[Arquivado] Meu micro tá infectado

[PiuFMB 0]

Amigos, meu micro ficou lento de repente, e estou um tanto inseguro para limpá-lo através do Hijackthis. Poderiam ajudar-me?Segue abaixo o log gerado pelo software:Logfile of HijackThis v1.99.1Scan saved at 11:13:26, on 16-02-06Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exeC:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\Arquivos de programas\Symantec AntiVirus\DefWatch.exeC:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXEC:\WINDOWS\system32\slserv.exeC:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exeC:\WINDOWS\system32\svchost.exeC:\Arquivos de programas\Symantec AntiVirus\Rtvscan.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\wdfmgr.exeC:\WINDOWS\system32\pctspk.exeC:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exeC:\ARQUIV~1\SYMANT~1\VPTray.exeC:\WINDOWS\SOUNDMAN.EXEC:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd2.exeC:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exeC:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exeC:\ARQUIV~1\Aveo\Attune\bin\attune_ce.exeC:\Arquivos de programas\QuickTime\qttask.exeC:\Arquivos de programas\DicPoli\dicpoli.exeC:\Arquivos de programas\WebRebates4\webrebates.exeC:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exeC:\WINDOWS\system32\rundll32.exeC:\Arquivos de programas\WhenUSearch\Search.exeC:\WINDOWS\system32\ctfmon.exeC:\Arquivos de programas\Messenger\msmsgs.exeC:\Arquivos de programas\WeatherCast\Weather.exeC:\Arquivos de programas\Save\Save.exeC:\Arquivos de programas\Internet Explorer\IEXPLORE.EXEC:\WINDOWS\System32\alg.exeC:\Arquivos de programas\WebRebates4\w11150.exeC:\Documents and Settings\All Users\Documentos\Backup micro Diretoria\Arquivos de Programas\_Instalação\Antivirus\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.aspO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Arquivos de programas\NewDotNet\newdotnet7_22.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dllO2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Arquivos de programas\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar1.dll (file missing)O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll (file missing)O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dllO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exeO4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exeO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [PCTVOICE] pctspk.exeO4 - HKLM\..\Run: [VTTimer] VTTimer.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [vptray] C:\ARQUIV~1\SYMANT~1\VPTray.exeO4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd2.exeO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exeO4 - HKLM\..\Run: [DeviceDiscovery] C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exeO4 - HKLM\..\Run: [AttuneClientEngine] C:\ARQUIV~1\Aveo\Attune\bin\attune_ce.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [Dicionário Poliglota] "C:\Arquivos de programas\DicPoli\dicpoli.exe" minimizeO4 - HKLM\..\Run: [webrebates] "C:\Arquivos de programas\WebRebates4\webrebates.exe"O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exeO4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARQUIV~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -sO4 - HKLM\..\Run: [WhenUSearch] "C:\Arquivos de programas\WhenUSearch\Search.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [4624] C:\ARQUIV~1\SCREEN~1\OCR.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [WeatherCast] "C:\Arquivos de programas\WeatherCast\Weather.exe" /qO4 - HKCU\..\Run: [WhenUSave] "C:\Arquivos de programas\Save\Save.exe"O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exeO8 - Extra context menu item: Abrir em um Novo Avant Browser - C:\Arquivos de programas\Avant Browser\OpenInNewBrowser.htmO8 - Extra context menu item: Abrir Todos os Links Desta Página... - C:\Arquivos de programas\Avant Browser\OpenAllLinks.htmO8 - Extra context menu item: Adicionar à Lista Negra de Anúncios - C:\Arquivos de programas\Avant Browser\AddToADBlackList.htmO8 - Extra context menu item: Bloquear Todas as Imagens do Mesmo Servidor - C:\Arquivos de programas\Avant Browser\AddAllToADBlackList.htmO8 - Extra context menu item: Destacar - C:\Arquivos de programas\Avant Browser\Highlight.htmO8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pesquisar - C:\Arquivos de programas\Avant Browser\Search.htmO8 - Extra context menu item: Web Rebates. - file://C:\Arquivos de programas\WebRebates4\websrebates\webtrebates\toprC0.htmO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.aspO17 - HKLM\System\CCS\Services\Tcpip\..\{EE95594F-3046-4FAA-A631-E93217A36F87}: NameServer = 201.10.128.2,200.199.201.24O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dllO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exeO23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Arquivos de programas\Symantec AntiVirus\DefWatch.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exeO23 - Service: SAVRoam (SavRoam) - symantec - C:\Arquivos de programas\Symantec AntiVirus\SavRoam.exeO23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exeO23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Arquivos de programas\Symantec AntiVirus\Rtvscan.exeObrigado, Fabiano

[jgarcia 1]

Caro PiuFMB,

 

Vamos lá.

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

Baixe o WinsockFix.

 

Em algumas ocasiões a remoção ou a simples presença de New.Net ocasiona a perda / problemas de conexão à internet.

 

Se, após desinstalar New.Net, você perder a conexão, execute o WinsockFix.exe e então clique em Fix.

 

Desinstale:

 

--> New.net ou NewDotNet

--> Attune

--> WebRebates4

--> WhenUSearch

--> WeatherCast

--> Save

 

Utilize Adicionar / Remover programas.

 

Desinstale, um a um, e reinicie após tê-los desinstalado.

 

OBS.: Caso não encontre algum(ns) do(s) programa(s) apenas passe para o próximo e/ou para a próxima etapa.

 

1ª Etapa

 

Baixe o Killbox em:

Killbox

 

Baixe, mas não execute ainda.

 

Baixe o SpySweeper em:

SpySweeper

 

Baixe e atualize, mas não execute ainda.

 

2ª Etapa

 

Execute o KillBox:

1) Selecione Delete on reboot;

 

2) Copie a lista abaixo em negrito para a área de transferência. Selecione --> Editar --> Copiar:

C:\Arquivos de programas\NewDotNet

C:\ARQUIV~1\Aveo\Attune

C:\Arquivos de programas\WebRebates4

C:\Arquivos de programas\WhenUSearch

C:\Arquivos de programas\WeatherCast

C:\Arquivos de programas\Save

3) Retorne ao Killbox. Clique em File --> Paste form clipboard --> All files;

 

4) Aperte em "X". Responda "não" à pergunta.

 

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo Seguro e a conexão à internet não será possível.

 

3ª Etapa

 

Reinicie o computador em Modo Seguro (após reiniciar aperte a tecla F8 até aparecer uma tela preta em DOS e escolha Modo Seguro).

 

Execute o HijackThis, clique em Do a system scan only e marque:

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Arquivos de programas\NewDotNet\newdotnet7_22.dll

O4 - HKLM\..\Run: [AttuneClientEngine] C:\ARQUIV~1\Aveo\Attune\bin\attune_ce.exe

O4 - HKLM\..\Run: [webrebates] "C:\Arquivos de programas\WebRebates4\webrebates.exe"

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\ARQUIV~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s

O4 - HKLM\..\Run: [WhenUSearch] "C:\Arquivos de programas\WhenUSearch\Search.exe"

O4 - HKCU\..\Run: [4624] C:\ARQUIV~1\SCREEN~1\OCR.exe

O4 - HKCU\..\Run: [WeatherCast] "C:\Arquivos de programas\WeatherCast\Weather.exe" /q

O4 - HKCU\..\Run: [WhenUSave] "C:\Arquivos de programas\Save\Save.exe"

O8 - Extra context menu item: Web Rebates. - file://C:\Arquivos de programas\WebRebates4\websrebates\webtrebates\toprC0.htm

Clique em Fix Checked.

 

4ª Etapa

 

Ainda em Modo Seguro faça o seguinte:

 

1) Execute uma verificação completa com o SpySweeper.

 

5ª Etapa

 

Reinicie em modo normal.

 

Poste o novo log.

 

Aguardo retorno.

 

Um abraço.

[Shine 0]

TÓPICO ARQUIVADO

 

Como o autor não respondeu por mais de 20 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.