Ir ao conteúdo
  • Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   07-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   12-02-2016

      Prezados membros do Clube do Hardware, Está aberto o processo de seleção de novos moderadores para diversos setores ou áreas do Clube do Hardware. Os requisitos são:   Pelo menos 500 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas às perguntas abaixo:   Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
.:Miaka:.

Por favor, analisem meu log

Recommended Posts

Olá, estou com problemas no computador

Com a minha super capacidade, consegui infectar meu computador novo e apesar da ajuda de alguns amigos continuo com problemas

Quando ligo o computador, o seguinte aviso aparece

windows cannot find c:\WINDOWS\svchost.exe

Este é meu log:

Logfile of HijackThis v1.99.1

Scan saved at 17:40:58, on 17/1/2008

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\rundll32.exe

C:\Program Files\IrfanView\i_view32.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Luiza\My Documents\My Received Files\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dbsarticles.com

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [Microsoft Windows Driver] C:\WINDOWS\rundll32.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200465448749

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200465433702

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

E agora tá dando esse erro quando eu ligo também...

http://www.fileden.com/files/2007/8/21/1370174/erro.jpg

Compartilhar este post


Link para o post
Compartilhar em outros sites

Seu sistema operacional está desatualizado é importante no mínimo instalar o Service Pack 1, caso contrário novas infecções poderão aparecer. Para atualizar para Service Pack 1 faça o seguinte:

  1. Vá neste site para download SP1a para Windows XP
    link alternativo
  2. Instale a atualização
  3. Reinicie o computador

Para uma segurança melhor será bom instalar o Service Pack 2 também, porém isso após o sistema estar limpo.

Agora poste um novo log do Hijackthis.

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • Autor do tópico
  • Olá! Primeiro de td, obrigada pela atenção :)

    Então, eu baixei o pack e quando eu fui instalar, deu o seguinte erro...

    http://www.fileden.com/files/2007/8/21/1370174/erro2.jpg

    fui até o site do windows xp mas nao vi nd referente a isso.....

    Ah, e meu Windows não é o Windows versão 32 bits. É o versão 64 bits em inglês mesmo

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Ok, vamos partir para desinfecção, depois nos preocupamos com isso.

    Faça o download do SDFix:

    http://linhadefensiva.uol.com.br/dl/sdfix

    Salve-o em sua área de trabalho. Dê um duplo clique no SDFix.exe e a ferramenta será instalada em %SystemDrive%\SDFix (geralmente C:\SDFix)

    Reinicie em Modo de Segurança (Pressione intermitentemente F8 durante a inicialização, no menu que aparecer escolha através da seta de navegação, Modo Seguro).

    1. Entre na pasta SDFix que foi instalada no seu computador e dê um duplo clique no arquivo RunThis.bat
    2. Tecle Y para que a ferramenta inicie o processo de remoção
    3. Quando tudo terminar, você verá um aviso dizendo para apertar qualquer tecla para continuar. Ao pressionar qualquer tecla, o computador será reiniciado automaticamente
    4. Após reiniciar, a ferramenta ainda será executada novamente e irá terminar o seu trabalho e a palavra Finished irá aparecer. Pressione qualquer tecla.
    5. Uma janela com o relatório do SDFix irá aparecer.
    6. Copie e cole este relatório na sua resposta. Caso você tenha fechado a janela, uma cópia do relatório estará na pasta SDFix com o nome Report.txt

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • SDFix: Version 1.129

    Run by Luiza on dom 20/01/2008 at 15:27

    Microsoft Windows XP [Version 5.1.2600]

    Running From: C:\SDFix

    Safe Mode:

    Checking Services:

    Name:

    smtpdrv

    EJO38

    Path:

    System32\DRIVERS\smtpdrv.sys

    System32\Drivers\Ejo38.sys

    smtpdrv - Deleted

    EJO38 - Deleted

    C:\WINDOWS\system32\Microsoft\backup.ftp Found

    C:\WINDOWS\system32\Microsoft\backup.tftp Found

    Checking files:

    Dummy:

    C:\WINDOWS\system32\Microsoft\backup.ftp

    C:\WINDOWS\system32\Microsoft\backup.tftp

    C:\WINDOWS\system32\ftp.exe

    C:\WINDOWS\system32\tftp.exe

    C:\WINDOWS\system32\dllcache\ftp.exe

    C:\WINDOWS\system32\dllcache\tftp.exe

    Files copied to SDFix\Backups

    Restoring files if backups are found

    Final Check:

    Dummy:

    C:\WINDOWS\system32\Microsoft\backup.ftp

    C:\WINDOWS\system32\Microsoft\backup.tftp

    C:\WINDOWS\system32\ftp.exe

    C:\WINDOWS\system32\tftp.exe

    C:\WINDOWS\system32\dllcache\ftp.exe

    C:\WINDOWS\system32\dllcache\tftp.exe

    Restoring Windows Registry Values

    Restoring Windows Default Hosts File

    Restoring Default HKCU HomePage

    Rebooting...

    Service EJO38 - Deleted after Reboot

    Normal Mode:

    Checking Files:

    Trojan Files Found:

    C:\WINDOWS\system32\drivers\EJO38.sys - Deleted

    C:\Program Files\Common Files\Carlson\carlton - Deleted

    C:\Documents and Settings\All Users\Start Menu\carlton - Deleted

    C:\lo.exe - Deleted

    C:\WINDOWS\rundll32.exe - Deleted

    C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted

    C:\WINDOWS\system32\Microsoft\backup.tftp - Deleted

    C:\WINDOWS\system32\drivers\smtpdrv.sys - Deleted

    Folder C:\Program Files\Common Files\Carlson - Removed

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS

    No streams found.

    C:\WINDOWS\system32

    No streams found.

    C:\WINDOWS\system32\svchost.exe

    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe

    No streams found.

    Final Check:

    catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

    Rootkit scan 2008-01-20 15:29:07

    Windows 5.1.2600 NTFS

    detected NTDLL code modification:

    ZwOpenFile

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully

    hidden processes: 0

    hidden services: 0

    hidden files: 0

    Remaining Services:

    ------------------

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

    "C:\\WINDOWS\\System32\\dllcache\\winppa.exe"="C:\\WINDOWS\\System32\\dllcache\\winppa.exe:*:Enabled:Microsoft PowerPoint Application"

    "\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"

    Remaining Files:

    ---------------

    File Backups: - C:\SDFix\backups\backups.zip

    Files with Hidden Attributes:

    Tue 15 Jan 2008 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

    Tue 15 Jan 2008 401 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv13.bak"

    Tue 15 Jan 2008 499,712 ..SHR --- "C:\WINDOWS\system32\dllcache\wingptd.exe"

    Tue 15 Jan 2008 1,097,728 ..SHR --- "C:\WINDOWS\system32\dllcache\winppa.exe"

    Finished!

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Poste um novo log do Hijackthis por gentileza.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Logfile of HijackThis v1.99.1

    Scan saved at 19:41:16, on 20/1/2008

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\System32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.exe

    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

    C:\Program Files\Winamp\winampa.exe

    C:\Program Files\Common Files\Real\Update_OB\realsched.exe

    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

    C:\WINDOWS\System32\wuauclt.exe

    C:\WINDOWS\System32\dllcache\windmns.exe

    C:\Documents and Settings\Luiza\My Documents\My Received Files\hijackthis_199\HijackThis.exe

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200465448749

    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200465433702

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

    O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

    O23 - Service: Microsoft Windows DNS Manager - Unknown owner - C:\WINDOWS\System32\dllcache\windmns.exe

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Faça o download do ComboFix

    É importante que o salve no seu desktop (ambiente de trabalho)

    • Feche todas as janelas e programas.
    • Dê um duplo-clique no combofix.exe, marque 1 e dê o enter.
    • É um pouco demorado, por favor seja paciente.
    • Quando a ferramenta terminar de rodar, gerará um log. Poste o arquivo C:\ComboFix.txt.
    • Faça também um novo log do HijackThis para colocar na sua resposta.

    Atenção: Não clique com o mouse enquanto a ferramenta estiver rodando, isso pode fazer com que o PC pare.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • ComboFix 08-01-21.4 - Luiza 2008-01-22 5:15:29.2 - NTFSx86

    Microsoft Windows XP Professional 5.1.2600.0.1252.1.1033.18.344 [GMT -3:00]

    Running from: C:\Documents and Settings\Luiza\Desktop\ComboFix.exe

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

    .

    ----------------------------------------------------

    Logfile of HijackThis v1.99.1

    Scan saved at 05:17, on 2008-01-22

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\System32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\System32\dllcache\windmns.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

    C:\Program Files\Winamp\winampa.exe

    C:\Program Files\Common Files\Real\Update_OB\realsched.exe

    C:\Program Files\MSN Messenger\usnsvc.exe

    C:\WINDOWS\explorer.exe

    C:\Program Files\Winamp\winamp.exe

    C:\Documents and Settings\Luiza\My Documents\My Received Files\hijackthis_199\HijackThis.exe

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200465448749

    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200465433702

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

    O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

    O23 - Service: Generic Host Process for Win-32 Service - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

    O23 - Service: Microsoft Windows DNS Manager - Unknown owner - C:\WINDOWS\System32\dllcache\windmns.exe

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Abra o bloco de notas e copie cole o seguinte texto entre QUOTE:


    @echo off
    sc stop "Generic Host Process for Win-32 Service"
    sc delete "Generic Host Process for Win-32 Service"
    sc stop "Microsoft Windows DNS Manager"
    sc delete "Microsoft Windows DNS Manager"

    Salve o arquivo como FixServices.bat

    Escolha salvar colocando como tipo de arquivo: todos os arquivos.

    Ficará um ícone como este 4qhg48p.jpg

    Dê um duplo clique em FixServices.bat. Espere o bat terminar de executar.

    Reinicie em Modo de Segurança (Pressione intermitentemente F8 durante a inicialização, no menu que aparecer escolha através da seta de navegação, Modo Seguro).

    Configure o Windows para mostrar todos os arquivos

    Usando o Windows Explorer (clique com o botão da direita do mouse em cima do Iniciar depois clique em Explorar, procure e apague o seguinte arquivo em vermelho (se estiver[em] presente):

    C:\WINDOWS\svchost.exe <--Este arquivo

    C:\WINDOWS\System32\dllcache\windmns.exe <--Este arquivo

    Reinicie normalmente e poste um novo Log do Hijackthis.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Não existia nenhum dos arquivos

    Logfile of HijackThis v1.99.1

    Scan saved at 20:40, on 2008-01-22

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\System32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.exe

    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

    C:\Program Files\Winamp\winampa.exe

    C:\Program Files\Common Files\Real\Update_OB\realsched.exe

    C:\WINDOWS\svchost.exe

    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

    C:\Program Files\MSN Messenger\msnmsgr.exe

    C:\Program Files\MSN Messenger\usnsvc.exe

    C:\WINDOWS\System32\wuauclt.exe

    C:\Documents and Settings\Luiza\My Documents\My Received Files\hijackthis_199\HijackThis.exe

    F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\svchost.exe

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200465448749

    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200465433702

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

    O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

    O23 - Service: Generic Host Process for Win-32 Service - Unknown owner - C:\WINDOWS\svchost.exe

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Você não tem nenhum software antivírus instalado em sua máquina.

    Antivírus são programas que podem detectar, limpar, apagar arquivos infectados por vírus em seu computador, servidor da web, ou rede. Estando desabilitado, vírus podem se auto enviar para outros, espalhando assim a infecção. Por causa de novos vírus esse software deve ser atualizado regularmente. Software antivírus podem escanear a memória do computador e outros discos por código malicioso. Eles podem alertar o usuário se um vírus está presente, e limpa-lo, deleta-lo (ou **-lo em quarentena) arquivos ou diretórios infectados. Faça download de um desses excelentes programas mencionados aqui:

    Lista de Antivírus

    Depois,

    Abra o bloco de notas e copie/cole o seguinte texto entre QUOTE:

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell"="Explorer.exe"
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    Vá em Arquivo > Salvar como...

    Salve no seu desktop com o nome FixReg.reg.

    Em Salvar como tipo escolha a opção Todos os arquivos.

    Clique em Salvar.

    Execute o arquivo FixReg.reg. Aparecerá uma tela de confirmação de inserção de dados, aceite.

    Depois,

    Clique Iniciar>>Executar e digite services.msc

    Procure pelo serviço: Generic Host Process for Win-32 Service

    Clique com o botão direito e clique em Propriedades. Clique em Parar e troque o Tipo de Inicialização para Desativado.

    Abra o HijackThis, clique em Open the misc tools section, em seguida clique em:

    Delete NT Service

    Na caixa coloque: Generic Host Process for Win-32 Service em seguida clique em OK e confirme.

    Feche o HijackThis.

    Depois,

    Baixe o Pocket KillBox

    Salve em uma pasta em C:\

    Abra o Bloco de Notas, copie estas linhas e salve.

    C:\WINDOWS\svchost.exe

    Abra o KillBox e marque a função Delete on Reboot. Abra o Bloco de notas, selecione e copie as linhas salvas. No KillBox, clique em File, depois em Paste from Clipboard, Clique no botão All Files e clique no botão killbox.png . Depois clique em Não.

    Reinicie normalmente e poste um novo Log do Hijackthis.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Eu já tentei instalar 3 tipos de anti virus e todos dão algum tipo de erro na instalação alegando que falta algum dos componentes

    O erro que aparece no AVG é:

    Local machine: installation failed

    Installation:

    Error: Action failed for file avgamsvr.exe: starting service....

    Access is denied. (5)

    E ao tentar executar o Pocket KillBox, apareceu o seguinte erro:

    erro2.jpg

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Faça o download do arquivo abaixo, mova para a pasta System32 e veja se consegue usar o KillBox, do antivírus trataremos no próximo passo.

    http://www.ocxdump.com/download-ocx-files_new.php/ocxfiles/M/MSCOMCTL.OCX/6.01.9782/download.html

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Dessa vez funcionou:

    Logfile of HijackThis v1.99.1

    Scan saved at 10:53, on 2008-01-24

    Platform: Windows XP (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\System32\Ati2evxx.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\spoolsv.exe

    C:\WINDOWS\system32\Ati2evxx.exe

    C:\WINDOWS\Explorer.exe

    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

    C:\Program Files\Winamp\winampa.exe

    C:\Program Files\Common Files\Real\Update_OB\realsched.exe

    C:\Documents and Settings\Luiza\My Documents\My Received Files\hijackthis_199\HijackThis.exe

    F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\svchost.exe

    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200465448749

    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200465433702

    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

    O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

    O23 - Service: Generic Host Process for Win-32 Service - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Você executou o procedimento com o FixReg.reg?

    Faça o download do EliBagle

    http://linhadefensiva.uol.com.br/dl/elibagle

    Rode a ferramenta. O exame pode levar um tempo para terminar.

    Quando o exame terminar, um relatório será criado em C:\infoSat.txt. Abra este arquivo com o Bloco de Notas.

    Clique em Editar -> Selecionar tudo e então em Editar -> Copiar.

    Cole o log na sua resposta aqui no fórum (usando Editar -> Colar), junto com um relatório do HijackThis.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites
  • Autor do tópico
  • Sim, executei e desativei o eneric Host Process for Win-32 Service... a única coisa que não consegui fazer foi Parar pois a opção estava desabilitada.

    Quanto ao EliBagle:

    "Archivo modificado, posiblemente por un VIRUS.

    Contacte con SATINFO."

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites

    Vá em Iniciar > Executar e digite combofix /u. Isso desinstalará o ComboFix de sua máquina.

    Faça o download do ComboFix

    É importante que o salve no seu desktop (ambiente de trabalho)

    • Feche todas as janelas e programas.
    • Dê um duplo-clique no combofix.exe, marque 1 e dê o enter.
    • É um pouco demorado, por favor seja paciente.
    • Quando a ferramenta terminar de rodar, gerará um log. Poste o arquivo C:\ComboFix.txt.
    • Faça também um novo log do HijackThis para colocar na sua resposta.

    Atenção: Não clique com o mouse enquanto a ferramenta estiver rodando, isso pode fazer com que o PC pare.

    Compartilhar este post


    Link para o post
    Compartilhar em outros sites





    Sobre o Clube do Hardware

    No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

    Direitos autorais

    Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

    ×