack this.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.brturbo.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :8080

R3 - URLSearchHook: (no name) - {690F4A81-365A-15A0-7718-F9A0955CE9A9} - EXE32EXE.dll (file missing)

O1 - Hosts: localhost 127.0.0.1

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\wivst.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\wivst.dll

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\DSLink180U\Adsl\dslstat.exe icon

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Arquivos de programas\Corel\Corel Graphics 12\Languages\BR\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=033106 serial=DR12WEX-1504397-KTY lang=BP

O4 - HKLM\..\Run: [smcService] C:\ARQUIV~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Arquivos de programas\Brasil Telecom Turbo\winpppoverethernet.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\DSLink180U\Adsl\dslagent.exe

O4 - HKLM\..\Run: [system] C:\WINDOWS\System32\kernels8.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_03\bin\jusched.exe

O4 - HKLM\..\Run: [ParisM] Serviceprocess.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [boundRec] cmon14.exe

O4 - HKCU\..\Run: [zantu] forces_elite.exe

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - HKCU\..\Run: [unSpyPC] "C:\Arquivos de programas\UnSpyPC\UnSpyPC.exe"

O4 - HKCU\..\Run: [systemdll] SYSTRAV.exe

O4 - HKCU\..\Run: [ABCXYZ] cmon14.exe

O4 - Global Startup: VRLServer.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/...ro.cab34246.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{26E837B6-5E38-46BE-A99B-14E0591DCEDF}: NameServer = 85.255.116.98,85.255.112.142

O17 - HKLM\System\CCS\Services\Tcpip\..\{CBFE73B9-A5D5-4461-B61A-D599E90544D9}: NameServer = 85.255.116.98,85.255.112.142

O17 - HKLM\System\CCS\Services\Tcpip\..\{CD26F531-3BEB-4575-8F15-AE1CA9B0693E}: NameServer = 85.255.116.98,85.255.112.142

O17 - HKLM\System\CCS\Services\Tcpip\..\{FEEA7486-A2A4-4A58-A7FD-B2EC9A11F4C8}: NameServer = 85.255.116.98,85.255.112.142

O17 - HKLM\System\CS1\Services\Tcpip\..\{26E837B6-5E38-46BE-A99B-14E0591DCEDF}: NameServer = 85.255.116.98,85.255.112.142

O17 - HKLM\System\CS2\Services\Tcpip\..\{26E837B6-5E38-46BE-A99B-14E0591DCEDF}: NameServer = 85.255.116.98,85.255.112.142

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Arquivos de programas\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Arquivos de programas\Sygate\SPF\smc.exe

O23 - Service: WinPPPoverEthernet - Fine Point Technologies, Inc. - C:\Arquivos de programas\Brasil Telecom Turbo\WrOS.EXE

Compartilhar este post


Link para o post
Compartilhar em outros sites

O seu maior problema é este:

O17 - HKLM\System\CCS\Services\Tcpip\..\{26E837B6-5E38-46BE-A99B-14E0591DCEDF}: NameServer = 85.255.116.98,85.255.112.142

Em negrito DNS de domínio malicioso que instala o WareOut ou o UnSpyPC (o que já aconteceu).

Antes de começar a remoção, entre em contato com o seu Provedor (por telefone) e peça que informe o seu DNS primário e o secundário. Anote e poste pois vai ser necessário, se na remoção perder a sua conexão.

Exemplo:

DNS Terra (novos)

Primário: 200.176.3.130

Secundário: 200.176.2.75

Compartilhar este post


Link para o post
Compartilhar em outros sites

Aqui está, como pedido.

----

DNS Brasil Telecom

PRIMARIO:

201.10.120.3

SECUNDARIO

201.10.1.2

----

Valeu pela atenção

Compartilhar este post


Link para o post
Compartilhar em outros sites

OK. A infecção é grande e terá de usar várias ferramentas. Baixe:

KillBox

Hoster

Ewido > instale, atualize, mas não use ainda.

CCleaner > instale, mas também não use.

FixWareout > salve no desktop.

Copie e salve no Bloco de notas este texto em azul. Salve com um nome fácil de localizar:

C:\WINDOWS\System32\kernels8.exe

C:\Windows\xpupdate.exe

C:\WINDOWS\System32\wivst.dll

C:\Arquivos de programas\UnSpyPC\UnSpyPC.exe

Configure o Windows para mostrar todos os arquivos

Salve ou imprima estas instruções, pois vai segui-las desconectado e sem acesso a esta página:

1 - Dê um duplo-clique em cima do Fixwareout.exe, depois clique no botão Next e em seguida em Install.

Verifique se a caixa Run fixit está marcada e depois clique em Finish.

Siga as instruções do programa e quando perguntar se quer reiniciar (restart), dê o sim.

Vai demorar um pouco para reiniciar e carregar completamente, aguarde.

O log vai estar em C:\ > fixwareout\report.txt.

2 - No Painel de Controle > Adicionar/Remover programas > desinstale: UnSpyPC

Mesmo que não consiga, continue seguindo as instruções.

3 - Copie o texto que salvou no bloco de notas. Rode o KillBox e marque Delete on Reboot, no menu File clique em Paste from Clipboard.

Depois clique no botão All Files.

Clique no botão com o X. Responda Sim à pergunta.

Reinicie o PC e aperte F8 intermitentemente. No menu que vai aparecer, escolha: modo seguro.

4 - Faça um scan com o HijackThis, marque as entradas abaixo, que ainda encontrar e clique em Fix checked:

R3 - URLSearchHook: (no name) - {690F4A81-365A-15A0-7718-F9A0955CE9A9} - EXE32EXE.dll (file missing)

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\wivst.dll

O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\wivst.dll

O4 - HKLM\..\Run: [system] C:\WINDOWS\System32\kernels8.exe

O4 - HKLM\..\Run: [ParisM] Serviceprocess.exe

O4 - HKLM\..\Run: [boundRec] cmon14.exe

O4 - HKCU\..\Run: [zantu] forces_elite.exe

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - HKCU\..\Run: [unSpyPC] "C:\Arquivos de programas\UnSpyPC\UnSpyPC.exe"

O4 - HKCU\..\Run: [systemdll] SYSTRAV.exe

O4 - HKCU\..\Run: [ABCXYZ] cmon14.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{26E837B6-5E38-46BE-A99B-14E0591DCEDF}: NameServer = 85.255.116.98,85.255.112.142

O17 - HKLM\System\CCS\Services\Tcpip\..\{CBFE73B9-A5D5-4461-B61A-D599E90544D9}: NameServer = 85.255.116.98,85.255.112.142

O17 - HKLM\System\CCS\Services\Tcpip\..\{CD26F531-3BEB-4575-8F15-AE1CA9B0693E}: NameServer = 85.255.116.98,85.255.112.142

O17 - HKLM\System\CCS\Services\Tcpip\..\{FEEA7486-A2A4-4A58-A7FD-B2EC9A11F4C8}: NameServer = 85.255.116.98,85.255.112.142

O17 - HKLM\System\CS1\Services\Tcpip\..\{26E837B6-5E38-46BE-A99B-14E0591DCEDF}: NameServer = 85.255.116.98,85.255.112.142

O17 - HKLM\System\CS2\Services\Tcpip\..\{26E837B6-5E38-46BE-A99B-14E0591DCEDF}: NameServer = 85.255.116.98,85.255.112.142

5 - Localize e delete estes arquivos:

Serviceprocess.exe

cmon14.exe

forces_elite.exe

SYSTRAV.exe <<< cuidado para não confudir com o SYSTRAY.exe

6 - Rode o CCleaner, clicando em Executar Cleaner. Aguarde o exame acabar.

7 - Pelo Windows Explorer > Arquivos de programas > delete a pasta: UnSpyPC

8 - Faça um full scan com o Ewido e salve o resultado (guardar relatório).

- se o Ewido detectar um Heuristic.Win32.Dialer e for o seu discador, mande ignorar este ítem.

9 - Rode o Hoster e clique em RestoreOriginal Hosts.

10 - No Painel de Controle > Conexões de rede > escolha a sua conexão: Banda Larga ou Dial-up.

Clique com o botão direito do mouse e em Propriedades.

Escolha Rede > Protocolo TCP/IP e clique em Propriedades.

Marque: Especificar endereços de servidor e nome.

Nos campos DNS primário e DNS secundário digite:

DNS Primário: 201.10.120.3

DNS Secundário: 201.10.1.2

Clique OK duas vezes e reinicie o computador (em modo normal).

11 - Faça um scan com o HijackThis e salve o log.

Poste:

report.txt do FixWareout

relatório do Ewido

log do HijackThis

Compartilhar este post


Link para o post
Compartilhar em outros sites

Caramba! q trabalheira.. heheheh

ai estão os logs

---------------------

Fixwareout ver 1.003

Last edited 2/15/2006

Post this report in the forums please

Reg Entries that were deleted

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\ipjmd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1dedoc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llams_ogol

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwh

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ytpme

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\emvaf

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\lavinraCputeS

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ypszr

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif

...

Random Runs removed from HKLM

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"dmjpi.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\e-mail]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

...

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

* csr.exe C:\WINDOWS\System32\CSHKJ.EXE

»»»»» Misc files

* thequicklink C:\WINDOWS\System32\WIVST.DLL

»»»»» Checking for older varients covered by the Rem3 tool

---------------------

---------------------------------------------------------

ewido anti-malware - Relatório de verificação

---------------------------------------------------------

+ Criado em: 17:23:20, 27/3/2006

+ Relatório-Checksum: 41204078

+ Resultado da verificação:

C:\WINDOWS\system32\cshkj.exe -> Downloader.Agent.uj : Limpo com backup

C:\WINDOWS\system32\dmjpi.exe -> Trojan.Pakes : Limpo com backup

C:\WINDOWS\system32\slx.exe1 -> Trojan.Small : Limpo com backup

C:\eied_s7.cab/eied_s7_c_29.exe -> Downloader.Mediket.bt : Limpo com backup

C:\t.inx -> Trojan.Small : Limpo com backup

C:\!KillBox\wivst.dll -> Adware.SBSoft : Limpo com backup

C:\!KillBox\xpupdate.exe -> Not-A-Virus.Hoax.Win32.Renos.bt : Limpo com backup

C:\!KillBox\kernels8.exe -> Trojan.Small : Limpo com backup

D:\1 - Edmilson\BRAZIP.zip/BRAZIP/BraZip.exe -> Heuristic.Win32.Backdoor5 : Erro durante a limpeza

D:\1 - Elias\Outros arquivos\PROGRAMAS\Internet\dap 7.2 plus.rar/DAP.exe -> Adware.Dap : Erro durante a limpeza

::Fim do Relatório

---------------------

Logfile of HijackThis v1.99.1

Scan saved at 17:36:26, on 27/3/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Sygate\SPF\smc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Mixer.exe

C:\Program Files\DSLink180U\Adsl\dslstat.exe

C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

C:\Arquivos de programas\Ewido\ewidoctrl.exe

C:\Arquivos de programas\Ewido\ewidoguard.exe

C:\Arquivos de programas\Brasil Telecom Turbo\winpppoverethernet.exe

C:\Arquivos de programas\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\DSLink180U\Adsl\dslagent.exe

C:\Arquivos de programas\Java\jre1.5.0_03\bin\jusched.exe

C:\Arquivos de programas\Brasil Telecom Turbo\WrOS.EXE

C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\VRLServer.exe

C:\WINDOWS\System32\rundll32.exe

C:\Arquivos de programas\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\hijack\hijack this.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\DSLink180U\Adsl\dslstat.exe icon

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Arquivos de programas\Corel\Corel Graphics 12\Languages\BR\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=033106 serial=DR12WEX-1504397-KTY lang=BP

O4 - HKLM\..\Run: [smcService] C:\ARQUIV~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Arquivos de programas\Brasil Telecom Turbo\winpppoverethernet.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\DSLink180U\Adsl\dslagent.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_03\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe"

O4 - Global Startup: VRLServer.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/...ro.cab34246.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2F20FD86-CB7C-4697-A8D5-25C4B647AAF3}: NameServer = 201.10.120.3 201.10.1.2

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: ewido security suite control - ewido networks - C:\Arquivos de programas\Ewido\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Arquivos de programas\Ewido\ewidoguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Arquivos de programas\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Arquivos de programas\Sygate\SPF\smc.exe

O23 - Service: WinPPPoverEthernet - Fine Point Technologies, Inc. - C:\Arquivos de programas\Brasil Telecom Turbo\WrOS.EXE

------------------------

Muito obrigado pela ajuda!!! :D

Parece que tá limpo de novo.. hehe.. mas aguardo sua resposta quanto aos logs.

Abraço

OBS:. Sobre o relatório do EWIDO, onde aparecem 2 erros na limpeza, esses 2 arquivos já foram deletados

"D:\1 - Edmilson\BRAZIP.zip/BRAZIP/BraZip.exe -> Heuristic.Win32.Backdoor5 : Erro durante a limpeza

D:\1 - Elias\Outros arquivos\PROGRAMAS\Internet\dap 7.2 plus.rar/DAP.exe -> Adware.Dap : Erro durante a limpeza"

Compartilhar este post


Link para o post
Compartilhar em outros sites

O log está limpo. Para remover o WareOut o trabalho era bem maior, antes de desenvolverem o FixWareout. :D

Os dois arquivos do malware que a ferramenta não removeu, foram posteriormente removidos pelo Ewido e pelo KillBox:

»»»»» Search by size and names...

* csr.exe C:\WINDOWS\System32\CSHKJ.EXE

»»»»» Misc files

* thequicklink C:\WINDOWS\System32\WIVST.DLL

Compartilhar este post


Link para o post
Compartilhar em outros sites

Só queria dizer uma última coisa..

Muito obrigado!! :D

Valeu pela ajuda e pela paciência.. hehehe

Valeu mesmo, meu windows tá com cara de "recém-formatado" hehehehe

Obrigado mais uma vez.

Abraço

Compartilhar este post


Link para o post
Compartilhar em outros sites

CASO RESOLVIDO!

Caso o autor do tópico necessite, o mesmo será reaberto, para isso o mesmo deverá procurar um Moderador da área e solicitar o desbloqueio!

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×