[Resolvido!]Barra de busca na área de trabalho

[Niel Johnson 0]

Olá pessoal,

 

Esse aqui tá dificil de remover...

 

Apareçe uma barra de busca no lado direito da minha área de trabalho como pode se ver na foto abaixo:

 

 

Aqui está o log do Hijack:

 

Logfile of HijackThis v1.99.1

Scan saved at 14:35:24, on 28/11/2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\userinit.exe

C:\WINNT\Explorer.EXE

C:\WINNT\SOUNDMAN.EXE

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe

C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Arquivos de programas\HP\hpcoretech\comp\hptskmgr.exe

C:\Documents and Settings\CPD\Desktop\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINNT\Downloaded Program Files\gbieh.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Arquivos de programas\D-Tools\daemon.exe" -lang 1033 -noicon

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [babylon Client] C:\Arquivos de programas\Babylon\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - Startup: Gerenciador de Aplicativos.lnk = D:\Projetos\Gerenciar Aplicativos\pGerenciarApp.exe

O4 - Startup: Mensageiro.lnk = ?

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Download with GetRight - C:\Arquivos de programas\GetRight\GRdownload.htm

O8 - Extra context menu item: Niel &Slide - d:\projetos\slide\chama_slide.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Arquivos de programas\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/251e17908860ac...RdxIE601_br.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1123529504062

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

 

 

Me ajudem por favor

[jgarcia 1]

Caro Niel Johnson,

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

Vamos lá.

 

Desinstale:

--> Messenger Plus! 3

--> GetRight

 

Utilize Adicionar / Remover programas.

 

Desinstale, um a um, e reinicie após tê-los desinstalado.

 

O GetRigth poderá ser substituído pelo Puxa Rápido.

 

Você poderá reinstalar o Messenger Plus! 3, mas sem aceitar o patrocinador.

 

1ª Etapa

 

Baixe o SpySweeper em:

SpySweeper

 

Baixe e atualize, mas não execute ainda.

 

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo de Seguro e a conexão à internet não será possível.

 

2ª Etapa

 

Reinicie o computador em Modo Seguro (ao reiniciar fique apertando a tecla F8 até aparecer uma tela preta em DOS e escolha Modo Seguro).

 

Execute o HijackThis, clique em Do a system scan only e marque:

O8 - Extra context menu item: Download with GetRight - C:\Arquivos de programas\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Arquivos de programas\GetRight\GRbrowse.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

Clique em Fix Checked.

 

3ª Etapa

 

Ainda em Modo Seguro faça o seguinte:

 

1) Execute uma verificação completa com o SpySweeper.

 

4ª Etapa

 

Reinicie em modo normal.

 

Execute o Active Scan da Panda.

 

Retorne com o resultado e o novo log.

 

Aguardo retorno.

 

Um abraço.

[Niel Johnson 0]

Valeu!!!!

 

Finalmente consequi sumir de vez com essa barra maldita!

 

Na verdade essa barra apareçeu quando eu estava vendo sites ---ô (é... pode malhar mesmo, foi burrada minha!!)

 

Uma janela pupup abriu e depois saiu fechando todas as janelas do internet explorer.

 

Normalmente pedem para instalar alguma coisa e manda clicar em "yes" ou "no" mas este não foi o caso. Simplesmente se instalaram na cara dura!

 

Eu entrei no modo de segurança e consegui remover as outras barras do internet explorer na mão pelo regedit mas essa barra infeliz é que não conseguia. Instalei vários programas anti-spyware mas não deram conta do recado.

 

Mas esse "Spy Sweeper" conseguiu resolver tudo até os lixos que ainda não tinha removido.

 

Aqui está o log que esse programa criou ao remover esses spywares:

********

09:33: | Start of Session, quinta-feira, 1 de dezembro de 2005 |

09:33: Spy Sweeper started

09:33: Sweep initiated using definitions version 576

09:33: Starting Memory Sweep

09:33: Memory Sweep Complete, Elapsed Time: 00:00:41

09:33: Starting Registry Sweep

09:33: Found Adware: searchtoolbar

09:33: HKLM\software\searchtoolbar\ (3 subtraces) (ID = 141346)

09:33: Found System Monitor: system spy

09:33: HKCR\.ssa\ (1 subtraces) (ID = 143523)

09:33: Found Trojan Horse: trojan-downloader-ruin

09:33: HKLM\software\microsoft\windows\currentversion\urls\ (10 subtraces) (ID = 605127)

09:33: HKLM\software\microsoft\windows\currentversion\ruins\ (8 subtraces) (ID = 605128)

09:34: HKU\S-1-5-21-1659004503-115176313-839522115-1001\software\searchtoolbar\ (5 subtraces) (ID = 141343)

09:34: Found Trojan Horse: trojan-downloader-sccash

09:34: HKU\S-1-5-21-1659004503-115176313-839522115-1001\software\microsoft\windows\currentversion\run\ || desktop (ID = 144747)

09:34: HKU\S-1-5-21-1659004503-115176313-839522115-1001\software\microsoft\internet explorer\toolbar\shellbrowser\ || {08bec6aa-49fc-4379-3587-4b21e286c19e} (ID = 1020297)

09:34: Registry Sweep Complete, Elapsed Time:00:00:12

09:34: Starting Cookie Sweep

09:34: Found Spy Cookie: about cookie

09:34: cpd@about[1].txt (ID = 2037)

09:34: Found Spy Cookie: yieldmanager cookie

09:34: cpd@ad.yieldmanager[1].txt (ID = 3751)

09:34: Found Spy Cookie: adlegend cookie

09:34: cpd@adlegend[1].txt (ID = 2074)

09:34: Found Spy Cookie: hbmediapro cookie

09:34: cpd@adopt.hbmediapro[2].txt (ID = 2768)

09:34: Found Spy Cookie: adtech cookie

09:34: cpd@adtech[2].txt (ID = 2155)

09:34: Found Spy Cookie: belnk cookie

09:34: cpd@belnk[1].txt (ID = 2292)

09:34: Found Spy Cookie: burstnet cookie

09:34: cpd@burstnet[1].txt (ID = 2336)

09:34: cpd@delphi.about[1].txt (ID = 2038)

09:34: cpd@dist.belnk[2].txt (ID = 2293)

09:34: Found Spy Cookie: findwhat cookie

09:34: cpd@findwhat[1].txt (ID = 2674)

09:34: Found Spy Cookie: hotbar cookie

09:34: cpd@hotbar[1].txt (ID = 2797)

09:34: Found Spy Cookie: revenue.net cookie

09:34: cpd@revenue[2].txt (ID = 3257)

09:34: Found Spy Cookie: serving-sys cookie

09:34: cpd@serving-sys[2].txt (ID = 3343)

09:34: Found Spy Cookie: statcounter cookie

09:34: cpd@statcounter[1].txt (ID = 3447)

09:34: Found Spy Cookie: tribalfusion cookie

09:34: cpd@tribalfusion[1].txt (ID = 3589)

09:34: Found Spy Cookie: xiti cookie

09:34: cpd@xiti[1].txt (ID = 3717)

09:34: Found Spy Cookie: adserver cookie

09:34: cpd@z1.adserver[1].txt (ID = 2142)

09:34: Cookie Sweep Complete, Elapsed Time: 00:00:03

09:34: Starting File Sweep

09:38: pppcgm.exe (ID = 125496)

09:38: Found System Monitor: ufp 007 spy

09:38: unins000.exe (ID = 48061)

09:39: Found Trojan Horse: trojan-secdrop

09:39: sphlp32.exe (ID = 81237)

09:42: File Sweep Complete, Elapsed Time: 00:08:38

09:42: Full Sweep has completed. Elapsed time 00:09:38

09:42: Traces Found: 54

09:46: Removal process initiated

09:46: Quarantining All Traces: searchtoolbar

09:46: Quarantining All Traces: system spy

09:46: Quarantining All Traces: trojan-downloader-ruin

09:46: Quarantining All Traces: trojan-downloader-sccash

09:46: Quarantining All Traces: about cookie

09:46: Quarantining All Traces: yieldmanager cookie

09:46: Quarantining All Traces: adlegend cookie

09:46: Quarantining All Traces: hbmediapro cookie

09:46: Quarantining All Traces: adtech cookie

09:46: Quarantining All Traces: belnk cookie

09:46: Quarantining All Traces: burstnet cookie

09:46: Quarantining All Traces: findwhat cookie

09:46: Quarantining All Traces: hotbar cookie

09:46: Quarantining All Traces: revenue.net cookie

09:46: Quarantining All Traces: serving-sys cookie

09:46: Quarantining All Traces: statcounter cookie

09:46: Quarantining All Traces: tribalfusion cookie

09:46: Quarantining All Traces: xiti cookie

09:46: Quarantining All Traces: adserver cookie

09:46: Quarantining All Traces: ufp 007 spy

09:46: Quarantining All Traces: trojan-secdrop

09:46: Removal process completed. Elapsed time 00:00:20

********

09:18: | Start of Session, quinta-feira, 1 de dezembro de 2005 |

09:18: Spy Sweeper started

09:19: Messenger service has been disabled.

09:20: Your spyware definitions have been updated.

09:23: Sent error log: C:\Documents and Settings\CPD\Dados de aplicativos\Webroot\Spy Sweeper\Logs\bugreport.txt

09:24: Updating spyware definitions

09:24: Your definitions are up to date.

09:24: Updating spyware definitions

09:24: Your definitions are up to date.

09:32: Program Version 4.5.7 (Build 656) Using Spyware Definitions 576

09:33: | End of Session, quinta-feira, 1 de dezembro de 2005 |

 

Só discordo quando você pediu para remover o "GetRight" e o "Messenger Plus! 3". Esses nunca me deram problema. O Messager Plus até pergunta se quer instalar a barra ou não.

 

Essas linhas:

O8 - Extra context menu item: Download with GetRight - C:\Arquivos de programas\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Arquivos de programas\GetRight\GRbrowse.htm

 

Eu uso frequentemente que são para clicar com o direito no internet explorer e executar funções do GetRight por isso não apaguei

 

Num sei se notaram mas na linha:

O8 - Extra context menu item: Niel &Slide - d:\projetos\slide\chama_slide.htm

 

Foi eu que criei. É um slide bacana e quem quizer ver está aqui: http://geocities.yahoo.com.br/nieljohnson/slide/index.htm

 

Valeu mesmo hein jgarcia, você salvou a minha pele!!!

[jgarcia 1]

Olá Niel Johnson,

 

Finalmente consequi sumir de vez com essa barra maldita!

:joia:

 

Na verdade essa barra apareçeu quando eu estava vendo sites ---ô (é... pode malhar mesmo, foi burrada minha!!)

 

Uma janela pupup abriu e depois saiu fechando todas as janelas do internet explorer.

 

Normalmente pedem para instalar alguma coisa e manda clicar em "yes" ou "no" mas este não foi o caso. Simplesmente se instalaram na cara dura!

Eu já sabia!, he he :grin: ... mas não vou lhe malhar não ... que atire a primeira pedra quem nunca entrou em páginas "adultas". Nestas páginas há scripts maliciosos que não precisam da autorização do usuário para instalar o que querem, pois estão programados para se autoexecutar em função de um clique em determinado link ou imagem.

 

Eu entrei no modo de segurança e consegui remover as outras barras do internet explorer na mão pelo regedit mas essa barra infeliz é que não conseguia. Instalei vários programas anti-spyware mas não deram conta do recado.

 

Mas esse "Spy Sweeper" conseguiu resolver tudo até os lixos que ainda não tinha removido.

De fato, o Sweeper é excelente. :thumbsup:

 

Só discordo quando você pediu para remover o "GetRight" e o "Messenger Plus! 3". Esses nunca me deram problema. O Messager Plus até pergunta se quer instalar a barra ou não.

 

Essas linhas:

O8 - Extra context menu item: Download with GetRight - C:\Arquivos de programas\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Arquivos de programas\GetRight\GRbrowse.htm

 

Eu uso frequentemente que são para clicar com o direito no internet explorer e executar funções do GetRight por isso não apaguei

Era apenas uma sugestão, pois o Puxa Rápido é "brazuca" e não deixa nada a dever ao GetRight, mas o Messenger Plus, quando instalado com o patrocinador, traz, na maioria das vezes, o C2.Lop um conhecido Risco de Segurança.

 

Num sei se notaram mas na linha:

O8 - Extra context menu item: Niel &Slide - d:\projetos\slide\chama_slide.htm

 

Foi eu que criei. É um slide bacana e quem quizer ver está aqui: http://geocities.yahoo.com.br/nieljohnson/slide/index.htm

Notei sim e imaginei que tivesse sido criado por você.

 

Valeu mesmo hein jgarcia, você salvou a minha pele!!!

De nada cara. Foi um prazer ajudá-lo. :lol:

[jgarcia 1]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto é necessário enviar uma Mensagem Privada para um Moderador com um link para o tópico.