Brto22 0 Denunciar post Postado Abril 19, 2005 Por favor..estou com um problemão e peço que alguma alma caridosa me ajude. Fui infectado por um spyware "Hotoffers", e já passei mais de 8 antispy, incluindo os melhores, e nada.(adware,spybot,xoftspy,spyweeper..dentre outros...) O spy ware ativou um icone redondo vermelho com um X branco na bandeja. Criou mais de 10 links no meu desktop,impossiveis de serem retirados. Ativa de 5 em 5 minutos um pop up no icone, avisando sobre a infecção e com link direto a uma pagina de Antispywares à venda. Ativa tambem toda hora o internet explorer levando a paginas ---ô. Muda tambem minha pag principal. Após todas a tentativas, fiz um relatório com o hijackthis e postarei aqui para alguem que possa me ajudar. O que me intriga, e que o spyware fica com o icone da bandeja ativo, ate mesmo em modo de segurança.Com todos os spy ativos. Como remover um programa, que nunca se desliga ? Bem ai vai o relatório Hijackthis. Logfile of HijackThis v1.99.1 Scan saved at 09:35:41, on 19/4/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\NVATray.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe C:\Arquivos de programas\iGv6\Discador iG.exe C:\Arquivos de programas\Java\jre1.5.0\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\ctfmon.exe C:\ARQUIV~1\iGv6\sysbrand.exe C:\Arquivos de programas\Corel\Graphics9\Register\Remind32.exe C:\Arquivos de programas\Messenger\msmsgs.exe C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccProxy.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Arquivos de programas\Arquivos comuns\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\System32\wdfmgr.exe C:\Arquivos de programas\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Documents and Settings\Luiz Felipe\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0058/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.veloxzone.com.br/ O1 - Hosts: 69.50.173.4 lycos.com O1 - Hosts: 69.50.173.4 amazon.com O1 - Hosts: 69.50.173.4 www.amazon.com O1 - Hosts: 69.50.173.4 earthlink.net O1 - Hosts: 69.50.173.4 www.earthlink.net O1 - Hosts: 69.50.173.4 ebay.com O1 - Hosts: 69.50.173.4 go.com O1 - Hosts: 69.50.173.4 www.go.com O1 - Hosts: 69.50.173.4 icq.com O1 - Hosts: 69.50.173.4 www.icq.com O1 - Hosts: 69.50.173.4 lycos.com O1 - Hosts: 69.50.173.4 yahoo.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Arquivos de programas\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Arquivos de programas\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\ARQUIV~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [Discador iG] "C:\Arquivos de programas\iGv6\Discador iG.exe" boot O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [gcasServ] "C:\Arquivos de programas\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [sysBrand] "C:\ARQUIV~1\iGv6\sysbrand.exe" O4 - HKCU\..\Run: [incrediMail] C:\Arquivos de programas\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [discador] C:\Arquivos de programas\Velox\Discador Velox\DISCADOR.EXE O4 - HKCU\..\Run: [spySweeper] "C:\Arquivos de programas\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - HKCU\..\Run: [spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan O4 - Startup: Corel Registration.lnk = C:\Arquivos de programas\Corel\Graphics9\Register\Remind32.exe O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARQUIV~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000 O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/files/w...ntrol_en_US.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1103890407171 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9643624B-2858-4E6D-B1B9-08FED337490E}: NameServer = 200.149.55.140 200.165.132.148 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Serviço do Auto-Protect do Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\SymWSC.exe Abraços e epero que possam me ajudar. Felipe barreto Compartilhar este post Link para o post Compartilhar em outros sites
Ericson 0 Denunciar post Postado Abril 19, 2005 Fala Cara..Entao..você precisa fazer o seguite....Baixa o Adware Personal e atualiza.Depois, não conecte-se a internet, e entre em modo de segurança. Faça a varredura com o Adware. Quando ele terminar, ele vai ter varias abas acima que tem os arquivos infectados e url's que foram inseridas no seu computador. Marque dos spywares e malwares que se encontra no seu computador. Depois, la em cima da aba, marque todas as URL's e elimine do seu computador.Os arquivos eliminados, irao ficar em quarentena, por isso, delete o arquivo que fica em quarentena. Antes de reiniciar , apague todos os arquivos temporarios do IE e do windows.Depois reinicie o seu computador. No regedit, sempre sobra alguma referencia do software que instalou esses arquivos indesejados no seu computador, por isso, o mais aconselhavel e voce utilizar o Firefox, um navegador excelente que nao tem tanta falha de segurança.Espero ter ajudado..Falou..Att.Ericson CostaEx- Funcionario da McAfee Antivirus Compartilhar este post Link para o post Compartilhar em outros sites
Brto22 0 Denunciar post Postado Abril 19, 2005 Já fiz isso, ele até acha alguma coisa, mas me parecem vestígios, ou rastros do spyware.Pois eles sao excluidos pelo Adwware, mas voltam logo no proximo scan.Inclusive, mesmo em modo de segurança, o spyware continua ativo, pois na bandeja todos os icones somem, somente o dele permanece.O que indica que ele é um dos poucos programas que ainda funcionam em modo de segurança.Tenho visto em outros foruns..e a coisa e seria..poucos resolvem..os que resolvem, o fazem com o relatorio do hijackthis, que expus logo acima.Mas beleza..continuarei na minha luta...Anseio por mais auxilio...Abraços..Felipe Barreto.Obrigado Ericson.Aceito mais opinioes. Compartilhar este post Link para o post Compartilhar em outros sites
Skalek 0 Denunciar post Postado Abril 22, 2005 I found a fix to remove this here: How to remove www.jimbutt.com and www.hotoffers.info / hotoffers infection Hope this helps some of you as i had the same problem and found it after ivsitng here earlier. Compartilhar este post Link para o post Compartilhar em outros sites
Perfect 0 Denunciar post Postado Maio 2, 2005 Caro amigo Brto ... Faça o seguinte ... Baixe essa ferramenta aqui ---> Download Silent Runnes Execute o arquivo, o mesmo irá gerá um log, cole esse log na sua resposta para analisarmos. Abraços :) Compartilhar este post Link para o post Compartilhar em outros sites
Smiith 0 Denunciar post Postado Maio 3, 2005 Amigo,Bom, mesmo assim se você usa todas essas ferramentas e não funcionou..A melhor opção é formatar o PC!!Bye...h4ck3rs Compartilhar este post Link para o post Compartilhar em outros sites
Brto22 0 Denunciar post Postado Maio 4, 2005 Pô cara...o negocio era mais facil do que eu imaginei...no superdownloads, eles tem para download o arquivo hottofers.uninstal.Com ele e mais uns retoques no registro..foi mole.Obrigado a todos que tentaram me ajudar.E se mais alguem tiver esse problema, tenho o arquivo desintalador do hottofers para share.E so entrar em contato comigo.brto22@hotmail.com Compartilhar este post Link para o post Compartilhar em outros sites
alvaromagao 0 Denunciar post Postado Maio 5, 2005 Pô cara...o negocio era mais facil do que eu imaginei...no superdownloads, eles tem para download o arquivo hottofers.uninstal.Com ele e mais uns retoques no registro..foi mole. Obrigado a todos que tentaram me ajudar. E se mais alguem tiver esse problema, tenho o arquivo desintalador do hottofers para share. E so entrar em contato comigo. brto22@hotmail.com <{POST_SNAPBACK}> :grin: oiee cara tambem to com esse probleminha so que nao to conseguindo fazer o download do unstal no superdownloads você poderia min envialo??? Agraddeçoo vlww Compartilhar este post Link para o post Compartilhar em outros sites
jgarcia 1 Denunciar post Postado Outubro 14, 2005 PROBLEMA RESOLVIDO! Caso o autor necessite que o tópico seja reaberto é necessário enviar uma Mensagem Privada para um Moderador com um link para o tópico. Compartilhar este post Link para o post Compartilhar em outros sites
