[Arquivado] Rodei o escan

[Valdajk 0]

Olá jgarcia !!!

 

Minha máquina está com umas bolinhas vermelhas com um x no meio. Baixei o escan e rodei. Minha máquina roda em windowns NT. Tenho também um erro de não localização do C:\WINNT\cpu.dd.Logfile of HijackThis v1.99.1

Scan saved at 15:37:11, on 22/12/05

Platform: Windows NT 4 SP5 (WinNT 4.00.1381)

MSIE: Internet Explorer v5.00 (5.00.2314.1000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\spoolss.exe

C:\WINNT\System32\llssrv.exe

C:\ARQUIV~1\MailScan\MAILSERV.EXE

C:\WINNT\System32\LOCATOR.EXE

C:\ARQUIV~1\MailScan\MAILDISP.EXE

C:\ARQUIV~1\MailScan\TRAYICO.EXE

C:\WINNT\System32\nddeagnt.exe

C:\WINNT\system32\RpcSs.exe

C:\WINNT\explorer.exe

C:\WINNT\system32\tcpsvcs.exe

C:\ARQUIV~1\MailScan\IPCSRVR.EXE

C:\WINNT\System32\esserver.exe

c:\winnt\system32\pstores.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\inet20001\services.exe

C:\WINNT\System32\loadwc.exe

C:\WINNT\System32\NTCommLib3.exe

C:\WINNT\System32\SENS.EXE

C:\WINNT\System32\paytime.exe

C:\ARQUIV~1\MailScan\msipc.exe

C:\winstall.exe

C:\WINNT\System32\paytime.exe

C:\WINNT\tool2.exe

C:\WINNT\System32\sywsvcs.exe

C:\WINNT\tool2.exe

C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE

C:\Arquivos de programas\Microsoft Office\Office\FINDFAST.EXE

C:\ARQUIV~1\MailScan\kavss.exe

C:\ARQUIV~1\MailScan\SPOOLER.EXE

C:\WINNT\System32\ddhelp.exe

C:\Hijack\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://nowfind.biz/search/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://nowfind.biz/search/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://nowfind.biz/search/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nowfind.biz/search/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nowfind.biz/search/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nowfind.biz/search/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchxp.com/search.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nowfind.biz/search/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchxp.com/search.php?qq=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

F3 - REG:win.ini: run=C:\WINNT\inet20001\services.exe

F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [browserWebCheck] loadwc.exe

O4 - HKLM\..\Run: [schedulingAgent] mstinit.exe /logon

O4 - HKLM\..\Run: [NTCommLib3] C:\WINNT\System32\NTCommLib3.exe

O4 - HKLM\..\Run: [leeman] C:\WINNT\System32\leeman.exe

O4 - HKLM\..\Run: [PayTime] C:\WINNT\System32\paytime.exe

O4 - HKLM\..\Run: [CPU Watcher] rundll32.exe C:\WINNT\cpu.dll,load

O4 - HKLM\..\Run: [xp_system] C:\WINNT\inet20001\services.exe

O4 - HKLM\..\Run: [MailScanIPC] C:\ARQUIV~1\MailScan\msipc.exe

O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Arquivos de programas\MailScan\LAUNCH.EXE"

O4 - HKLM\..\RunServices: [leeman] C:\WINNT\System32\leeman.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [leeman] C:\WINNT\System32\leeman.exe

O4 - HKCU\..\Run: [PayTime] C:\WINNT\System32\paytime.exe

O4 - HKCU\..\Run: [aupd] C:\WINNT\System32\sywsvcs.exe

O4 - HKCU\..\Run: [xp_system] C:\WINNT\inet20001\services.exe

O4 - Global Startup: Inicialização do Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: Localização acelerada da Microsoft.lnk = C:\Arquivos de programas\Microsoft Office\Office\FINDFAST.EXE

O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing

O13 - WWW. Prefix: http://

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2C38A62E-D257-40E8-8BB7-5624E38FEB0A} - http://www.hot2000.net/program/isdialer2.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = protect_nt

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = protect_nt

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.0.254

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = protect_nt

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.0.254

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.0.254

O20 - Winlogon Notify: f3dsl - lsd_f3.dll (file missing)

O20 - Winlogon Notify: st3 - C:\WINNT\q4405204.dll

O20 - Winlogon Notify: st3i - C:\WINNT\q408784571.dll

O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINNT\System32\kfgjcjhh.dll

O21 - SSODL: SysTray.Exmr - {73F8D5FF-6F5C-4f5b-B964-E6F214F6F852} - C:\WINNT\System32\kgppanal.dll

O23 - Service: MailScan for Mail Servers (Mail-Dispatcher) - MicroWorld Technologies Inc. - C:\ARQUIV~1\MailScan\MAILSERV.EXE

[jgarcia 1]

Opa Valdajk,

 

Vamos lá.

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

1ª Etapa

 

Baixe o Killbox em:

Killbox

 

Baixe, mas não execute ainda.

 

Baixe o CWShredder em:

CWShredder

 

Baixe, mas não execute ainda.

 

Baixe o SpySweeper em:

SpySweeper

 

Baixe e atualize, mas não execute ainda.

 

2ª Etapa

 

Execute o KillBox:

1) Selecione Delete on reboot;

2) Full path of file to delete;

3) Coloque:

C:\WINNT\inet20001 - Aperte X. Responda "sim" à primeira pergunta e "não" à segunda.

 

Repita a operação para:

C:\WINNT\System32\NTCommLib3.exe

C:\WINNT\System32\paytime.exe

C:\WINNT\System32\leeman.exe

C:\WINNT\System32\sywsvcs.exe

C:\WINNT\tool2.exe

C:\WINNT\System32\kfgjcjhh.dll

C:\WINNT\System32\kgppanal.dll

C:\WINNT\q4405204.dll

C:\WINNT\q408784571.dll

C:\WINNT\cpu.dll

C:\winstall.exe

c:\secure32.html

Caso o Killbox acuse a não existência de algum arquivo/pasta, apenas passe para o próximo.

 

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo Seguro e a conexão à internet não será possível.

 

3ª Etapa

 

Reinicie o computador em Modo Seguro (após reiniciar aperte a tecla F8 até aparecer uma tela preta em DOS e escolha Modo Seguro).

 

Execute o HijackThis, clique em Do a system scan only e marque:

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://nowfind.biz/search/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://nowfind.biz/search/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://nowfind.biz/search/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nowfind.biz/search/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nowfind.biz/search/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nowfind.biz/search/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchxp.com/search.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nowfind.biz/search/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchxp.com/search.php?qq=%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

F3 - REG:win.ini: run=C:\WINNT\inet20001\services.exe

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O4 - HKLM\..\Run: [NTCommLib3] C:\WINNT\System32\NTCommLib3.exe

O4 - HKLM\..\Run: [leeman] C:\WINNT\System32\leeman.exe

O4 - HKLM\..\Run: [PayTime] C:\WINNT\System32\paytime.exe

O4 - HKLM\..\Run: [CPU Watcher] rundll32.exe C:\WINNT\cpu.dll,load

O4 - HKLM\..\Run: [xp_system] C:\WINNT\inet20001\services.exe

O4 - HKLM\..\RunServices: [leeman] C:\WINNT\System32\leeman.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [leeman] C:\WINNT\System32\leeman.exe

O4 - HKCU\..\Run: [PayTime] C:\WINNT\System32\paytime.exe

O4 - HKCU\..\Run: [aupd] C:\WINNT\System32\sywsvcs.exe

O4 - HKCU\..\Run: [xp_system] C:\WINNT\inet20001\services.exe

O13 - WWW. Prefix: http://

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe

O16 - DPF: {2C38A62E-D257-40E8-8BB7-5624E38FEB0A} - http://www.hot2000.net/program/isdialer2.cab

O20 - Winlogon Notify: f3dsl - lsd_f3.dll (file missing)

O20 - Winlogon Notify: st3 - C:\WINNT\q4405204.dll

O20 - Winlogon Notify: st3i - C:\WINNT\q408784571.dll

O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - C:\WINNT\System32\kfgjcjhh.dll

O21 - SSODL: SysTray.Exmr - {73F8D5FF-6F5C-4f5b-B964-E6F214F6F852} - C:\WINNT\System32\kgppanal.dll

Clique em Fix Checked.

 

4ª Etapa

 

Ainda em Modo Seguro faça o seguinte:

 

1) Localize e delete:

lsd_f3.dll

 

2) Execute o CWShredder.

 

3) Execute uma verificação completa com o SpySweeper.

 

5ª Etapa

 

Reinicie em modo normal.

 

Vou precisar de um log do L2MFix. Clique aqui e baixe.

 

Extraia os arquivos e rode o l2mfix.bat --> opção "run find log". Depois de alguns minutos o bloco de notas deve abrir com um log. É o conteúdo deste log que você deverá colar em sua próxima resposta, bem como o novo log do Hijack.

 

Aguardo retorno.

 

Um abraço.

 

PS.: Se você utiliza serviços bancários online sugiro que mude de senha, pois há um Trojan do tipo Banker em seu PC (que será removido após os procedimentos).

[Valdajk 0]

Olá JGarcia, Feliz Natal!!!Continuo sem conseguir rodar o Killbox.Quando tento rodar o msconfig, retorna a seguinte mensagem:"msconfig.exe - Ponto de entrada não localizadoNão foi possível localizar o ponto de entrada do procedimento GetProcessDefaultLayoutna biblioteca de vínculo dinâmico USER32.dll".Quanto ao Killbox a mensagem é:"Can't find DLL entry point Creat Toolhelp32Snapshot in Kernel32"Alguma sugestão?Aguardo o seu retorno.Obrigada,ValdaJK

[jgarcia 1]

Caro Valdajk,

 

Baixe e instale o arquivo user32.dll.

 

Há mais informações sobre o problema neste endereço aqui.

 

Abraços.

[Shine 0]

Tópico Arquivado

 

Como o autor não respondeu por mais de 20 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.