Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Sa1

Não sei mais o que fazer... O PC tá muito infectado!

Recommended Posts

Tem muita coisa acontecendo com ele...

Por favor, alguém me ajude!

O Ewido diz que tenho 5 objetos infectados com o downloader.Agent.uj mas, dá erro ao tentar mandar para a quarentena ou deletar. Diz que está no sitema de memória.

O SyBot toda vez detecta vários registros infectados.

O Ad-Aware toda vez detecta mais de 20 objetos críticos.

O AVG apresenta toda hora a tela de infecção e diz que o arquivo não pode ser removido para a lixeira e, por fim, uma inspeção on-line que eu nem me recordo aonde fiz diz que tenho o

adware.toolbar.shsoft.h

unspy.pc

kazaa

wareout

UnSpyPC

emule P2P

ezula

mas, não remove no fim da inspeção.

Às vezes fico sem acesso a pasta System32, o meu papel de parede sumiu e virou uma tela que pisca toda hora e que não me dá as opções normais quando clico com o direito do mouse, antes disso cirou uma tela vermelha com aviso gigantesco de infecção por spyware com dois links e por fim, a inicialização do sistema trava de vez em quando.

Será que tem solução? :(

Vai meu log do Hijack This:

Logfile of HijackThis v1.99.1

Scan saved at 23:06:30, on 6/7/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\VTTimer.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Arquivos de programas\iTunes\iTunesHelper.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe

C:\Arquivos de programas\Winamp\winampa.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\ctfmon.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Arquivos de programas\Microsoft Office\Office\1046\OLFSNT40.EXE

C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Arquivos de programas\iPod\bin\iPodService.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\UOL\Barra UOL\ubphost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Arquivos de programas\Outlook Express\msimn.exe

C:\Documents and Settings\Usuario\Meus documentos\Samanta\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O1 - Hosts: localhost 127.0.0.1

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{4951908A-50BD-4F68-BFAC-D8B931A872C4}.dll (file missing)

O2 - BHO: (no name) - {0A87E45F-537A-40B4-B812-E2544C21A09F} - (no file)

O2 - BHO: XBTP06261 - {2EAA261D-6F4E-42fe-B898-CDC160FD2463} - (no file)

O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barra UOL - {5BBFC00A-312C-4777-A5DF-DDA65C67120C} - C:\Arquivos de programas\UOL\Barra UOL\ubp.dll

O3 - Toolbar: eMusic Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Arquivos de programas\eMusic Toolbar\emusicToolbar.dll

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{4951908A-50BD-4F68-BFAC-D8B931A872C4}.dll (file missing)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Arquivos de programas\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

O4 - HKLM\..\Run: [system32] C:\WINDOWS\System32\system32.exe

O4 - HKLM\..\Run: [lpeck.exe] C:\WINDOWS\System32\lpeck.exe

O4 - HKLM\..\Run: [yvcid.exe] C:\WINDOWS\System32\yvcid.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Arquivos de programas\Microsoft Office\Office\1046\OLFSNT40.EXE

O8 - Extra context menu item: Adicionar RSS - res://C:\Arquivos de programas\UOL\Barra UOL\ubp.dll/3130

O8 - Extra context menu item: Advanced Email Extractor - res://C:\Arquivos%20de%20programas\Tweak%20Marketing\Advanced%20Email%20Extractor\AeeMsie.dll/page.html

O8 - Extra context menu item: Liberar pop-ups desta página - res://C:\Arquivos de programas\UOL\Barra UOL\ubp.dll/3028

O8 - Extra context menu item: Liberar pop-ups deste site - res://C:\Arquivos de programas\UOL\Barra UOL\ubp.dll/3027

O8 - Extra context menu item: Scan link with AEE - res://C:\Arquivos%20de%20programas\Tweak%20Marketing\Advanced%20Email%20Extractor\AeeMsie.dll/link.html

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/d.../ITDetector.cab

O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} - http://download.uol.com.br/discadorUOL/lig...tiveInstall.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A6E0B8F3-5291-4343-B692-99938EA4D9D3}: NameServer = 85.255.114.69,85.255.112.167

O17 - HKLM\System\CCS\Services\Tcpip\..\{DAF75CCD-AC5E-4871-8531-E7950F1DD80A}: NameServer = 85.255.114.69,85.255.112.167

O17 - HKLM\System\CCS\Services\Tcpip\..\{F3D9D2B9-F334-47ED-9169-99F382A6D72C}: NameServer = 85.255.114.69,85.255.112.167

O17 - HKLM\System\CCS\Services\Tcpip\..\{F9B6A56C-8E4E-474A-86B0-94F0394B0A4E}: NameServer = 85.255.114.69,85.255.112.167

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.69 85.255.112.167

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.69 85.255.112.167

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.69 85.255.112.167

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

Ei...

O17 - HKLM\System\CCS\Services\Tcpip\..\{A6E0B8F3-5291-4343-B692-99938EA4D9D3}: NameServer = 85.255.114.69,85.255.112.167

Importante: Seus servidores de DNS foram alterados por algum trojan que instala os Wareout e UnSpyPC que são programas maliciosos. Você precisa reconfigurá-los para usar os servidores de DNS do seu provedor. Entre em contato com o suporte (por telefone) e peça as insformações do seu DNS Primário e do DNS Secundário.

Configure o computador para exibir todos os arquivos

Faça o download do Killbox, descompacte-o e execute-o.

- Marque a opção Delete on Reboot.

- Agora copie a lista azul abaixo para área de transferência

(selecione e clique em Editar > Copiar).

C:\WINDOWS\System32\system32.exe

C:\WINDOWS\System32\lpeck.exe

C:\WINDOWS\System32\yvcid.exe

- Volte ao KillBox. Clique em File > Paste from clipboard. Clique no botão All Files.

- Clique no botão killbox.png. Responda Não à pergunta.

Talvez você queira imprimir essas instruções ou salvá-las em um arquivo texto para fácil acesso, pois você não terá acesso ao seu tópico.

Reinicie o PC em entre em modo seguro (pressione F8 durante a inicialização e escolha modo seguro na tela de seleção)

Abra o HijackThis e clique em Do a system scan only.

- Marque somente as entradas abaixo e clique ht-fix.png

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{4951908A-50BD-4F68-BFAC-D8B931A872C4}.dll (file missing)

O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)

O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{4951908A-50BD-4F68-BFAC-D8B931A872C4}.dll (file missing)

O4 - HKLM\..\Run: [system32] C:\WINDOWS\System32\system32.exe

O4 - HKLM\..\Run: [lpeck.exe] C:\WINDOWS\System32\lpeck.exe

O4 - HKLM\..\Run: [yvcid.exe] C:\WINDOWS\System32\yvcid.exe

Reinicie em modo normal.

Baixe o Fixwareout e salve na área de trabalho para ter fácil acesso.

- Dê um duplo-clique em FixWareout.exe para proceder a instalação. Clique no botão Next e depois em Install.

Verifique se a caixa Run fixit está marcada e depois clique em Finish.

-> Siga as instruções do programa, quando perguntar se quer reiniciar clique em Sim.

>> Vai demorar um pouco para reiniciar e carregar completamente <<

Nos campos DNS primário e DNS secundário você irá digitar os dados fornecidos pelo seu provedor.

Localize no C:\ um arquivo report.txt, copie esse log e cole-o na sua resposta.

Depois faça um novo log do HijackThis e cole-o também na sua resposta para prosseguirmos

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Oi Lidia!

Obrigada por me ajudar!

Fiz tudo como você indicou.

Aí vão os logs pedidos:

Fixwareout ver 1.003

Last edited 07/1/2006

Post this report in the forums please

Reg Entries that were deleted

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A4A76AB3789E-F9CB-EF14-25AD-6EB1938B{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}514E10025FAC-E32A-B7D4-4F4D-98696F24{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}54B61879A448-336A-0E84-E744-BD0A49A7{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}66057612F147-5A48-4124-B5A0-AD52DDC1{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9C7DDCAAC561-3C7A-CB44-351C-AECC5450{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3F62C5EE5DA5-4E7A-7644-BB04-29650D28{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}97B899BB5D3F-BEA9-1A54-ECFD-CAFABB61{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5B41180774A8-1CF9-0884-1D67-642016B8{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}24A053E8C6A4-9669-E974-1B64-BAFC59E0{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E96E4C63E6B7-1C09-5284-196E-15D47D3E{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}59D9EE00DE19-689A-7A04-FEA8-AD137383{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}25F39823C969-3A7B-8B14-C522-D464EADF{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5D65592C4C08-9BF8-F1D4-ABF6-53361319{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2B61F4E9D23A-5A4A-74E4-0698-A112F848{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}34FCD9B4148F-F2DB-1114-10E6-C18BA535{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6F74FD60DE3C-B488-F094-3FEC-5E601EE6{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4F81E955A579-65E9-4034-E810-3FD08239{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}39F31C19899A-C589-CDF4-3D58-895F78A0{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}19C244C31F61-976A-DCF4-BC74-EF482B05{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A96A1644A868-329A-6EF4-8BCC-A7EB0078{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F805A4404F63-A699-21C4-F50E-3C5241C1{

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\vcxmd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif

...

Random Runs removed from HKLM

"dmxcv.exe"=-

...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

Example ipsec6.exe is legitimate

»»»»» Search by size and names...

* csr.exe C:\WINDOWS\System32\CSNGP.EXE

* csr.exe C:\WINDOWS\System32\CSNJA.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»

Search five digit cs, dm and jb files

This WILL/CAN also list Legit Files, Submit them at Virustotal

C:\WINDOWS\SYSTEM32\CSNGP.EXE 51.254 2006-07-06

C:\WINDOWS\SYSTEM32\CSNJA.EXE 51.254 2006-07-05

C:\WINDOWS\SYSTEM32\DMWDV.EXE 44.037 2001-10-28

C:\WINDOWS\SYSTEM32\DMXCV.EXE 44.037 2001-10-28

Other suspects

Directory of C:\WINDOWS\system32

{1C1425C3-E05F-4C12-996A-36F4044A508F}.exe

{8700BE7A-CCB8-4FE6-A923-868A4461A69A}.exe

{50B284FE-47CB-4FCD-A679-16F13C442C91}.exe

{0A87F598-85D3-4FDC-985C-A99891C13F93}.exe

{93280DF3-018E-4304-9E56-975A559E18F4}.exe

{6EE106E5-CEF3-490F-884B-C3ED06DF47F6}.exe

{535AB81C-6E01-4111-BD2F-F8414B9DCF43}.exe

{848F211A-8960-4E47-A4A5-A32D9E4F16B2}.exe

{91316335-6FBA-4D1F-8FB9-80C4C29556D5}.exe

{FDAE464D-225C-41B8-B7A3-969C32893F52}.exe

{383731DA-8AEF-40A7-A986-91ED00EE9D95}.exe

{E3D74D51-E691-4825-90C1-7B6E36C4E69E}.exe

{0E95CFAB-46B1-479E-9669-4A6C8E350A42}.exe

{8B610246-76D1-4880-9FC1-8A47708114B5}.exe

{16BBAFAC-DFCE-45A1-9AEB-F3D5BB998B79}.exe

{82D05692-40BB-4467-A7E4-5AD5EE5C26F3}.exe

{0545CCEA-C153-44BC-A7C3-165CAACDD7C9}.exe

{1CDD25DA-0A5B-4214-84A5-741F21675066}.exe

{7A94A0DB-447E-48E0-A633-844A97816B45}.exe

{42F69689-D4F4-4D7B-A23E-CAF52001E415}.exe

-----------------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 22:23:52, on 7/7/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\VTTimer.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Arquivos de programas\iTunes\iTunesHelper.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe

C:\Arquivos de programas\iPod\bin\iPodService.exe

C:\Arquivos de programas\Winamp\winampa.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Arquivos de programas\Microsoft Office\Office\1046\OLFSNT40.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\Usuario\Meus documentos\Samanta\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: XBTP06261 - {2EAA261D-6F4E-42fe-B898-CDC160FD2463} - (no file)

O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barra UOL - {5BBFC00A-312C-4777-A5DF-DDA65C67120C} - C:\Arquivos de programas\UOL\Barra UOL\ubp.dll

O3 - Toolbar: eMusic Toolbar - {F8CC9B08-C14F-4A5C-B73B-518AFECC067A} - C:\Arquivos de programas\eMusic Toolbar\emusicToolbar.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Arquivos de programas\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Arquivos de programas\Microsoft Office\Office\1046\OLFSNT40.EXE

O8 - Extra context menu item: Advanced Email Extractor - res://C:\Arquivos%20de%20programas\Tweak%20Marketing\Advanced%20Email%20Extractor\AeeMsie.dll/page.html

O8 - Extra context menu item: Scan link with AEE - res://C:\Arquivos%20de%20programas\Tweak%20Marketing\Advanced%20Email%20Extractor\AeeMsie.dll/link.html

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/d.../ITDetector.cab

O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} - http://download.uol.com.br/discadorUOL/lig...tiveInstall.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A6E0B8F3-5291-4343-B692-99938EA4D9D3}: NameServer = 85.255.114.69,85.255.112.167

O17 - HKLM\System\CCS\Services\Tcpip\..\{DAF75CCD-AC5E-4871-8531-E7950F1DD80A}: NameServer = 85.255.114.69,85.255.112.167

O17 - HKLM\System\CCS\Services\Tcpip\..\{F3D9D2B9-F334-47ED-9169-99F382A6D72C}: NameServer = 85.255.114.69,85.255.112.167

O17 - HKLM\System\CCS\Services\Tcpip\..\{F9B6A56C-8E4E-474A-86B0-94F0394B0A4E}: NameServer = 85.255.114.69,85.255.112.167

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.69 85.255.112.167

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.69 85.255.112.167

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.69 85.255.112.167

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe

:joia:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Faça o seguinte:

Execute o Killbox

- Marque a opção Delete on Reboot.

- Agora copie a lista azul abaixo para área de transferência

(selecione e clique em Editar > Copiar).

C:\WINDOWS\SYSTEM32\CSNGP.EXE

C:\WINDOWS\SYSTEM32\CSNJA.EXE

{1C1425C3-E05F-4C12-996A-36F4044A508F}.exe

{8700BE7A-CCB8-4FE6-A923-868A4461A69A}.exe

{50B284FE-47CB-4FCD-A679-16F13C442C91}.exe

{0A87F598-85D3-4FDC-985C-A99891C13F93}.exe

{93280DF3-018E-4304-9E56-975A559E18F4}.exe

{6EE106E5-CEF3-490F-884B-C3ED06DF47F6}.exe

{535AB81C-6E01-4111-BD2F-F8414B9DCF43}.exe

{848F211A-8960-4E47-A4A5-A32D9E4F16B2}.exe

{91316335-6FBA-4D1F-8FB9-80C4C29556D5}.exe

{FDAE464D-225C-41B8-B7A3-969C32893F52}.exe

{383731DA-8AEF-40A7-A986-91ED00EE9D95}.exe

{E3D74D51-E691-4825-90C1-7B6E36C4E69E}.exe

{0E95CFAB-46B1-479E-9669-4A6C8E350A42}.exe

{8B610246-76D1-4880-9FC1-8A47708114B5}.exe

{16BBAFAC-DFCE-45A1-9AEB-F3D5BB998B79}.exe

{82D05692-40BB-4467-A7E4-5AD5EE5C26F3}.exe

{0545CCEA-C153-44BC-A7C3-165CAACDD7C9}.exe

{1CDD25DA-0A5B-4214-84A5-741F21675066}.exe

{7A94A0DB-447E-48E0-A633-844A97816B45}.exe

{42F69689-D4F4-4D7B-A23E-CAF52001E415}.exe

- Volte ao KillBox. Clique em File > Paste from clipboard. Clique no botão All Files.

- Clique no botão killbox.png. Responda SIM à pergunta.

>>> O pc será reiniciado normalmente <<<

Depois faça um novo log do HijackThis e cole-o na sua resposta

Acesse a página abaixo e envia os arquivos em negrito para análise:

http://virusscan.jotti.org/

C:\WINDOWS\SYSTEM32\DMWDV.EXE

C:\WINDOWS\SYSTEM32\DMXCV.EXE

Copie e cole o resultado de cada um na sua resposta.

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Ufa! Que trabalheira!

Mas, valeu!

Tô contente!

Tá melhorando!

O Active Desktop não fica mais piscando, agora aparece aquela tela branca de Recuperação mas, eu não cliquei para restaurar.

A máquina tá menos lenta...

Lá vão os logs pedidos.

Logfile of HijackThis v1.99.1

Scan saved at 00:37:51, on 8/7/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\VTTimer.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Arquivos de programas\iTunes\iTunesHelper.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe

C:\Arquivos de programas\Winamp\winampa.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Arquivos de programas\Microsoft Office\Office\1046\OLFSNT40.EXE

C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Arquivos de programas\iPod\bin\iPodService.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\UOL\Barra UOL\ubphost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Usuario\Meus documentos\Samanta\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: XBTP06261 - {2EAA261D-6F4E-42fe-B898-CDC160FD2463} - (no file)

O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barra UOL - {5BBFC00A-312C-4777-A5DF-DDA65C67120C} - C:\Arquivos de programas\UOL\Barra UOL\ubp.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Arquivos de programas\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Arquivos de programas\Microsoft Office\Office\1046\OLFSNT40.EXE

O8 - Extra context menu item: Adicionar RSS - res://C:\Arquivos de programas\UOL\Barra UOL\ubp.dll/3130

O8 - Extra context menu item: Advanced Email Extractor - res://C:\Arquivos%20de%20programas\Tweak%20Marketing\Advanced%20Email%20Extractor\AeeMsie.dll/page.html

O8 - Extra context menu item: Liberar pop-ups desta página - res://C:\Arquivos de programas\UOL\Barra UOL\ubp.dll/3028

O8 - Extra context menu item: Liberar pop-ups deste site - res://C:\Arquivos de programas\UOL\Barra UOL\ubp.dll/3027

O8 - Extra context menu item: Scan link with AEE - res://C:\Arquivos%20de%20programas\Tweak%20Marketing\Advanced%20Email%20Extractor\AeeMsie.dll/link.html

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/d.../ITDetector.cab

O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} - http://download.uol.com.br/discadorUOL/lig...tiveInstall.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A6E0B8F3-5291-4343-B692-99938EA4D9D3}: NameServer = 85.255.114.69,85.255.112.167

O17 - HKLM\System\CCS\Services\Tcpip\..\{DAF75CCD-AC5E-4871-8531-E7950F1DD80A}: NameServer = 85.255.114.69,85.255.112.167

O17 - HKLM\System\CCS\Services\Tcpip\..\{F3D9D2B9-F334-47ED-9169-99F382A6D72C}: NameServer = 85.255.114.69,85.255.112.167

O17 - HKLM\System\CCS\Services\Tcpip\..\{F9B6A56C-8E4E-474A-86B0-94F0394B0A4E}: NameServer = 85.255.114.69,85.255.112.167

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.69 85.255.112.167

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.69 85.255.112.167

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.69 85.255.112.167

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe

--------------------------------------------------------------------------

Service load: 0% 100%

File: DMWDV.EXE_

Status: INFECTED/MALWARE

MD5 061b2d3f167ac9ab3fe17e98f4a1cfcf

Packers detected: -

Scanner results

AntiVir Found Heuristic/Trojan.Downloader (probable variant)

ArcaVir Found nothing

Avast Found Win32:Small-EK

AVG Antivirus Found nothing

BitDefender Found MemScan:Trojan.Small.AA

ClamAV Found Trojan.Small-255

Dr.Web Found Trojan.DownLoader.5401

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found Win32/Small.FB

Norman Virus Control Found nothing

UNA Found nothing

VirusBuster Found nothing

VBA32 Found Trojan-Downloader.Win32.Small.bwx

------------------------------------------------------------------------------

Service load: 0% 100%

File: DMXCV.EXE

Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5 061b2d3f167ac9ab3fe17e98f4a1cfcf

Packers detected: -

Scanner results

AntiVir Found Heuristic/Trojan.Downloader (probable variant)

ArcaVir Found nothing

Avast Found Win32:Small-EK

AVG Antivirus Found nothing

BitDefender Found MemScan:Trojan.Small.AA

ClamAV Found Trojan.Small-255

Dr.Web Found Trojan.DownLoader.5401

F-Prot Antivirus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found Win32/Small.FB

Norman Virus Control Found nothing

UNA Found nothing

VirusBuster Found nothing

VBA32 Found Trojan-Downloader.Win32.Small.bwx

:joia:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Olá!

1. Execute novamente o Killbox

- Marque a opção Delete on Reboot.

- Agora copie a lista azul abaixo para área de transferência

(selecione e clique em Editar > Copiar).

C:\WINDOWS\SYSTEM32\DMWDV.EXE

C:\WINDOWS\SYSTEM32\DMXCV.EXE

- Volte ao KillBox. Clique em File > Paste from clipboard. Clique no botão All Files.

- Clique no botão killbox.png. Responda Sim à pergunta.

>> O pc será reiniciado <<

Importante: Seu DNS precisa ser configurado novamente, pois continua com o DNS malicioso.

Faça o seguinte:

Vai no Painel de Controle > Conexões de rede > escolha a sua conexão local: Banda Larga ou Dial-up.

Clique com o botão direito do mouse e em Propriedades.

Escolha Protocolo TCP/IP e clique em Propriedades.

Na "aba" Geral terá o campo do DNS para ser configurado com a informação do seu provedor (precisa ligar para o seu provedor e pedir as informações do DNS primario e segundário), ou tente deixar no automatico.

Faça isso e poste um novo log do Hijackthis, certo?

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Olá!

Fiz tudo como você pediu.

Meu servidor informou que não trabalha com DNS primário e secundário pois, eles são configurados alternativamente a cada nova conexão portanto, bastava deixar no automático.

Deixei.

Executei o Hijack mas, percebo que ainda encontra-se no mesmo lugar o endereço malicioso.

Aí vai o log:

Logfile of HijackThis v1.99.1

Scan saved at 12:51:40, on 8/7/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\VTTimer.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Arquivos de programas\iTunes\iTunesHelper.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe

C:\Arquivos de programas\Winamp\winampa.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Arquivos de programas\Microsoft Office\Office\1046\OLFSNT40.EXE

C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Arquivos de programas\iPod\bin\iPodService.exe

C:\Arquivos de programas\Outlook Express\msimn.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\UOL\Barra UOL\ubphost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Usuario\Meus documentos\Samanta\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: XBTP06261 - {2EAA261D-6F4E-42fe-B898-CDC160FD2463} - (no file)

O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barra UOL - {5BBFC00A-312C-4777-A5DF-DDA65C67120C} - C:\Arquivos de programas\UOL\Barra UOL\ubp.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Arquivos de programas\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Arquivos de programas\Microsoft Office\Office\1046\OLFSNT40.EXE

O8 - Extra context menu item: Adicionar RSS - res://C:\Arquivos de programas\UOL\Barra UOL\ubp.dll/3130

O8 - Extra context menu item: Advanced Email Extractor - res://C:\Arquivos%20de%20programas\Tweak%20Marketing\Advanced%20Email%20Extractor\AeeMsie.dll/page.html

O8 - Extra context menu item: Liberar pop-ups desta página - res://C:\Arquivos de programas\UOL\Barra UOL\ubp.dll/3028

O8 - Extra context menu item: Liberar pop-ups deste site - res://C:\Arquivos de programas\UOL\Barra UOL\ubp.dll/3027

O8 - Extra context menu item: Scan link with AEE - res://C:\Arquivos%20de%20programas\Tweak%20Marketing\Advanced%20Email%20Extractor\AeeMsie.dll/link.html

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/d.../ITDetector.cab

O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} - http://download.uol.com.br/discadorUOL/lig...tiveInstall.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A6E0B8F3-5291-4343-B692-99938EA4D9D3}: NameServer = 85.255.114.69,85.255.112.167

O17 - HKLM\System\CCS\Services\Tcpip\..\{DAF75CCD-AC5E-4871-8531-E7950F1DD80A}: NameServer = 85.255.114.69,85.255.112.167

O17 - HKLM\System\CCS\Services\Tcpip\..\{F3D9D2B9-F334-47ED-9169-99F382A6D72C}: NameServer = 85.255.114.69,85.255.112.167

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.69 85.255.112.167

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.69 85.255.112.167

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.69 85.255.112.167

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe

:joia:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Sa18...

Execute novamente o Fixwareout e cole na sua resposta o log.

Dê um duplo-clique em FixWareout.exe para proceder a instalação. Clique no botão Next e depois em Install.

Verifique se a caixa Run fixit está marcada e depois clique em Finish.

-> Siga as instruções do programa, quando perguntar se quer reiniciar clique em Sim.

>> Vai demorar um pouco para reiniciar e carregar completamente <<

Localize no C:\ um arquivo report.txt, copie esse log e cole-o na sua resposta.

Estarei no aguardo..

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Oi, Lídia!

Executei novamente o Fixwareout, o log tá aí embaixo...

Antes, porém, cliquei com o botão direito em meu Active Desktop porque tive uma pequena intuição...

Lembra que eu falei que aparecia a tela de restauração do active?

Então...

Na guia propriedades, área de trabalho, personalizar área de trabalho, web, havia uma página da web desconhecida programada para ser utilizada como papel de parede.

Removi a tal página e, o papel de parede se apresenta normalmente agora.

Enquanto reiniciava o computador, devido ao trabalho do Fixwareout, o AntiVir detectou um arquivo .exe na pasta system. Não lembro o nome mas, mandei ele pro saco!

Tá aí o log!

Fixwareout ver 1.003

Last edited 07/1/2006

Post this report in the forums please

Reg Entries that were deleted

...

Random Runs removed from HKLM

...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

Example ipsec6.exe is legitimate

»»»»» Search by size and names...

»»»»» Misc files

Diferentaço!!!! :blink:

Será que limpou?

:looka:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Oi... Sa18...

Se o problema com sua área de trabalho surgir, me avisa que tenho uma solução para isso, ok?

Agora quanto ao seu log, acredito que as entradas 17 continuam com o DNS malicioso não é?

Se fixá-las com o hijackthis, você poderá ficar sem conexao, exceto se conseguir a informaçao do DNS com seu provedor e reconfigurá-lo, pois colocando no automatico não resolveu.

Faça um scan online com Activescan e copie o resultado para colar na sua resposta.

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Oi, Lidia!

Fiz o Scan no Panda como você pediu mas, antes fixei as entradas 17, que você havia comentado acima.

Não fiquei sem conxão porque, como o suporte do meu servidor me disse, meus DNS primário e secundário são alterados a cada nova conexão, bastava deixá-lo como automático, que o problema estaria resolvido.

Também, antes de fazer o scan no Panda, entrei em modo seguro e scaneei o computador com tudo o que tenho, o SpyBot arrancou dez arquivos que haviam sido anteriormente inseridos como favoritos e o Ewido arrancou um outro resquício que ficou. O resto não demonstrou mais nada.

Aí sim fiz o scan do Panda e deu o seguinte:

Não foram encontrados vírus ou quaisquer outros códigos maliciosos!

Portanto, acredito que todos os passos sugeridos por você, anteriormente, conseguiram arrancar a praga da minha máquina.

Vai abaixo o log do Hijack pra tu dar uma olhadinha e confirmar se não existe mais nada a ser retirado, ok?

Tô achando estranha a entrada que tá em vermelho e negrito no log.

Ela não estava ali antes, pelo que eu me lembre...

O que é? Pode ser fixada?

E, antes mesmo que você me responda...

Valeu mesmo pela força!

Obrigada!

-------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 21:39:35, on 9/7/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\VTTimer.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe

C:\Arquivos de programas\iTunes\iTunesHelper.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe

C:\Arquivos de programas\Winamp\winampa.exe

C:\WINDOWS\System32\ctfmon.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Arquivos de programas\Microsoft Office\Office\1046\OLFSNT40.EXE

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Arquivos de programas\iPod\bin\iPodService.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\UOL\Barra UOL\ubphost.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Usuario\Meus documentos\Samanta\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: XBTP06261 - {2EAA261D-6F4E-42fe-B898-CDC160FD2463} - (no file)

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Barra UOL - {5BBFC00A-312C-4777-A5DF-DDA65C67120C} - C:\Arquivos de programas\UOL\Barra UOL\ubp.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Arquivos de programas\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Arquivos de programas\Microsoft Office\Office\1046\OLFSNT40.EXE

O8 - Extra context menu item: Adicionar RSS - res://C:\Arquivos de programas\UOL\Barra UOL\ubp.dll/3130

O8 - Extra context menu item: Liberar pop-ups desta página - res://C:\Arquivos de programas\UOL\Barra UOL\ubp.dll/3028

O8 - Extra context menu item: Liberar pop-ups deste site - res://C:\Arquivos de programas\UOL\Barra UOL\ubp.dll/3027

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/d.../ITDetector.cab

O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} - http://download.uol.com.br/discadorUOL/lig...tiveInstall.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe

:joia:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Oi.. Sa18...

Perdoa-me a demora para responder, não vi a notificação da sua resposta.

Seu log está limpo! :)

Essa entrada não se mostra maliciosa, veja esse link do castlecops. Se não for util pode está removendo sem problemas.

PS: Seu Windows está desatualizado, isso o deixa muito vulnerável as novas infecções. Será necessário atualizá-lo, certo? ;)

Agora desabilite e reabilite a Restauração do Sistema para finalizar.

Leia o proteja-seu-pc para evitar outras infecções.

Precisando de algo mais nos procure!

Um forte abraço!

Compartilhar este post


Link para o post
Compartilhar em outros sites
 

Oi, Lidia!

Desencana da demora!

Tá tudo bem!

Só faltava eu reclamar, né? Contigo me ajudando na faixa... :D

Tenho mais é que lhe agradecer! Foi tu que resolveu meu problema.

Sei um pouquinho sobre as coisas mas, não sou nenhuma expert então, já viu!

estava difícil de arrancar o bichinho!

Valeu mesmo!

Deixa eu te falar:

Bem, eu já havia desabilitado e reabilitado a restauração do sistema.

Quanto as dicas pra proteger, eu costumo ser chata com as atualizações dos programas. O problema é que não sou só eu que uso o PC, então... Simplesmente incontrolável!

Agora quanto a atualizar o Windows, não rola.

O Service Pack 2 já foi "baixado".

Toda vez que o PC tá ligado fica avisando que as atualizações estão prontas para serem instaladas mas, acontece que o meu Windows é frio.

Não rola de jeito nenhum de concluir a instalação apesar de a instalação do Service Pack 1 ter rolado naturalmente...

E, quanto a isso, acredito eu que não dê pra fazer nada a respeito, né?

Ah! Adorei a dica do castlecops. Não conhecia o serviço. Deletei a entrada. Era de um serviço que o meu antivírus tinha deletado acusando ser vírus. Toolbar Emusic.

Um abraço pra você e, mais uma vez, valeu aí!

:D

Compartilhar este post


Link para o post
Compartilhar em outros sites

Que ótimo que deu certo!!! :-BEER

Abraços!! E sucesso!!

Compartilhar este post


Link para o post
Compartilhar em outros sites
Entre para seguir isso  





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×