[Arquivado]Problemas com hldrrr.exe, winlogon.exe e csrss.exe, preciso

[Sol Pipoca 0]

Boa Tarde!Já li vários tópicos a respeitos destes arquivos, e tentei algumas soluções, mas só obtive uma pequena vitória, pois aparentemente o hldrrr.exe foi removido, sendo assim, assumo minha incompetência e ignorância e venho pedir, humildemente, ajuda.Segue abaixo um resumo da situação geral da máquina:- Antivirus: Panda Titanium (sem o firewall - pois mesmo configurado não conseguia navegar)- Atlhon XP 1700 - 512MB + 128MB (RAM)- Navegador: Opera (acho mais seguro)- Não consigo entrar em modo de segurança (sempre que tento ele reinicia)- Tenho o HijackThis 1.99.1 e ATF-Cleaner (usei contra o hldrrr)Muito Obrigado.SolLogfile of HijackThis v1.99.1Scan saved at 13:40:16, on 24/9/2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\SYSTEM32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exeC:\WINDOWS\system32\svchost.exeC:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exeC:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXEC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exec:\arquivos de programas\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXEC:\WINDOWS\system32\spoolsv.exeC:\MATLAB7\webserver\bin\win32\matlabserver.exeC:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exec:\matlab7\bin\win32\matlab.exeC:\Arquivos de programas\Arquivos comuns\Panda Software\PavShld\pavprsrv.exeC:\WINDOWS\system32\HPZipm12.exeC:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\tlntsvr.exeC:\WINDOWS\System32\alg.exeC:\WINDOWS\Explorer.EXEC:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXEC:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exeC:\Arquivos de programas\Skype\Phone\Skype.exeC:\Arquivos de programas\Opera\Opera.exeC:\WINDOWS\SYSTEM32\taskmgr.exeC:\Documents and Settings\Marel\Desktop\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.aspR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dllO3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dllO4 - HKLM\..\Run: [APVXDWIN] "C:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /sO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.aspO17 - HKLM\System\CCS\Services\Tcpip\..\{07C7FBBF-CD77-4EC0-BCFD-7D3183090055}: NameServer = 200.165.132.147 200.165.132.154O17 - HKLM\System\CS1\Services\Tcpip\..\{07C7FBBF-CD77-4EC0-BCFD-7D3183090055}: NameServer = 200.165.132.147 200.165.132.154O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dllO23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1050\Intel 32\IDriverT.exeO23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB7\webserver\bin\win32\matlabserver.exeO23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exeO23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Arquivos de programas\Arquivos comuns\Panda Software\PavShld\pavprsrv.exeO23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exeO23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\arquivos de programas\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXEO23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exeO23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe

[jgarcia 1]

Opa Sol Pipoca,

 

Não há entradas anormais em seu log. O que vem ocorrendo de estranho?

[Sol Pipoca 0]

Olá Garcia,Se esta tudo limpo, então consegui retirar o hldrr, e as infecções no winlogon, pois antes meu anti-virus era automaticamente desabilitado, e mesmo reinstalando não rodava; ao conectar a internet uma pagina tentava abrir (usando o internet explorer - e uso o opera como padrão!); qualquer programa que tentava executar apresentava erros ao abrir ou eram fechados logo apos terem sido abertos. Estava insuportável!!! E preciso muito da minha máquina, por isso não formatei de cara. A única coisa que ainda não esta legal é que quando tento entrar no modo de segurança ele continua a reiniciar. E isso?!? O que pode ser? Pretendo formatá-lo, mas só daqui algumas semanas.Independente dos resultados, gostaria de agradecer. Vocês são muito eficientes, pois de todo modo o ploblema só se resolveu por que tive acesso a este forum e obtive informações confiavéis e realmente eficientes.Muito Obrigado.Sol

[jgarcia 1]

Opa Sol Pipoca,

 

Para tirarmos a "prova dos nove", execute o Active Scan da Panda e retorne com o resultado.

 

Abraços.

[Sol Pipoca 0]

Garcia,Não consigo usar nenhum anti-virus on line. No caso do Panda nada acontece quando clico em "Scan Now! Free of Charge!" e, acontece, mais-ou-menos a mesma coisa para Kaspersky, HouseCall e outros.Outro detalhe que esqueci de dizer é que não consigo, por exemplo, usar a ferramenta Pesquisar: Arquivos ou pastas..., pois a tela esta sempre em branco, e quando tento ativar o Autocad também acontece a mesma coisa. Será que desabilitei algo que não devia, ao tentar desinfectar o PC? O que?!?Muito Obrigado!Sol

[jgarcia 1]

Opa Sol Pipoca,

 

Baixe o Sophos Anti-Rootkit.

 

1. Preenche o formulário com os dados solicitados. Clique em Submit. Efetue o download salvando-o em seu desktop;

 

2. Após o término do download o executável sarsfx.exe será embutido em seu desktop. Dê duplo-clique sobre o sarsfx.exe. Aceite a licença. Clique em Install;

 

3. Depois de executado o processo haverá uma pasta denominada C:\SOPHTEMP alocada no C. Entre nesta pasta e dê duplo-clique sobre sargui.exe. Execute uma verificação (por padrão todos os itens estarão marcados);

 

4. Deixe o programa rodar até que o mesmo mostre a janela com os prováveis problemas (localização e nome do arquivo no disco). Pouse o mouse sobre os problemas encontrados e verifique qual é a recomendação dada para ele. Marcados os arquivos a serem removidos, clique em Clean Up;

 

PS.: Somente execute a limpeza caso haja a seguinte mensagem em Removable --> Yes (clean up recommended) <--;

 

5. Finalizada a limpeza o programa irá requerer a Reinicialização (clique em Restart Now);

 

6. Quando o PC reiniciar abrir-se-á uma caixa de diálogo com o resultado final do Scan. Preciso que você copie e cole o conteúdo da caixa de diálogo em sua próxima resposta. Poste também um novo log do HijackThis.

 

Abraços.

[Sol Pipoca 0]

Garcia,Conforme suas instruções executei o Sophos e o HijackThis.O Sophos só encontrou um problema e não recomendou a remoção, veja:Area: Windows registryDescription: Hidden registry key Location: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg40Removable: NoNotes: (no more detail available) E abaixo o segue o resultado do HijackThis:Logfile of HijackThis v1.99.1Scan saved at 16:25:06, on 27/9/2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\SYSTEM32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exeC:\WINDOWS\system32\svchost.exeC:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exeC:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXEC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exec:\arquivos de programas\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\apvxdwin.exeC:\WINDOWS\system32\ctfmon.exeC:\MATLAB7\webserver\bin\win32\matlabserver.exeC:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exec:\matlab7\bin\win32\matlab.exeC:\Arquivos de programas\Arquivos comuns\Panda Software\PavShld\pavprsrv.exeC:\WINDOWS\system32\HPZipm12.exeC:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\tlntsvr.exeC:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exeC:\WINDOWS\System32\alg.exeC:\WINDOWS\system32\WISPTIS.EXEC:\SOPHTEMP\sargui.exeC:\Arquivos de programas\Opera\Opera.exeC:\Documents and Settings\Marel\Desktop\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.aspR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dllO3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dllO4 - HKLM\..\Run: [APVXDWIN] "C:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /sO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exeO14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.aspO17 - HKLM\System\CCS\Services\Tcpip\..\{07C7FBBF-CD77-4EC0-BCFD-7D3183090055}: NameServer = 200.165.132.147 200.165.132.154O17 - HKLM\System\CS1\Services\Tcpip\..\{07C7FBBF-CD77-4EC0-BCFD-7D3183090055}: NameServer = 200.165.132.147 200.165.132.154O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dllO23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1050\Intel 32\IDriverT.exeO23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB7\webserver\bin\win32\matlabserver.exeO23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exeO23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Arquivos de programas\Arquivos comuns\Panda Software\PavShld\pavprsrv.exeO23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exeO23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\arquivos de programas\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXEO23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exeO23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Arquivos de programas\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exeEra isso mesmo? ObrigadoSol

[jgarcia 1]

Opa Sol Pipoca,

 

Baixe o F-Secure Blacklight em:

F-Secure Blacklight

 

Salve-o em sua área de trabalho e o execute. Aceite o acordo.

 

Se ele encontrar algum arquivo, ignore, pois quero apenas o log.

 

Ao final do scan será gerado o arquivo fsb-xxxxx.log (onde xxx são números). Preciso que você copie o log e poste em sua próxima resposta.

 

Abraços.

[Sol Pipoca 0]

Oi Garcia,Passei o F-Secure Blacklight diversas vezes e ele nada encontrou. Acredito que se havia algum problema, este foi solucionado com a remoção do hldrrr, então, já que tentamos diversas ferramentas e nenhuma delas retornou algo palpável, por mim, podemos considerar o problema como resolvido. Continuo não conseguindo usar a ferramenta de pesquisa do XP, mas acho, realmente, que isto é uma sequela da infecção, que deve ser solucionada com a formatação.Mais uma vez, gostaria de agradecer toda o auxilio prestrado. :clap:Atenciosamente.Sol

[jgarcia 1]

Opa Sol Pipoca,

 

Que tal uma outra tentativa antes de formatar? Caso decida tentar, baixe o SilentRunners.

 

Extraia o arquivo SillentRunners.vbs para o C. Dê duplo clique sobre o arquivo para executá-lo.

 

Após executá-lo aguarde até que seja gerado um documento denominado Startup Programs (USUÁRIO) data. Copie o conteúdo deste documento e cole aqui.

 

Abraços.

 

Obs.: Caso o seu AV detecte o arquivo como sendo um script malicioso não se preocupe e autorize a execução.

[Sam Spade 2]

Tópico Arquivado

 

Como o autor não respondeu por mais de 20 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.