Passei o hijackthis - Alguem poderia ver?

[voleibol]

Ola amigos, a um tempinho atras, vocês do FORUM me ajudaram, quando um computador dava mensagem de erro na inicialização, me axuxiliaram passando o programa hijackthis.

Agora, tem uma maquian com o WinXP PRO, que simplesmente, semrpe que inicializa, tira o AUTOEXEC.NT da pasta System32 e joga na pasta REPAIR. Passei o Antivirus (por outra máquina) e retirei dois arquivos infectados. Depois passei o SpyBot...também retirou vários trojans......mas ainda não resolveu. Lembrei do hijackthis e resolvi passar a postar.....

Será q alguem podeira me ajudar???? Aguardo

Logfile of HijackThis v1.99.1

Scan saved at 09:49:43, on 3/18/aaaa

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\cidaemon.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

C:\Program Files\Media Pass\MediaPass.exe

C:\WINDOWS\sixtypopsix.exe

C:\windows\system32\dugxxp.exe

C:\WINDOWS\ctgptj.exe

C:\arquivos de programas\180solutions\sais.exe

C:\Program Files\Media Pass\MediaPassK.exe

C:\Arquivos de programas\Web_Rebates\WebRebates0.exe

C:\windows\system32\calc.exe

C:\WINDOWS\System32\50cent.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\Web_Rebates\WebRebates1.exe

C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.semptoshiba.com.br

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\ceres.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Arquivos de programas\SideFind\sfbho.dll

O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPass.exe

O4 - HKLM\..\Run: [sixtysix] C:\WINDOWS\sixtypopsix.exe

O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitepjt32.exe

O4 - HKLM\..\Run: [dugxxp] c:\windows\system32\dugxxp.exe

O4 - HKLM\..\Run: [aj5i] C:\WINDOWS\ctgptj.exe

O4 - HKLM\..\Run: [sais] c:\arquivos de programas\180solutions\sais.exe

O4 - HKLM\..\Run: [WebRebates0] "C:\Arquivos de programas\Web_Rebates\WebRebates0.exe"

O4 - HKLM\..\Run: [czytopuf] C:\WINDOWS\czytopuf.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\ARQUIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe

O4 - HKLM\..\Run: [È] C:\WINDOWS\ctgptj.exe

O4 - HKLM\..\Run: [Windows Media Player] 50cent.exe

O4 - HKLM\..\RunServices: [Windows Media Player] 50cent.exe

O4 - HKLM\..\RunServices: [rant] rant.exe

O4 - HKLM\..\RunOnce: [spybotSnD] "C:\Arquivos de programas\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Windows Media Player] 50cent.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Web Rebates - file://C:\Arquivos de programas\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Arquivos de programas\SideFind\sidefind.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O15 - Trusted Zone: *.media-motor.net

O15 - Trusted Zone: *.popuppers.com

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1110916813663

O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{4E050085-60EA-4687-B297-11A01B9753AB}: NameServer = 201.10.128.2,201.10.120.2

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe

O23 - Service: Serviço de Auto-Protect do Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

[JoseMelo]

- Para o problema com o autoexec.nt, veja o tópico abaixo:

http://forum.clubedohardware.com.br/index....sistema+16+bits

- Quanto ao log do HijackThis, realmente apresenta várias entradas suspeitas. Aguarde por uma análise mais detalhada.

[voleibol]

valeu amigo, vou testar, mas eu acho também que ainda esta muito carregado de trojans ou algo parecido.

Toda vez que reinicio ele o Spybot é executado...e não esta eliminando pelo jeito

Quem poderia analisar esses erros?

[JoseMelo]

- Habilite a visualização de todos os arquivos. Para tanto vá em Abra o Windows Explorer > Ferramentas > Opções de Pasta > Modo de Exibição Desmarque a caixa Ocultar arquivos protegidos do sistema operacional (recomendado)> Selecione Mostrar pastas e arquivos ocultos OK;

- Copie o conteúdo deste post para o bloco de notas e salve-o para poder acessá-lo em modo seguro;

- Reinicie o Micro e entre em modo seguro (F8 na inicialização) e na tela de seleção, escolha modo seguro;

- Abra o HijackThis e clique Do a system scan only, marque as entradas abaixo e clique Fix checked:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\ceres.dll

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Arquivos de programas\SideFind\sfbho.dll

4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPass.exe

O4 - HKLM\..\Run: [sixtysix] C:\WINDOWS\sixtypopsix.exe

O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitepjt32.exe

O4 - HKLM\..\Run: [dugxxp] c:\windows\system32\dugxxp.exe

O4 - HKLM\..\Run: [aj5i] C:\WINDOWS\ctgptj.exe

O4 - HKLM\..\Run: [sais] c:\arquivos de programas\180solutions\sais.exe

O4 - HKLM\..\Run: [WebRebates0] "C:\Arquivos de programas\Web_Rebates\WebRebates0.exe"

O4 - HKLM\..\Run: [czytopuf] C:\WINDOWS\czytopuf.exe

O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe

O4 - HKLM\..\Run: [È] C:\WINDOWS\ctgptj.exe

O4 - HKLM\..\Run: [Windows Media Player] 50cent.exe

O4 - HKLM\..\RunServices: [Windows Media Player] 50cent.exe

O4 - HKLM\..\RunServices: [rant] rant.exe

O4 - HKCU\..\Run: [Windows Media Player] 50cent.exe

O8 - Extra context menu item: Web Rebates - file://C:\Arquivos de programas\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Arquivos de programas\SideFind\sidefind.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O15 - Trusted Zone: *.media-motor.net

O15 - Trusted Zone: *.popuppers.com

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{4E050085-60EA-4687-B297-11A01B9753AB}: NameServer = 201.10.128.2,201.10.120.2

- Vá em Adicionar e Remover Programas no Painel de Controle e procure pelos programas abaixo e desinstale-os:

C:\arquivos de programas\180solutions

C:\Program Files\Media Pass

C:\Arquivos de programas\Web_Rebates

- Abra a pesquisa e procure pelas pastas abaixo e delete:

C:\Program Files\Media Pass\MediaPass.exe

C:\WINDOWS\sixtypopsix.exe

C:\windows\system32\dugxxp.exe

C:\WINDOWS\ctgptj.exe

C:\arquivos de programas\180solutions\sais.exe

C:\Program Files\Media Pass\MediaPassK.exe

C:\Arquivos de programas\Web_Rebates\WebRebates0.exe

C:\WINDOWS\System32\50cent.exe

C:\Arquivos de programas\Web_Rebates\WebRebates1.exe

- Faça um scan online nos seguintes endereços:

HouseCall Trend Micro

Panda Active Scan

- Após os procedimentos faça um novo log do HijackThis e cole na sua resposta.

[voleibol]

Ta ai meu amigo

Fiz o q pediu e ja resolveu bastante, inclusive ta mais agil....

Mas da uma olhaidnha ai.

valeu

Logfile of HijackThis v1.99.1

Scan saved at 17:18:56, on 3/18/aaaa

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\hijackthis\HijackThis.exe

C:\WINDOWS\system32\cidaemon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.semptoshiba.com.br

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\ARQUIV~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [È86¿Çà_q8àaîžigÝC:\Arquivos de programas\ISTsvc\istsvc.exe] C:\WINDOWS\ctgptj.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1110916813663

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe

O23 - Service: Serviço de Auto-Protect do Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

[JoseMelo]

Ainda há um processo desconhecido sendo executado:

O4 - HKLM\..\Run: [È86¿Çà_q8àaîžigÝC:\Arquivos de programas\ISTsvc\istsvc.exe] C:\WINDOWS\ctgptj.exe

- Verifique se há algum programa instalado em seu PC que utilize o processo;

- Caso não encontre repita o procedimento e clique em fix checked;

- Procure pelo arquivo C:\WINDOWS\ctgptj.exe e delete-o.

Faça também o scan online nos links indicados. No mais, seu log está ok.