Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Rodolfo Goulart

Por favor, analisem meu log...

Recommended Posts

Estou desesperado, o meu computador está muito lento, principalmente minha conexão com a internet (dial-up).

Desde já agradeço...

Grande abraço!

Logfile of HijackThis v1.99.1

Scan saved at 00:57:39, on 15/8/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.exe

C:\ARQUIVOS DE PROGRAMAS\AVPERSONAL\AVGUARD.EXE

C:\WINDOWS\system32\nsms.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\Arquivos de programas\iolo\System Mechanic 4 Professional\PopupStopper.exe

C:\Arquivos de programas\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Arquivos de programas\Discador Orolix\dialer.exe

C:\WINDOWS\system32\winmine.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\WinRAR\WinRAR.exe

C:\DOCUME~1\Usuario\CONFIG~1\Temp\Rar$EX00.616\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gxdgj.dll/sp.html#28129

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\nsms.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\nsms.exe

O1 - Hosts: 216.69.164.89 auto.search.msn.com #NETVISION

O2 - BHO: (no name) - {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} - C:\WINDOWS\SYSTEM32\nnllj.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

O4 - HKCU\..\Run: [DiscadorPremioiBest] "C:\Arquivos de programas\DiscadorPremioiBest\autoupdate.exe"

O4 - HKCU\..\Run: [Discador Ubbi Free] "C:\Arquivos de programas\Discador Ubbi Free\autoupdate.exe"

O4 - HKCU\..\Run: [system Mechanic Popup Stopper] "C:\Arquivos de programas\iolo\System Mechanic 4 Professional\PopupStopper.exe"

O4 - HKCU\..\Run: [NETVISIONPasse-partout] C:\WINDOWS\Passe-partout.exe -A

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Arquivos de programas\InterVideo\Common\Bin\WinCinemaMgr.exe

O8 - Extra context menu item: &Google Search - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\WINDOWS\System32\shdocvw.dll

O10 - Broken Internet access because of LSP provider 'c:\arquivos de programas\newdotnet\newdotnet6_38.dll' missing

O12 - Plugin for .mp3: C:\Arquivos de programas\Internet Explorer\PLUGINS\npqtplugin4.dll

O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O15 - Trusted Zone: *.frame.crazywinnings.com

O15 - Trusted Zone: www.redfunny.com

O15 - Trusted Zone: www.skymasters.biz

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.asdbiz.biz (HKLM)

O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted IP range: 67.19.178.84

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/014bd7eaf9db29...RdxIE601_br.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {C7932801-AF0C-11D6-8137-0050DA5F0293} (RdxIE Class) - http://www.grokster.com/rdx/RdxIE.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{72430AC9-2918-449B-A454-425BC6EA0332}: NameServer = 200.184.26.9 200.184.26.14

O17 - HKLM\System\CCS\Services\Tcpip\..\{B430A59C-8519-41D3-92DD-A03C007DB810}: NameServer = 69.50.177.204,85.255.112.25

O20 - Winlogon Notify: nnllj - C:\WINDOWS\SYSTEM32\nnllj.dll

O21 - SSODL: System - {62BBFE0E-0137-4FEC-837E-800F011B8EF2} - ssmc.dll (file missing)

O21 - SSODL: DivX Player - {3A199089-7F1E-91C5-B7BA-983B7B3E2756} - c:\arquivos de programas\divx\divx player\winzbxink32.dll (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\ARQUIVOS DE PROGRAMAS\AVPERSONAL\AVGUARD.EXE

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - (no file)

O23 - Service: Windows Network Security Management Service (nsms) - Unknown owner - C:\WINDOWS\system32\nsms.exe

O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINDOWS\System32\wgareg.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

C:\DOCUME~1\Usuario\CONFIG~1\Temp\Rar$EX00.616\HijackThis.exe <- aqui n vale!

Abra uma pasta em C:/ com nome HJT e coloque a ferramenta hijackthis na pasta. Faça o log a partir da pasta e cola aqui mesmo. Não abre outro tópico, so responde com o log a partir da pasta

.......

Faça o download do CWShredder:

http://www.trendmicro.com/ftp/products/onl.../cwshredder.exe

Faça o download do SpHjfix.exe

http://www.trojaner-info.de/cgi-bin/downlo...gi?file=sphjfix

Faça o download do FxAgentB.exe

http://securityresponse.symantec.com/avcenter/FxAgentB.exe

Faça o download do about:Buster

http://www.majorgeeks.com/AboutBuster_d4289.html

Faça o download do DelDomains:

http://www.mvps.org/winhelp2002/DelDomains.inf

Não clique duas vezes no DelDomains.inf. Ao invés disso, clique com o botão direito e clique em Instalar.

Aparentemente nada acontece. Isso é normal.

Reinicie em Modo Seguro

(aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

Iniciar -> Executar. Digite (cole) services.msc e clique em OK.

Procure o service cavalo de tróia

Windows Network Security Management Service (nsms)

Windows Genuine Advantage Registration Service (wgareg)

Dê um clique direito nele e clique em Propriedades. Clique em Parar e troque o Tipo de Inicialização para Desativado.

1.Dê um duplo clique em -> SpHjfix.exe -> Desinfektion starten

2.Roda o AboutBuster :

Clica em Begin Removal.

3.Roda a CWShredder:

Clica "Fix" -> e clica "OK"

4. Execute o FxAgentB.exe

Reiniciar

Agora cola o log a partir da pasta.

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Ok! após os procedimrntos o log ficou assim...

    Logfile of HijackThis v1.99.1

    Scan saved at 02:18:18, on 16/8/2006

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\SYSTEM32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\ARQUIVOS DE PROGRAMAS\AVPERSONAL\AVGUARD.EXE

    C:\Arquivos de programas\QuickTime\qttask.exe

    C:\Arquivos de programas\iolo\System Mechanic 4 Professional\PopupStopper.exe

    C:\Arquivos de programas\InterVideo\Common\Bin\WinCinemaMgr.exe

    C:\WINDOWS\system32\nsms.exe

    C:\Arquivos de programas\Discador Orolix\dialer.exe

    C:\Arquivos de programas\Internet Explorer\iexplore.exe

    C:\WINDOWS\System32\wuauclt.exe

    C:\Hijack\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

    R3 - Default URLSearchHook is missing

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\nsms.exe

    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\nsms.exe

    O2 - BHO: (no name) - {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} - C:\WINDOWS\SYSTEM32\nnllj.dll

    O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [Microsoft ® Windows Network Security Management Service] C:\WINDOWS\system32\nsms.exe

    O4 - HKCU\..\Run: [DiscadorPremioiBest] "C:\Arquivos de programas\DiscadorPremioiBest\autoupdate.exe"

    O4 - HKCU\..\Run: [Discador Ubbi Free] "C:\Arquivos de programas\Discador Ubbi Free\autoupdate.exe"

    O4 - HKCU\..\Run: [system Mechanic Popup Stopper] "C:\Arquivos de programas\iolo\System Mechanic 4 Professional\PopupStopper.exe"

    O4 - HKCU\..\Run: [NETVISIONPasse-partout] C:\WINDOWS\Passe-partout.exe -A

    O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Arquivos de programas\InterVideo\Common\Bin\WinCinemaMgr.exe

    O8 - Extra context menu item: &Google Search - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsearch.html

    O8 - Extra context menu item: &Translate English Word - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmwordtrans.html

    O8 - Extra context menu item: Backward Links - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmbacklinks.html

    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmcache.html

    O8 - Extra context menu item: Similar Pages - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsimilar.html

    O8 - Extra context menu item: Translate Page into English - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmtrans.html

    O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\WINDOWS\System32\shdocvw.dll

    O10 - Broken Internet access because of LSP provider 'c:\arquivos de programas\newdotnet\newdotnet6_38.dll' missing

    O12 - Plugin for .mp3: C:\Arquivos de programas\Internet Explorer\PLUGINS\npqtplugin4.dll

    O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

    O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/014bd7eaf9db29...RdxIE601_br.cab

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

    O16 - DPF: {C7932801-AF0C-11D6-8137-0050DA5F0293} (RdxIE Class) - http://www.grokster.com/rdx/RdxIE.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{72430AC9-2918-449B-A454-425BC6EA0332}: NameServer = 200.184.26.9 200.184.26.14

    O17 - HKLM\System\CCS\Services\Tcpip\..\{B430A59C-8519-41D3-92DD-A03C007DB810}: NameServer = 69.50.177.204,85.255.112.25

    O20 - Winlogon Notify: nnllj - C:\WINDOWS\SYSTEM32\nnllj.dll

    O21 - SSODL: DivX Player - {3A199089-7F1E-91C5-B7BA-983B7B3E2756} - c:\arquivos de programas\divx\divx player\winzbxink32.dll (file missing)

    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\ARQUIVOS DE PROGRAMAS\AVPERSONAL\AVGUARD.EXE

    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - (no file)

    O23 - Service: Windows Network Security Management Service (nsms) - Unknown owner - C:\WINDOWS\system32\nsms.exe

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Fechar todas as janelas e programas. Seu sistema irá dar o boot.

    Abra o HijackThis e clique em 'config' ou Open The Misc Tools Section, depois 'misc Tools' , clique e abra 'Delete a file on reboot'

    localize, cola:

    C:\WINDOWS\system32\nsms.exe

    Clica open

    A Hijackthis vai dizer ... deletar o arquivo após o reboot... Clica Yes/ok

    Reinicie em Modo Seguro

    (aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

    Iniciar -> Executar. Digite (cole) services.msc e clique em OK.

    Procure o service cavalo de tróia

    Windows Network Security Management Service (nsms)

    Somente se voce tirou o antivirus AVG

    Avg7UpdSvc

    Dê um clique direito nele e clique em Propriedades. Clique em Parar e troque o Tipo de Inicialização para Desativado.

    Iniciar -> executar -> escrever cmd - > enter

    sc delete wgareg -> enter

    cola

    sc delete nsms -> enter

    Se voce tirou o AVG

    cola

    sc delete Avg7UpdSvc -> enter

    cola

    exit -> enter

    Execute o HijackThis, clique em Do a System Scan Only, marque

    somente as entradas abaixo e dê o Fix Checked

    R3 - Default URLSearchHook is missing

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\nsms.exe

    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\nsms.exe

    O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

    O4 - HKCU\..\Run: [NETVISIONPasse-partout] C:\WINDOWS\Passe-partout.exe -A

    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)

    O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/014bd7eaf9db29...RdxIE601_br.cab

    O16 - DPF: {C7932801-AF0C-11D6-8137-0050DA5F0293} (RdxIE Class) - http://www.grokster.com/rdx/RdxIE.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{B430A59C-8519-41D3-92DD-A03C007DB810}: NameServer = 69.50.177.204,85.255.112.25

    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - (no file)

    Via Windows Explorer apague o arquivo se encontrar

    C:\Windows\xpupdate.exe

    Reiniciar

    Faça o download do VundoFix

    clica ai

    Salve-o em sua área de trabalho.

    1. Rode o VundoFix.exe.

    2. Marque a caixa Run VundoFix as a task

    3. Você receberá uma mensagem dizendo que o VundoFix será fechado e reaberto em alguns instantes. Clique em OK

    4. Quando o VundoFix abrir novamente, clique em Scan for Vundo

    5. Quando ele terminar, clique em Remove Vundo

    6. Caso que diz que nada fora encontrado, dê um clique na a caixa de lista (caixa branca) da janela principal de VundoFix. Selecione “Add More Files?”. Isto abrirá uma janela nova de VundoFix. In the Window: cole a primeiro: C:\WINDOWS\SYSTEM32\nnllj.dll

    7. depois cola o contrário com .* veja ->: C:\WINDOWS\System32\jllnn.*

    8. Você receberá um prompt perguntando se você quer remover os arquivos. Confirme. Sua área de trabalho vai sumir.

    9. Você receberá um aviso dizendo que seu computador deve ser desligado. Clique em OK e depois ligue o computador novamente.

    Baixa o Patch para XP e instala

    clica ai

    Quando reiniciar, faça um novo log do HijackThis. Poste, mais o vundofix.txt que estará em C:\

    post-25482-13884920997518_thumb.gif

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Logfile of HijackThis v1.99.1

    Scan saved at 03:09:22, on 18/8/2006

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\SYSTEM32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\ARQUIVOS DE PROGRAMAS\AVPERSONAL\AVGUARD.EXE

    C:\WINDOWS\System32\wuauclt.exe

    C:\Arquivos de programas\QuickTime\qttask.exe

    C:\Arquivos de programas\iolo\System Mechanic 4 Professional\PopupStopper.exe

    C:\Arquivos de programas\InterVideo\Common\Bin\WinCinemaMgr.exe

    C:\Arquivos de programas\Discador Orolix\dialer.exe

    C:\Arquivos de programas\Internet Explorer\iexplore.exe

    C:\Hijack\HijackThis.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

    O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

    O4 - HKLM\..\Run: [Microsoft ® Windows Network Security Management Service] C:\WINDOWS\system32\nsms.exe

    O4 - HKCU\..\Run: [DiscadorPremioiBest] "C:\Arquivos de programas\DiscadorPremioiBest\autoupdate.exe"

    O4 - HKCU\..\Run: [Discador Ubbi Free] "C:\Arquivos de programas\Discador Ubbi Free\autoupdate.exe"

    O4 - HKCU\..\Run: [system Mechanic Popup Stopper] "C:\Arquivos de programas\iolo\System Mechanic 4 Professional\PopupStopper.exe"

    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Arquivos de programas\InterVideo\Common\Bin\WinCinemaMgr.exe

    O8 - Extra context menu item: &Google Search - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsearch.html

    O8 - Extra context menu item: &Translate English Word - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmwordtrans.html

    O8 - Extra context menu item: Backward Links - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmbacklinks.html

    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmcache.html

    O8 - Extra context menu item: Similar Pages - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsimilar.html

    O8 - Extra context menu item: Translate Page into English - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmtrans.html

    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\WINDOWS\System32\shdocvw.dll

    O10 - Broken Internet access because of LSP provider 'c:\arquivos de programas\newdotnet\newdotnet6_38.dll' missing

    O12 - Plugin for .mp3: C:\Arquivos de programas\Internet Explorer\PLUGINS\npqtplugin4.dll

    O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{72430AC9-2918-449B-A454-425BC6EA0332}: NameServer = 200.184.26.9 200.184.26.14

    O21 - SSODL: DivX Player - {3A199089-7F1E-91C5-B7BA-983B7B3E2756} - c:\arquivos de programas\divx\divx player\winzbxink32.dll (file missing)

    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\ARQUIVOS DE PROGRAMAS\AVPERSONAL\AVGUARD.EXE

    VundoFix V5.1.11

    Running as SYSTEM

    from c:\windows\system32\VundoFix.exe

    Checking Java version...

    Sun Java not detected

    Scan started at 10:50:06 16/8/2006

    Listing files found while scanning....

    C:\windows\system32\nnllj.dll

    Beginning removal...

    The process smss.exe was successfully stopped

    The process winlogon.exe was successfully stopped

    The process explorer.exe was successfully stopped

    The process iexplore.exe was successfully stopped

    The process rundll32.exe was successfully stopped

    Attempting to delete C:\windows\system32\nnllj.dll

    C:\windows\system32\nnllj.dll Has been deleted!

    Performing Repairs to the registry.

    Done!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Bom dia

    Faça o download do WinSockFix:

    clica ai

    Não rode-o ainda!

    Desabilite seu antivírus para não causar conflitos.

    Clique em Iniciar / Painel de Controle / Adicionar/Remover Programas.

    Desinstale:

    New.net Domains

    Apenas se você não encontrar o New.net na lista do Adicionar/Remover Programas, vá até a página:

    http://www.newdotnet.com/removal.html

    Role a página até um pouco mais abaixo e faça o download do programa linkado no passo 1 do PROCEDURE 4.

    Depois de fazer o download desse arquivo, rode-o e reinicie o computador.

    Se, ao reiniciar, sua internet parar de funcionar corretamente, use o WinsockFix. Caso contrário não é necessário utilizá-lo. Caso você use o WinsockFix, reinicie o computador outra vez.

    Talvez você queira imprimir essas instruções ou salvá-las em um arquivo texto para fácil acesso.

    Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

    Execute o HijackThis, clique em Do a System Scan Only, marque

    somente as entradas abaixo e dê o Fix Checked

    O4 - HKLM\..\Run: [Microsoft ® Windows Network Security Management Service] C:\WINDOWS\system32\nsms.exe

    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    O21 - SSODL: DivX Player - {3A199089-7F1E-91C5-B7BA-983B7B3E2756} - c:\arquivos de programas\divx\divx player\winzbxink32.dll (file missing)

    Habilite o Windows para mostrar todos os arquivos (até ocultos). -> veja

    Via Windows Explorer apague arquivo se ainda não o fez

    C:\WINDOWS\system32\nsms.exe

    Reiniciar

    Faça outro log hijackthis e anexe o resultado

    post-25482-13884921239321_thumb.gif

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Olá!

    ok! após os procedimentos...

    Logfile of HijackThis v1.99.1

    Scan saved at 14:06:43, on 18/8/2006

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\SYSTEM32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\Explorer.EXE

    C:\ARQUIVOS DE PROGRAMAS\AVPERSONAL\AVGUARD.EXE

    C:\Arquivos de programas\QuickTime\qttask.exe

    C:\Arquivos de programas\iolo\System Mechanic 4 Professional\PopupStopper.exe

    C:\Arquivos de programas\InterVideo\Common\Bin\WinCinemaMgr.exe

    C:\WINDOWS\System32\WgaTray.exe

    C:\Arquivos de programas\Discador Orolix\dialer.exe

    C:\WINDOWS\System32\wuauclt.exe

    C:\WINDOWS\System32\wuauclt.exe

    C:\Arquivos de programas\Internet Explorer\iexplore.exe

    C:\Hijack\HijackThis.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

    O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

    O4 - HKCU\..\Run: [DiscadorPremioiBest] "C:\Arquivos de programas\DiscadorPremioiBest\autoupdate.exe"

    O4 - HKCU\..\Run: [Discador Ubbi Free] "C:\Arquivos de programas\Discador Ubbi Free\autoupdate.exe"

    O4 - HKCU\..\Run: [system Mechanic Popup Stopper] "C:\Arquivos de programas\iolo\System Mechanic 4 Professional\PopupStopper.exe"

    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Arquivos de programas\InterVideo\Common\Bin\WinCinemaMgr.exe

    O8 - Extra context menu item: &Google Search - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsearch.html

    O8 - Extra context menu item: &Translate English Word - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmwordtrans.html

    O8 - Extra context menu item: Backward Links - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmbacklinks.html

    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmcache.html

    O8 - Extra context menu item: Similar Pages - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsimilar.html

    O8 - Extra context menu item: Translate Page into English - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmtrans.html

    O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\WINDOWS\System32\shdocvw.dll

    O12 - Plugin for .mp3: C:\Arquivos de programas\Internet Explorer\PLUGINS\npqtplugin4.dll

    O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1155881970769

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{72430AC9-2918-449B-A454-425BC6EA0332}: NameServer = 200.184.26.9 200.184.26.14

    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\ARQUIVOS DE PROGRAMAS\AVPERSONAL\AVGUARD.EXE

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Não sei o que aconteceu, agora meu PC está superlotado de vírus...

    Logfile of HijackThis v1.99.1

    Scan saved at 20:15:04, on 20/8/2006

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\SYSTEM32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\SYSTEM32\rundll32.exe

    C:\ARQUIVOS DE PROGRAMAS\AVPERSONAL\AVGUARD.EXE

    C:\WINDOWS\Explorer.exe

    C:\WINDOWS\System32\msijavaup32.exe

    C:\windows\system32\stonedrv.exe

    C:\dfndrff_11a.exe

    C:\kybrdff_11a.exe

    C:\WINDOWS\System32\RUNDLL32.EXE

    C:\nwnmff_11.exe

    C:\Arquivos de programas\Discador Orolix\dialer.exe

    C:\Hijack\HijackThis.exe

    C:\Arquivos de programas\Mozilla Firefox\firefox.exe

    c:\fload.exe

    C:\ARQUIVOS DE PROGRAMAS\AVPERSONAL\GUARDGUI.EXE

    C:\ARQUIVOS DE PROGRAMAS\INTERNET EXPLORER\IEXPLORE.EXE

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

    R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Arquivos de programas\Deskbar\deskbar.dll

    F2 - REG:system.ini: Shell=Explorer.exe msijavaup32.exe

    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,msijavaup32.exe

    O1 - Hosts: 235.214.107.41 www.virustotal.com

    O1 - Hosts: 33.3.169.44 virusscan.jotti.org

    O1 - Hosts: 95.95.239.187 sandbox.norman.no

    O1 - Hosts: 236.16.252.76 www.symantec.com

    O1 - Hosts: 81.237.212.190 securityresponse.symantec.com

    O1 - Hosts: 153.77.69.6 symantec.com

    O1 - Hosts: 101.81.142.37 www.sophos.com

    O1 - Hosts: 51.92.5.83 sophos.com

    O1 - Hosts: 22.84.63.236 www.mcafee.com

    O1 - Hosts: 204.205.34.167 mcafee.com

    O1 - Hosts: 243.212.96.143 liveupdate.symantecliveupdate.com

    O1 - Hosts: 61.96.74.78 www.viruslist.com

    O1 - Hosts: 104.47.238.203 viruslist.com

    O1 - Hosts: 109.147.117.22 f-secure.com

    O1 - Hosts: 13.244.51.53 www.f-secure.com

    O1 - Hosts: 57.5.230.76 kaspersky.com

    O1 - Hosts: 17.115.16.33 www.avp.com

    O1 - Hosts: 90.161.208.139 www.kaspersky.com

    O1 - Hosts: 50.145.99.80 avp.com

    O1 - Hosts: 233.168.246.216 www.networkassociates.com

    O1 - Hosts: 64.114.128.249 www.ca.com

    O1 - Hosts: 236.121.110.141 ca.com

    O1 - Hosts: 54.114.43.161 mast.mcafee.com

    O1 - Hosts: 118.182.103.146 my-etrust.com

    O1 - Hosts: 221.234.42.53 www.my-etrust.com

    O1 - Hosts: 78.49.5.243 download.mcafee.com

    O1 - Hosts: 11.207.240.9 dispatch.mcafee.com

    O1 - Hosts: 185.176.201.53 secure.nai.com

    O1 - Hosts: 219.150.202.149 nai.com

    O1 - Hosts: 192.252.18.2 www.nai.com

    O1 - Hosts: 21.236.30.16 update.symantec.com

    O1 - Hosts: 19.195.32.170 updates.symantec.com

    O1 - Hosts: 130.65.67.206 us.mcafee.com

    O1 - Hosts: 115.196.49.111 liveupdate.symantec.com

    O1 - Hosts: 117.157.101.252 customer.symantec.com

    O1 - Hosts: 183.213.47.157 rads.mcafee.com

    O1 - Hosts: 68.79.239.155 trendmicro.com

    O1 - Hosts: 211.47.228.251 www.trendmicro.com

    O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

    O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Arquivos de programas\TheSearchAccelerator\UCMTSAIE.dll (file missing)

    O4 - HKLM\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe

    O4 - HKLM\..\Run: [defender] C:\\dfndrff_11a.exe

    O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_11a.exe

    O4 - HKLM\..\Run: [yll496ed] RUNDLL32.EXE w0128ffd.dll,n 003496ea0000000a0128ffd

    O4 - HKLM\..\Run: [newname] C:\\nwnmff_11.exe

    O4 - HKLM\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe

    O4 - HKLM\..\RunServices: [stonedrv] c:\windows\system32\stonedrv.exe

    O4 - HKCU\..\Run: [stonedrv] c:\windows\system32\stonedrv.exe

    O4 - HKCU\..\Run: [shell] "C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Web Folders\ibm00011.exe"

    O4 - HKCU\..\RunServices: [Ms Java for Windows NT] msijavaup32.exe

    O4 - Global Startup: InterVideo WinCinema Manager.lnk.disabled

    O8 - Extra context menu item: &Google Search - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsearch.html

    O8 - Extra context menu item: &Translate English Word - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmwordtrans.html

    O8 - Extra context menu item: Backward Links - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmbacklinks.html

    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmcache.html

    O8 - Extra context menu item: Similar Pages - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsimilar.html

    O8 - Extra context menu item: Translate Page into English - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmtrans.html

    O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\WINDOWS\System32\shdocvw.dll

    O12 - Plugin for .mp3: C:\Arquivos de programas\Internet Explorer\PLUGINS\npqtplugin4.dll

    O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1155881970769

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{72430AC9-2918-449B-A454-425BC6EA0332}: NameServer = 200.184.26.9 200.184.26.14

    O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\m6lslg3716.dll

    O21 - SSODL: SysTray - {E61B5E20-DE35-11CF-9C87-1579005127ED} - C:\WINDOWS\SYSTEM32\msc.cpl

    O21 - SSODL: msp.cpl - {E21B5E20-DE35-11CF-9C87-157900512701} - C:\WINDOWS\SYSTEM32\msp.cpl

    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\ARQUIVOS DE PROGRAMAS\AVPERSONAL\AVGUARD.EXE

    O23 - Service: Windows Genuine Advantage Registration Service (net32a) - Unknown owner - C:\WINDOWS\System32\net32a.exe

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Boa Noite RodGo

    Não sei o que aconteceu, agora meu PC está superlotado de vírus...

    1) Um sistema não atualizado fica propenso a superlotações de coisas jamais vistas.

    Para iniciantes em hijackthis é um vestibular, uma beleza. Se voce seguiu a orientação e criou um ponto de restauração, agora é a hora de voltar quando estava limpo!

    2) Há uma falha no Windows descrita no boletim MS06-040 (isto não é novidade). O vírus, chamado de IRCBot.st pela F-Secure, tenta se passar pela polêmica verificação do Windows original (WGA), utilizando um serviço chamado Windows Genuine Advantage Registration Service (Serviço de Registro do WGA).

    :unsure:

    Este fantasma anda atemorizando a net e está contemplando vários SOs. Infelizmente você foi um deles.

    clica ai para saber

    Então não baixe a guarda...

    Você trabalha bem as sugestões...

    Vamos começar de novo... ou voce vai restaurar

    post-25482-13884921858667_thumb.gif

    post-25482-13884921858744_thumb.gif

    post-25482-13884921859377_thumb.gif

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Ok!! resolvido!!!

    O único problema foi eu descubrir q o meu Windows não é original (comprei o PC novo na loja com o Windows já instalado há 4 anos), sendo assim parece impossível instalar o Service Pack 2... ou existe alguma solução?

    Obrigado pela atenção!

    Logfile of HijackThis v1.99.1

    Scan saved at 03:24:38, on 21/8/2006

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\SYSTEM32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\ARQUIVOS DE PROGRAMAS\AVPERSONAL\AVGUARD.EXE

    C:\Arquivos de programas\QuickTime\qttask.exe

    C:\Arquivos de programas\iolo\System Mechanic 4 Professional\PopupStopper.exe

    C:\Arquivos de programas\InterVideo\Common\Bin\WinCinemaMgr.exe

    C:\WINDOWS\System32\wuauclt.exe

    C:\WINDOWS\System32\wuauclt.exe

    C:\WINDOWS\SoftwareDistribution\Download\c268348752498f57ff1128ae6a23c4f1\update\update.exe

    C:\Arquivos de programas\Discador Orolix\dialer.exe

    C:\Arquivos de programas\AVPersonal\AVGNT.EXE

    C:\Arquivos de programas\Mozilla Firefox\firefox.exe

    C:\Hijack\HijackThis.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

    O1 - Hosts: 235.214.107.41 www.virustotal.com

    O1 - Hosts: 33.3.169.44 virusscan.jotti.org

    O1 - Hosts: 95.95.239.187 sandbox.norman.no

    O1 - Hosts: 236.16.252.76 www.symantec.com

    O1 - Hosts: 81.237.212.190 securityresponse.symantec.com

    O1 - Hosts: 153.77.69.6 symantec.com

    O1 - Hosts: 101.81.142.37 www.sophos.com

    O1 - Hosts: 51.92.5.83 sophos.com

    O1 - Hosts: 22.84.63.236 www.mcafee.com

    O1 - Hosts: 204.205.34.167 mcafee.com

    O1 - Hosts: 243.212.96.143 liveupdate.symantecliveupdate.com

    O1 - Hosts: 61.96.74.78 www.viruslist.com

    O1 - Hosts: 104.47.238.203 viruslist.com

    O1 - Hosts: 109.147.117.22 f-secure.com

    O1 - Hosts: 13.244.51.53 www.f-secure.com

    O1 - Hosts: 57.5.230.76 kaspersky.com

    O1 - Hosts: 17.115.16.33 www.avp.com

    O1 - Hosts: 90.161.208.139 www.kaspersky.com

    O1 - Hosts: 50.145.99.80 avp.com

    O1 - Hosts: 233.168.246.216 www.networkassociates.com

    O1 - Hosts: 64.114.128.249 www.ca.com

    O1 - Hosts: 236.121.110.141 ca.com

    O1 - Hosts: 54.114.43.161 mast.mcafee.com

    O1 - Hosts: 118.182.103.146 my-etrust.com

    O1 - Hosts: 221.234.42.53 www.my-etrust.com

    O1 - Hosts: 78.49.5.243 download.mcafee.com

    O1 - Hosts: 11.207.240.9 dispatch.mcafee.com

    O1 - Hosts: 185.176.201.53 secure.nai.com

    O1 - Hosts: 219.150.202.149 nai.com

    O1 - Hosts: 192.252.18.2 www.nai.com

    O1 - Hosts: 21.236.30.16 update.symantec.com

    O1 - Hosts: 19.195.32.170 updates.symantec.com

    O1 - Hosts: 130.65.67.206 us.mcafee.com

    O1 - Hosts: 115.196.49.111 liveupdate.symantec.com

    O1 - Hosts: 117.157.101.252 customer.symantec.com

    O1 - Hosts: 183.213.47.157 rads.mcafee.com

    O1 - Hosts: 68.79.239.155 trendmicro.com

    O1 - Hosts: 211.47.228.251 www.trendmicro.com

    O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

    O4 - HKCU\..\Run: [DiscadorPremioiBest] "C:\Arquivos de programas\DiscadorPremioiBest\autoupdate.exe"

    O4 - HKCU\..\Run: [Discador Ubbi Free] "C:\Arquivos de programas\Discador Ubbi Free\autoupdate.exe"

    O4 - HKCU\..\Run: [system Mechanic Popup Stopper] "C:\Arquivos de programas\iolo\System Mechanic 4 Professional\PopupStopper.exe"

    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Arquivos de programas\InterVideo\Common\Bin\WinCinemaMgr.exe

    O8 - Extra context menu item: &Google Search - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsearch.html

    O8 - Extra context menu item: &Translate English Word - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmwordtrans.html

    O8 - Extra context menu item: Backward Links - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmbacklinks.html

    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmcache.html

    O8 - Extra context menu item: Similar Pages - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsimilar.html

    O8 - Extra context menu item: Translate Page into English - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmtrans.html

    O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\WINDOWS\System32\shdocvw.dll

    O12 - Plugin for .mp3: C:\Arquivos de programas\Internet Explorer\PLUGINS\npqtplugin4.dll

    O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1155881970769

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{72430AC9-2918-449B-A454-425BC6EA0332}: NameServer = 200.184.26.9 200.184.26.14

    O21 - SSODL: SysTray - {E61B5E20-DE35-11CF-9C87-1579005127ED} - C:\WINDOWS\SYSTEM32\msc.cpl

    O21 - SSODL: msp.cpl - {E21B5E20-DE35-11CF-9C87-157900512701} - C:\WINDOWS\SYSTEM32\msp.cpl

    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\ARQUIVOS DE PROGRAMAS\AVPERSONAL\AVGUARD.EXE

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Enxugou, mas ainda tem resto

    1. Faça o download do KillBox do Option^Explicit

    http://www.bleepingcomputer.com/files/spyware/KillBox.zip

    Unzip. Rode-o. Marque a opção Delete on Reboot. Agora selecione a lista em negrito abaixo e clique em Editar > Copiar (ou pressione CTRL + C).

    C:\WINDOWS\SYSTEM32\msc.cpl

    C:\WINDOWS\SYSTEM32\msp.cpl

    Volte ao KillBox. Clique em File > Paste from clipboard. Clique no botão All Files.

    Clique no botão X. Responda Não à pergunta.

    Talvez você queira imprimir essas instruções ou salvá-las em um arquivo texto para fácil acesso.

    Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

    Execute o HijackThis, clique em Do a System Scan Only, marque

    somente as entradas abaixo e dê o Fix Checked

    O21 - SSODL: SysTray - {E61B5E20-DE35-11CF-9C87-1579005127ED} - C:\WINDOWS\SYSTEM32\msc.cpl

    O21 - SSODL: msp.cpl - {E21B5E20-DE35-11CF-9C87-157900512701} - C:\WINDOWS\SYSTEM32\msp.cpl

    Reinicie em Modo Normal

    2ª Etapa

    Faça o download do Hoster

    http://linhadefensiva.uol.com.br/dl/hoster

    Abra o programa. Clique em Restore Original Hosts File. Clique em OK, feche o programa.

    Faça o download do Dr. Web CureIt:

    ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

    http://download.drweb.com/drweb+cureit/

    -> em seu desktop

    Não rode-o ainda. Desabilitar as proteções residentes de antivírus e antispywares.

    Dar um duplo clique no ícone/aranha drweb-cureit.exe . Você vai receber uma notificação, em português, para iniciar a verificação expressa, juntamente com algumas informações do produto. O Dr.Web fará um rastreamento inicial. Quando terminar clica na tecla F9, verificar, desmarcar Análise Heurística (pode haver falso/positivo). Marcar os drivers para iniciar a varredura, e os pontos vermelhos demonstram que foram escolhidos. Clica no botão verde à direita, então começará a varredura. Aguardar com paciência.

    Nesta primeira fase diga não a todos. No final clica no botão vermelho

    Em seguida clica no botão e remove para quarentena.

    Iniciar -> executar -> cola e veja

    %USERPROFILE%\DoctorWeb\Quarantine

    Importante reiniciar o computador novamente!

    Iniciar -> executar -> cola

    %USERPROFILE%\DoctorWeb\CureIt.log

    Melhor hospedar o arquivo.

    clica aqui e depois volte com o link

    Faça o log hijackthis para conferência

    post-25482-13884921866559_thumb.gif

    post-25482-13884921866615_thumb.gif

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Boa tarde!

    OK! Mais um passo concluído!

    Abraço!

    http://rapidshare.de/files/30259165/CureIt.log.html

    Logfile of HijackThis v1.99.1

    Scan saved at 17:26:56, on 21/8/2006

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\SYSTEM32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\spoolsv.exe

    C:\ARQUIVOS DE PROGRAMAS\AVPERSONAL\AVGUARD.EXE

    C:\Arquivos de programas\QuickTime\qttask.exe

    C:\Arquivos de programas\iolo\System Mechanic 4 Professional\PopupStopper.exe

    C:\Arquivos de programas\InterVideo\Common\Bin\WinCinemaMgr.exe

    C:\WINDOWS\System32\wuauclt.exe

    C:\WINDOWS\System32\wuauclt.exe

    C:\Arquivos de programas\Discador Orolix\dialer.exe

    C:\Arquivos de programas\Mozilla Firefox\firefox.exe

    C:\Hijack\HijackThis.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

    O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

    O4 - HKCU\..\Run: [DiscadorPremioiBest] "C:\Arquivos de programas\DiscadorPremioiBest\autoupdate.exe"

    O4 - HKCU\..\Run: [Discador Ubbi Free] "C:\Arquivos de programas\Discador Ubbi Free\autoupdate.exe"

    O4 - HKCU\..\Run: [system Mechanic Popup Stopper] "C:\Arquivos de programas\iolo\System Mechanic 4 Professional\PopupStopper.exe"

    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Arquivos de programas\InterVideo\Common\Bin\WinCinemaMgr.exe

    O8 - Extra context menu item: &Google Search - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsearch.html

    O8 - Extra context menu item: &Translate English Word - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmwordtrans.html

    O8 - Extra context menu item: Backward Links - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmbacklinks.html

    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmcache.html

    O8 - Extra context menu item: Similar Pages - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsimilar.html

    O8 - Extra context menu item: Translate Page into English - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmtrans.html

    O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D} - C:\WINDOWS\System32\shdocvw.dll

    O12 - Plugin for .mp3: C:\Arquivos de programas\Internet Explorer\PLUGINS\npqtplugin4.dll

    O12 - Plugin for .spop: C:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1155881970769

    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

    O17 - HKLM\System\CCS\Services\Tcpip\..\{72430AC9-2918-449B-A454-425BC6EA0332}: NameServer = 200.184.26.9 200.184.26.14

    O21 - SSODL: WebCheck - {E61B5E20-DE35-11CF-9C87-1579005127ED} - (no file)

    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\ARQUIVOS DE PROGRAMAS\AVPERSONAL\AVGUARD.EXE

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Reinicie em Modo Seguro (aperte a tecla F8 até aparecer uma tela DOS e escolha Modo de Segurança).

    Execute o HijackThis, clique em Do a System Scan Only, marque

    somente as entradas abaixo e dê o Fix Checked

    O21 - SSODL: WebCheck - {E61B5E20-DE35-11CF-9C87-1579005127ED} - (no file)

    O log ficará limpo

    Instale uma firewall. As mais pesadas são de fácil configuração. Outras mais leves, porém tem que procurar as rules e configurações na outra sala do fórum de programas de proteção.

    Leia o artigo Proteja seu PC para evitar futuras infecções:

    http://linhadefensiva.uol.com.br/artigos/proteja-seu-pc/

    Desabilite e reabilite a Restauração do Sistema:

    http://service1.symantec.com/SUPPORT/INTER...a5?OpenDocument

    abraço

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    CASO RESOLVIDO!

    Caso o autor do tópico necessite, o mesmo será reaberto, para isso o mesmo deverá procurar um Moderador da área e solicitar o desbloqueio!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
    Visitante
    Este tópico está impedido de receber novos posts.
    Entre para seguir isso  





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×