Ir ao conteúdo
  • Cadastre-se

Depois de removido um virus do meu WinXP


cesartiberio

Posts recomendados

Recentemente removi um virus do meu computador que utiliza o SO Windows XP, e agora sempre que inicializo o windows me aparece a seguinte tela de erro.

Na barra de titulo aparece: RUNDLL

Na mensagem diz: "Erro ao carregar C:\DOCUME~1\Junior\CONFIG~1\TEMP\se.dll"

"Não foi possível encontrar o módulo especificado"

O que eu faço para resolver o problema?

Link para o comentário
Compartilhar em outros sites

Cesar Tiberio,

Através do HijackThis podemos diagnosticar e reparar diferentes problemas no computador, dado que ele é hábil no apontamento de entradas e programas maliciosos no computador, neste sentido, basta clicar no link disposto AQUI para iniciar o download. Após baixar o arquivo que virá zipado, crie uma nova pasta denominada HijackThis, extraindo o programa do Zip para pasta recém-criada. Clique apenas em "Do a system scan only" e após receber o resultado clique apenas em "Save Log". Salve o relatório na pasta HijackThis, cópie o relatório e cole neste tópico para avaliação.

OFAJ

Link para o comentário
Compartilhar em outros sites

Logfile of HijackThis v1.99.1

Scan saved at 21:40:32, on 12/3/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Lexmark X1100 Series\lxbkbmgr.exe

C:\Arquivos de programas\MSN Apps\Updater\01.02.3000.1001\pt-br\msnappau.exe

C:\Arquivos de programas\Lexmark X1100 Series\lxbkbmon.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\ARQUIV~1\ezula\mmod.exe

C:\ARQUIV~1\COMMON~1\qurm\qurmm.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\ARQUIV~1\COMMON~1\qurm\qurma.exe

C:\DOCUME~1\Junior\CONFIG~1\Temp\Diretório temporário 1 para hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchforit.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Junior\CONFIG~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Arquivos de programas\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.3000.1001\pt-br\msntb.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\gbieh.dll

O2 - BHO: (no name) - {D58D7315-BB3D-421C-BF04-C2503C623E12} - C:\WINDOWS\System32\lfko.dll (file missing)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.3000.1001\pt-br\msntb.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Arquivos de programas\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [msnappau] "C:\Arquivos de programas\MSN Apps\Updater\01.02.3000.1001\pt-br\msnappau.exe"

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Junior\CONFIG~1\Temp\se.dll,DllInstall

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [DR_S] C:\Arquivos de programas\DR_S\DR_S.exe

O4 - HKCU\..\Run: [eZmmod] C:\ARQUIV~1\ezula\mmod.exe

O4 - HKCU\..\Run: [qurm] C:\ARQUIV~1\COMMON~1\qurm\qurmm.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: PrecisionTime.lnk = C:\Arquivos de programas\PrecisionTime\PrecisionTime.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/cha...t/c381/chat.cab

O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.pgsconnect.com/access/pgs0075.exe

O16 - DPF: {00000000-0000-0000-0000-000020050000} - http://www.accessoveloce.com/nd/nd03147.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/cha...v45/yacscom.cab

O16 - DPF: {69FD62B1-0216-4C31-8D55-840ED86B7C8F} - http://installs.hotbar.com/installs/hotbar...rams/hotbar.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/insta...00/SYSsfitb.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O18 - Filter: text/html - {6C616078-C2DC-4BBC-BA5C-BE00851DD8C5} - C:\WINDOWS\System32\lfko.dll

O18 - Filter: text/plain - {6C616078-C2DC-4BBC-BA5C-BE00851DD8C5} - C:\WINDOWS\System32\lfko.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Link para o comentário
Compartilhar em outros sites

Postado Originalmente por cesartiberio@12 de março de 2005, 21:44

Logfile of HijackThis v1.99.1

Scan saved at 21:40:32, on 12/3/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

[...]

Cesar Tiberio,

Não é válido rodar o HijackThis em pastas temporárias ou dentro do Zip, sob pena de o relatório sair incompleto, nesse sentido, faça o seguinte: Crie uma nova pasta denominada HijackThis, extraindo o programa do Zip para pasta recém-criada. Clique apenas em "Do a system scan only" e após receber o resultado clique apenas em "Save Log". Salve o relatório na pasta HijackThis, cópie o relatório e cole neste tópico para avaliação.

OFAJ

Link para o comentário
Compartilhar em outros sites

Beleza?

Faz o que o OFAJ disse, mas para adiantar, se você quiser, faça isso...

Em modo de segurança (f8 na entrada do windows xp)

Marque as entradas

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Junior\CONFIG~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP =

about:blank

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\gbieh.dll

O2 - BHO: (no name) - {D58D7315-BB3D-421C-BF04-C2503C623E12} - C:\WINDOWS\System32\lfko.dll (file missing)

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Junior\CONFIG~1\Temp\se.dll,DllInstall

O4 - HKCU\..\Run: [DR_S] C:\Arquivos de programas\DR_S\DR_S.exe

O4 - Global Startup: PrecisionTime.lnk = C:\Arquivos de programas\PrecisionTime\PrecisionTime.exe

(essas não tenho certeza)

O4 - HKCU\..\Run: [qurm] C:\ARQUIV~1\COMMON~1\qurm\qurmm.exe

O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.pgsconnect.com/access/pgs0075.exe

O16 - DPF: {00000000-0000-0000-0000-000020050000} - http://www.accessoveloce.com/nd/nd03147.exe

O16 - DPF: {69FD62B1-0216-4C31-8D55-840ED86B7C8F} - http://installs.hotbar.com/installs/hotbar...rams/hotbar.cab

(...)

O18 - Filter: text/html - {6C616078-C2DC-4BBC-BA5C-BE00851DD8C5} - C:\WINDOWS\System32\lfko.dll

O18 - Filter: text/plain - {6C616078-C2DC-4BBC-BA5C-BE00851DD8C5} - C:\WINDOWS\System32\lfko.dll

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

Instruções de Remoção

Antes de iniciar a remoção, configure o Windows para mostrar todos os arquivos. Deve-se fazer isso porque o arquivo a ser removido pode estar oculto e você não poderá fazer nada se não pode vê-lo.

Inicie o Windows em Modo de Segurança. Talvez você queira imprimir esta página antes de seguir em frente, pois você deve agora desconectar o computador da Internet e não deve reconectá-lo novamente até terminar. Além disso, você deve fechar o Internet Explorer e não deve executá-lo novamente até reiniciar, portanto você deve pelo menos salvar essas instruções em um arquivo texto para dispensar o uso de um navegador.

Ao iniciar no Modo de Segurança, abra o HijackThis e clique em 'Open the Misc Tools section'. Clique em Process Manager e procure pelo rundll32.exe e pelo explorer.exe. Se eles estiverem rodando, clique neles e clique em Kill Process. Você deve selecionar os dois processos usando a tecla CTRL.

Clique para ver screenshot

O HijackThis provavelmente vai dizer que não conseguiu fechar um processo porque ele está protegido. Se isso acontecer, continue fechando o explorer.exe ou o rundll32.exe (aquele que ficar aberto). O explorer.exe você não precisa fechar — no momento que sua área de trabalho sumir e voltar você vai saber que o explorer.exe fechou corretamente. Se ela não sumir, continue tentando fechá-lo até que ela suma e volte. Se sua área de trabalho sumir mas ela não voltar, clique em 'Run', digite 'explorer' e clique em OK.

Após isso, clique em Back e clique em Scan. Marque as entradas identificadas anteriormente e clique em Fix Checked.

Ainda no HijackThis, clique em Config e na aba 'Misc Tools'. Clique no botão Open Uninstall Manager. Se você ver a entrada 'Search Assistant Uninstall', clique nela e então clique em Delete this Entry. Isso irá remover a entrada no seu Painel de Controle em Adicionar/Remover Programas. Feche o HijackThis.

Após isso, você deve procurar os arquivos identificados no log e apagá-los. Caso você não consiga apagá-los, tente renomeá-los para algo diferente como 'preciso-remover.dll'. Desse modo o Windows não encontrará o arquivo na próxima inicialização, não poderá colocá-lo na memória e assim você poderá seguramente removê-lo depois que reinicar.

Não apague o arquivo rundll32.exe e o explorer.exe. Eles são vitais para o funcionamento do sistema. Você apenas precisa fechá-los aqui porque o trojan os utiliza para executar as suas funções.

Fonte: Linha Defensiva

Atualize seu windows através do Windows Update. Se você não fizer isso, os buracos pelos quais esse trojan entrou não serão fechados e desse modo você será reinfectado.

Caso prefira, instale um navegador alternativo como o Mozilla Firefox (sim, você pode dispensar aquele 'E' azul). Isso pode lhe garantir mais segurança. Usar um navegador diferente do Internet Explorer é principalmente recomendado se você não utiliza Windows XP ou 2003, já que as novas versões do Internet Explorer provavelmente não serão lançadas para as versões antigas do Windows.

Abraços

Leandro

Link para o comentário
Compartilhar em outros sites

Agora fiz com o programa descompactado em uma pasta, e o resultado foi o seguinte:

Logfile of HijackThis v1.99.1

Scan saved at 20:46:55, on 13/3/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Lexmark X1100 Series\lxbkbmgr.exe

C:\Arquivos de programas\MSN Apps\Updater\01.02.3000.1001\pt-br\msnappau.exe

C:\Arquivos de programas\Lexmark X1100 Series\lxbkbmon.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\ARQUIV~1\ezula\mmod.exe

C:\ARQUIV~1\COMMON~1\qurm\qurmm.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Junior\Desktop\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchforit.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Junior\CONFIG~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Arquivos de programas\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.3000.1001\pt-br\msntb.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\gbieh.dll

O2 - BHO: (no name) - {D58D7315-BB3D-421C-BF04-C2503C623E12} - C:\WINDOWS\System32\lfko.dll (file missing)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.3000.1001\pt-br\msntb.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Arquivos de programas\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [msnappau] "C:\Arquivos de programas\MSN Apps\Updater\01.02.3000.1001\pt-br\msnappau.exe"

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Junior\CONFIG~1\Temp\se.dll,DllInstall

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [DR_S] C:\Arquivos de programas\DR_S\DR_S.exe

O4 - HKCU\..\Run: [eZmmod] C:\ARQUIV~1\ezula\mmod.exe

O4 - HKCU\..\Run: [qurm] C:\ARQUIV~1\COMMON~1\qurm\qurmm.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: PrecisionTime.lnk = C:\Arquivos de programas\PrecisionTime\PrecisionTime.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/cha...t/c381/chat.cab

O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.pgsconnect.com/access/pgs0075.exe

O16 - DPF: {00000000-0000-0000-0000-000020050000} - http://www.accessoveloce.com/nd/nd03147.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/cha...v45/yacscom.cab

O16 - DPF: {69FD62B1-0216-4C31-8D55-840ED86B7C8F} - http://installs.hotbar.com/installs/hotbar...rams/hotbar.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/insta...00/SYSsfitb.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O18 - Filter: text/html - {6C616078-C2DC-4BBC-BA5C-BE00851DD8C5} - C:\WINDOWS\System32\lfko.dll

O18 - Filter: text/plain - {6C616078-C2DC-4BBC-BA5C-BE00851DD8C5} - C:\WINDOWS\System32\lfko.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Link para o comentário
Compartilhar em outros sites

Postado Originalmente por cesartiberio@13 de março de 2005, 20:54

[...]

Logfile of HijackThis v1.99.1

Scan saved at 20:46:55, on 13/3/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

[...]

Cesar Tiberio, diante das informações presentes no último relatório, no meu modesto entendimento, constam 17 entradas maliciosas, que deverão ser suprimidas. Os procedimentos para isso serão dispostos adiante, mas antes disso, tome duas providências.

1- Configure o seu computador para exibir todos os arquivos, para tanto, vide precedimentos: Abra o Windows Explorer ==>> Clique em Ferramentas ==>> Opções de Pasta ==>> Selecione a aba Modo de Exibição ==>> Desmarque a caixa 'Ocultar arquivos protegidos do sistema operacional (recomendado)' ==>> Selecione o botão 'Mostrar pastas e arquivos ocultos' ==>> Clique em OK.

2- Vá no menu "Iniciar" ==>> Clique em "Executar" ==>> Cole ou digite os termos "Write.exe" - sem aspas. Cópie somente o teor deste post, cole no Wordpad e salve em uma pasta de fácil acesso. Quando você estiver operando no "Modo Seguro" acesse e utilize este arquivo, pois páginas eletrônicas ficam inacessíveis nestas condições.

Partindo para os procedimentos de remoção das 17 entradas maliciosas:

O programa HijackThis, deve ser aberto no "Modo Seguro". Neste sentido basta reiniciar o micro teclando F-8 constantemente, optando posteriormente por iniciar o micro no "Modo Seguro".

Com o programa aberto nestas condições clique em 'View the list of backups' e vá na aba 'Main' verificando e habilitando o boxe com a opção 'Make Backups before fixing items'. Provavelmete este boxe já estará habilitado, junto com outros, mas convêm verificar para evitar ações sem saída.

Feito isso clique primeiro em 'Back' e depois em 'Scan'. Após obter os resultados, desabilite todas entradas que estão com boxes habilitados. Após isso selecione, com atenção, apenas as 17 entradas destacadas abaixo, clicando posteriormente em "Fix Checked".

=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Junior\CONFIG~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {D58D7315-BB3D-421C-BF04-C2503C623E12} -

C:\WINDOWS\System32\lfko.dll (file missing)

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Junior\CONFIG~1\Temp\se.dll,DllInstall

O4 - HKCU\..\Run: [DR_S] C:\Arquivos de programas\DR_S\DR_S.exe

O4 - HKCU\..\Run: [eZmmod] C:\ARQUIV~1\ezula\mmod.exe

O4 - HKCU\..\Run: [qurm] C:\ARQUIV~1\COMMON~1\qurm\qurmm.exe

O16 - DPF: {00000000-0000-0000-0000-000020040000} -

http://www.pgsconnect.com/access/pgs0075.exe

O16 - DPF: {00000000-0000-0000-0000-000020050000} -

http://www.accessoveloce.com/nd/nd03147.exe

O16 - DPF: {69FD62B1-0216-4C31-8D55-840ED86B7C8F} -

http://installs.hotbar.com/installs/hotbar...rams/hotbar.cab

O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/insta...00/SYSsfitb.cab

O18 - Filter: text/html - {6C616078-C2DC-4BBC-BA5C-BE00851DD8C5} -

C:\WINDOWS\System32\lfko.dll

O18 - Filter: text/plain - {6C616078-C2DC-4BBC-BA5C-BE00851DD8C5} -

C:\WINDOWS\System32\lfko.dll

=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>

Arquivos Maliciosos:

Acesse o software Spybot - Search & Destroy , disponível em Português ==>> Clique no menu 'Modo' e selecione a opção 'Avançado' ==>> Clique na na parte inferior esquerda em 'Ferramentas' ==>> Clique na 3.º opção denominada 'Triturador' ==>> Clique com o botão direito do mouse na área branca da tela e selecione a 1.º opção denominada 'Adicionar arquivo(s) à lista' ==>> Faça uma busca pelos arquivos dispostos adiante. O arquivo está em negrito e a pasta equivale aos termos que antecedem:

C:\WINDOWS\System32\lfko.dll

Confira também se existe o arquivo se.dll/sp.html, na pasta apontada adiante, triturando-o no caso de ser localizado:

C:\Documents and Settings\NOME DO USUÁRIO\Configurações locais\Temp

Assim que for localizando-os clique no botão 'Triturar', localizado no lado inferior direito da tela -- Importante: Se o acesso for negado, via Windows Explorer, vá na pasta em questão, localize o arquivo e tente renomeá-lo, substituindo a extensão .DLL por .TXT, retomando o processo de busca para 'Triturá-lo.'.

Se o acesso ainda for negado, via Spybot, vá em 'Ferramentas' ==>> Clique na 9.º opção denominada 'Lista de Processos' ==>> Veja nesta lista se os processos em questão estão ativos ==>> Confira os processos relacionados nos 2 campos desta tela, sito, 'Processos' e 'Módulo' ==>> Se estiverem presentes, selecione a linha do processo ==>> Clique com o botão direito do mouse e selecione a 2.º opção denominada 'Finalizar' ==>> Retome o processo de busca para 'Triturá-lo.'

=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>

Editor de Registro:

Essa nova providência é baseada em uma ação manual que deve ser feita com muito cuidado, pois o “Editor de Registro” armezena informações vitais para o funcionamento do micro, portanto, siga rigorosamente os passos descritos adiante.

Avance através do menu “Iniciar” ==>> Clique em “Executar” e digite “ Regedit ”, sem aspas e dê “Enter” ==>> Na ' da janela que for aberta vá em “Editar” e clique em “Localizar” (Crtl+F) ==>> Na janela de localização digite ou - preferencialmete - cole os caracteres OldSP ,clicando posteriormente em “Localizar Próxima” (F-3), possibilitando verificar se existe esta pasta no registro ==>> Se houver uma pasta com o nome apontado acima faça o seguinte ==>> Através da aba do lado esquerdo do Editor de Registro, clique com o botão direito do mouse sobre o nome da pasta ==>> Clique na opção intitulada “Excluir" ==>> Repita a operação de busca com os caracteres OldSP até não haver mais entradas com tais características.

Terminando essa pesquisa, faça outra em cima dos caracteres lfko.dll ==>> Se houver entradas com os termos acima, dê um “Enter” na entrada correspondente, apagando o que houver no campo “Dados do Valor”, clicando em “OK” para finalizar ==>> Repita a operação de busca com os caracteres lfko.dll até não haver mais entradas com tais características, clicando em “Arquivo” ==>> “Sair”.

=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>

Escaneamento Online:

Recomendo um escaneamento online, neste sentido, o Housecall da Trend Micro pode ser acessado por AQUI, inclusive, além do Housecall da Trend Micro, você pode rodar o Panda Active Scan, acessível por AQUI, pois já aconteceu de ele detectar pragas que passaram desapercebidas no Panda, e vice-versa, portanto ambos são bons e necessários na análise de "Pragas Digitais."

=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>

Importante:

Após concluir os passos acima, faça um novo Scan via Hijackthis, salvando e substituindo o relatório antigo, por fim, copiando o teor do mesmo e disponibilizando para análise do fórum, aproveitando para informar como reagiu o computador após estas providências.

OFAJ

Link para o comentário
Compartilhar em outros sites

Obs.: Quando entrei em modo seguro não consegui identificar 5 entradas para corrigi-las, são elas:

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O4 - HKCU\..\Run: [DR_S] C:\Arquivos de programas\DR_S\DR_S.exe

O4 - HKCU\..\Run: [eZmmod] C:\ARQUIV~1\ezula\mmod.exe

O4 - HKCU\..\Run: [qurm] C:\ARQUIV~1\COMMON~1\qurm\qurmm.exe

A tela de erro desapareceu, e o comportamento do computador parece normalizado.

Depois de seguido as orientações e scaneado novamente me apareceu o seguinte resultado:

Logfile of HijackThis v1.99.1

Scan saved at 23:06:40, on 13/3/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Microsoft Office\Office10\WINWORD.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Junior\Desktop\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Arquivos de programas\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.3000.1001\pt-br\msntb.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\gbieh.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.3000.1001\pt-br\msntb.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Arquivos de programas\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [msnappau] "C:\Arquivos de programas\MSN Apps\Updater\01.02.3000.1001\pt-br\msnappau.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AVG7_Run] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: PrecisionTime.lnk = C:\Arquivos de programas\PrecisionTime\PrecisionTime.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/cha...t/c381/chat.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/cha...v45/yacscom.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Link para o comentário
Compartilhar em outros sites

Postado Originalmente por cesartiberio@13 de março de 2005, 23:23

[...]

Logfile of HijackThis v1.99.1

Scan saved at 23:06:40, on 13/3/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

[...]

Ok, Cesar Tiberio! :joia:Grato pelo Feedback! O último relatório via HijackThis, no meu modesto entendimento, apresenta uma conjuntura satisfatória, bem diferente dos logs antecessores, contudo, consta um novo registro malicioso que julgo necessário ser removido, neste sentido, faça o seguinte:

Abra o HijackThis neste momento, clique em Do a system scan only, aguarde o processamento e após obter os resultados, desabilite todas entradas que estão com boxes habilitados. Após isso selecione, com atenção, apenas a única entrada destacadas abaixo, clicando posteriormente em Fix Checked.

R3 - Default URLSearchHook is missing

Talvez você esteja ciente dos termos que vou redigir, contudo, vou adiante com a melhor das intenções: Quando o tema é segurança em computadores, é fundamental deixar claro que o Firewall é um dos principais escudos na defesa do micro, pois computador sem Firewall é sinônimo de vírus, invasões e outras atormentações, inclusive, perda de velocidade e desempenho, principalmente em computadores com com Banda Larga.

No caso de você se encaixar no grupo dos que já possuem Firewall, verifique se ele está devidamente configurado para impedir que ações não solicitadas sejam realizadas aleatóriamente. No caso de você não possuir Firewall, acesse os tópicos intitulados "Entendendo os Firewalls", "O melhor Firewall" e por fim o tópico intitulado "Configurando os Firewalls".

Como o assunto é segurança, informo ainda que existe uma lista de configurações manuais com objetivo de impedir que o micro tenha tantas vulnerabilidades, sito portas abertas e outras várias permissões que beneficiam o trabalho dos Terroristas de Internet, quando estes tentam acessar e contaminar seu computador. Neste sentido, considero recomendável que tais configurações e/ou recomendações sejam analisadas e - eventualmente - reajustadas de acordo com o teor disposto neste LINK. Ressalvo que as configurações existentes no link acima, foram eleboradas pensando em um computador com Banda Larga, neste sentido leia e veja quais recomendações podem ser de bom proveito.

Existem, ainda, outras duas medidas salutares na armadura contra intrusões de 'Pragas Digitais', que, no caso, são a realização dos Updates do Windows de forma regular, assim como, manter um Anti-Vírus e um par de Anti-Spywares ativos e igualmente atualizados.

Quanto aos Anti-Spywares, se você analisar os tópicos do fórum sobre Spywares, irá verificar que essas "Pragas Digitais", de modo frequente, são combatidas com mais eficiência mediante adoção de dois ou mais protetores destinados para esse fim, dentre os quais se destacam os programas, Ad-Aware SE Personal Edition , Spybot - Search & Destroy , Webroot Spy Sweeper e o Microsoft Anti-Spyware, sendo que este último encontra-se ainda na versão beta. Assim que algum desses programas forem baixados, veja se existem ferramentas de Update, fazendo uso delas para manter os respectivos programas sempre atualizados.

*Com relação aos procedimentos via Ad-Aware SE Personal, acrescento somente uma dica; Após abrir o programa e dar 'Start' será aberta a tela que precede o início da varredura. Observe que existem 4 opções de seleção para o Scan. Dentre essas 4 opções habilite a 2 da lista denominada 'Perform Full System Scan', que percorre todas pastas existentes no micro.

**Com relação aos procedimentos via Spybot - Search & Destroy, cabe ressaltar que este software dispõem de valorosas 'Ferramentas', acessíveis via seleção do 'Modo Avançado', dentre as quais se destacam, entre outras opções, os campos denominados 'Residente' e 'Ajustes do I.E.', que devem ter seus respectivos boxes ativados para proporcionar uma melhor segurança. Outra averiguação importante está nas opções de 'Configurações' do Spybot, clicando em 'Produtos a Ignorar'; Principalmente nas abas sobre Malwares e Trojans não é conveniente haver boxes selecionados, sob risco de o escaneamento não detectar certas 'Pragas Digitais.'

Informações adicionais sobre Spywares, também podem ser lidas no tópico intitulado "O Melhor Anti-Spyware", acessível por AQUI, pois além dos votos, constam comentários extras envolvendo todas principais marcas comerciais destes segmentos.

Quanto aos Anti-Vírus, recomendo, ainda, que promova uma análise dos "Tópicos Importantes" do "Fórum sobre Vírus", incluindo o tópico intitulado "O melhor antivirus", pois as informações dispostas nestes locais podem lhe auxiliar, em muito, nos passos a serem tomados para livrar-se de numerosas "Pragas Digitais". Ademais, também é possível filtrar e relacionar informações específicas através do nosso SEARCH.

OFAJ

Link para o comentário
Compartilhar em outros sites

Visitante
Este tópico está impedido de receber novos posts.

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...

Redes-Wi-Fi-capa-3d-newsletter.png

EBOOK GRÁTIS!

CLIQUE AQUI E BAIXE AGORA MESMO!