[Arquivado] Secure32.html Killbox

[NelsonP 0]

Olá !!!

Já rodei o hijack. Quando executo o Killbox ocorre um erro "run-time error '453'"

Cant'find DLL entry point create toolhelp32S napshot in kernel32.

Estou enviando novamente, conforme sua solicitação.

 

um abraço

Nelson

 

Logfile of HijackThis v1.99.1

Scan saved at 17:17:51, on 13/12/05

Platform: Windows NT 4 SP5 (WinNT 4.00.1381)

MSIE: Internet Explorer v5.00 (5.00.2314.1000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\spoolss.exe

C:\WINNT\System32\llssrv.exe

C:\WINNT\System32\LOCATOR.EXE

C:\WINNT\system32\RpcSs.exe

C:\WINNT\system32\tcpsvcs.exe

C:\WINNT\System32\esserver.exe

c:\winnt\system32\pstores.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\SENS.EXE

C:\WINNT\System32\nddeagnt.exe

C:\WINNT\explorer.exe

C:\WINNT\inet20001\winlogon.exe

C:\WINNT\System32\loadwc.exe

C:\WINNT\System32\NTCommLib3.exe

C:\WINNT\System32\paytime.exe

C:\WINNT\System32\rundll32.exe

C:\winstall.exe

C:\WINNT\System32\paytime.exe

C:\WINNT\System32\sywsvcs.exe

C:\WINNT\tool2.exe

C:\WINNT\tool2.exe

C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE

C:\Arquivos de programas\Microsoft Office\Office\FINDFAST.EXE

C:\ARQUIV~1\Plus!\MICROS~1\iexplore.exe

C:\WINNT\System32\ddhelp.exe

C:\Hijack\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://nowfind.biz/search/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://nowfind.biz/search/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://nowfind.biz/search/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nowfind.biz/search/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://nowfind.biz/search/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nowfind.biz/search/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://nowfind.biz/search/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nowfind.biz/search/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchxp.com/search.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nowfind.biz/search/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nowfind.biz/search/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchxp.com/search.php?qq=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

F3 - REG:win.ini: run=C:\WINNT\inet20001\winlogon.exe

F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [browserWebCheck] loadwc.exe

O4 - HKLM\..\Run: [schedulingAgent] mstinit.exe /logon

O4 - HKLM\..\Run: [NTCommLib3] C:\WINNT\System32\NTCommLib3.exe

O4 - HKLM\..\Run: [leeman] C:\WINNT\System32\leeman.exe

O4 - HKLM\..\Run: [PayTime] C:\WINNT\System32\paytime.exe

O4 - HKLM\..\Run: [CPU Watcher] rundll32.exe C:\WINNT\cpu.dll,load

O4 - HKLM\..\Run: [xp_system] C:\WINNT\inet20001\winlogon.exe

O4 - HKLM\..\RunServices: [leeman] C:\WINNT\System32\leeman.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [leeman] C:\WINNT\System32\leeman.exe

O4 - HKCU\..\Run: [PayTime] C:\WINNT\System32\paytime.exe

O4 - HKCU\..\Run: [aupd] C:\WINNT\System32\sywsvcs.exe

O4 - HKCU\..\Run: [xp_system] C:\WINNT\inet20001\winlogon.exe

O4 - Global Startup: Inicialização do Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: Localização acelerada da Microsoft.lnk = C:\Arquivos de programas\Microsoft Office\Office\FINDFAST.EXE

O13 - WWW. Prefix: http://

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe

O16 - DPF: {2C38A62E-D257-40E8-8BB7-5624E38FEB0A} - http://www.hot2000.net/program/isdialer2.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = protect_nt

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = protect_nt

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.0.254

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = protect_nt

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.0.254

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.0.254

O20 - Winlogon Notify: f3dsl - C:\WINNT\SYSTEM32\lsd_f3.dll

O20 - Winlogon Notify: st3 - C:\WINNT\q885172.dll

O20 - Winlogon Notify: st3i - C:\WINNT\q408784571.dll

O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINNT\System32\kfgjcjhh.dll

O21 - SSODL: SysTray.Exmr - {73F8D5FF-6F5C-4f5b-B964-E6F214F6F852} - C:\WINNT\System32\kgppanal.dll

[jgarcia 1]

Caro NelsonP,

 

Vamos lá.

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

1ª Etapa

 

Baixe o Killbox em:

Killbox

 

Baixe, mas não execute ainda.

 

Baixe o CWShredder em:

CWShredder

 

Baixe, mas não execute ainda.

 

Baixe o SpySweeper em:

SpySweeper

 

Baixe e atualize, mas não execute ainda.

 

2ª Etapa

 

Execute o KillBox:

1) Selecione Delete on reboot;

2) Full path of file to delete;

3) Coloque:

C:\WINNT\inet20001 - Aperte X. Responda "sim" à primeira pergunta e "não" à segunda.

 

Repita a operação para:

C:\WINNT\System32\NTCommLib3.exe

C:\WINNT\System32\paytime.exe

C:\WINNT\System32\sywsvcs.exe

C:\WINNT\System32\leeman.exe

C:\WINNT\SYSTEM32\lsd_f3.dll

C:\WINNT\System32\kfgjcjhh.dll

C:\WINNT\System32\kgppanal.dll

C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe

C:\WINNT\q885172.dll

C:\WINNT\q408784571.dll

C:\WINNT\tool2.exe

C:\WINNT\cpu.dll

C:\winstall.exe

c:\secure32.html

Caso o Killbox acuse a não existência de algum arquivo/pasta, apenas passe para o próximo.

 

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo Seguro e a conexão à internet não será possível.

 

3ª Etapa

 

Reinicie o computador em Modo Seguro (após reiniciar aperte a tecla F8 até aparecer uma tela preta em DOS e escolha Modo Seguro).

 

Execute o HijackThis, clique em Do a system scan only e marque:

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://nowfind.biz/search/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://nowfind.biz/search/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://nowfind.biz/search/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nowfind.biz/search/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://nowfind.biz/search/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nowfind.biz/search/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://nowfind.biz/search/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nowfind.biz/search/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchxp.com/search.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nowfind.biz/search/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nowfind.biz/search/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchxp.com/search.php?qq=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

F3 - REG:win.ini: run=C:\WINNT\inet20001\winlogon.exe

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O4 - HKLM\..\Run: [NTCommLib3] C:\WINNT\System32\NTCommLib3.exe

O4 - HKLM\..\Run: [leeman] C:\WINNT\System32\leeman.exe

O4 - HKLM\..\Run: [PayTime] C:\WINNT\System32\paytime.exe

O4 - HKLM\..\Run: [CPU Watcher] rundll32.exe C:\WINNT\cpu.dll,load

O4 - HKLM\..\Run: [xp_system] C:\WINNT\inet20001\winlogon.exe

O4 - HKLM\..\RunServices: [leeman] C:\WINNT\System32\leeman.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [leeman] C:\WINNT\System32\leeman.exe

O4 - HKCU\..\Run: [PayTime] C:\WINNT\System32\paytime.exe

O4 - HKCU\..\Run: [aupd] C:\WINNT\System32\sywsvcs.exe

O4 - HKCU\..\Run: [xp_system] C:\WINNT\inet20001\winlogon.exe

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe

O16 - DPF: {2C38A62E-D257-40E8-8BB7-5624E38FEB0A} - http://www.hot2000.net/program/isdialer2.cab

O20 - Winlogon Notify: f3dsl - C:\WINNT\SYSTEM32\lsd_f3.dll

O20 - Winlogon Notify: st3 - C:\WINNT\q885172.dll

O20 - Winlogon Notify: st3i - C:\WINNT\q408784571.dll

O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINNT\System32\kfgjcjhh.dll

O21 - SSODL: SysTray.Exmr - {73F8D5FF-6F5C-4f5b-B964-E6F214F6F852} - C:\WINNT\System32\kgppanal.dll

Clique em Fix Checked.

 

4ª Etapa

 

Ainda em Modo Seguro faça o seguinte:

 

1) Execute o CWShredder.

 

2) Execute uma verificação completa com o SpySweeper.

 

5ª Etapa

 

Reinicie em modo normal.

 

Vou precisar de um log do L2MFix. Clique aqui e baixe.

 

Extraia os arquivos e rode o l2mfix.bat --> opção "run find log". Depois de alguns minutos o bloco de notas deve abrir com um log. É o conteúdo deste log que você deverá colar em sua próxima resposta, bem como o novo log do Hijack.

 

Aguardo retorno.

 

Um abraço.

[NelsonP 0]

Olá JGarcia!!!01) -Já Baixei os programas solicitados;02) -Não consigo rodar o Killbox pois apresenta o seguinte erro "Run-time error 453" Can't find DLL entry point creat toolhelp 32S napshot in kernel32;03) - No Painel de Controle não existe o tópico "Opção de Pastas" para desocultar os arquivos;04) - Com o procedimento descrito, o micro não entra em modo de segurança;Preciso de ajuda, pois está difícil de trabalhar com o micro neste estado.Um abraço,NelsonP

[jgarcia 1]

Caro NelsonP,

 

Vá em Iniciar --> Executar --> digite msconfig --> dê Ok --> aba Iniciar --> localize a caixa relativa à PWCapture --> desmarque-a --> clique em Aplicar.

 

Tente rodar o Killbox agora.

 

Caso não dê certo tente baixar e instalar isto aqui --> o Windows tem que ser original.

 

Quanto ao Modo de Segurança dê uma olhada aqui.

 

Abraços.

[NelsonP 0]

Caro JGarcia,Tentei utilizar o msconfig, porém retorna um erro dizendo que o msconfig não foi encontrado, passei para a outra opção, baixei o scr56ptb.exe conforme indicado, rodei, reinicializei a máquina, também não obtive resultado, ou seja, não consigo rodar o killbox.Desculpe-me pela incomodação mas se tiver alguma outra dica eu agradeço.Um abraço,NelsonP

[Shine 0]

TÓPICO ARQUIVADO

 

Como o autor não respondeu por mais de 20 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.