[Resolvido!]Trojan-Spy.Win32@mx

[aifranca 0]

Olá pessoal, preciso encarecidamente que me ajudem a remover essas mensagens do meu PC. Já passei o Norton 2003, Ewido, Spybot, Ad-Ware. Os anti - spy (Ewido e Spybot) encontram o problema, mas não resolvem. O Spybot diz que removeu, mas na verdade ele continua no meu PC e o Ewido diz que houve uma falha no processo de correção.Ela aparece próximo ao relógio com o tópico descrito abaixo.Todas as vezes que eu clico nele, o Internet Explore abre uma página e sou encaminhado para a página da VirusBurst ou PestTrap. As vezes ele abre algumas páginas sozinho pelo Internet Explore. Mas eu só uso o Mozilla Fire Fox.Ícones que aparecem no meu PC, próximo ao relógio, são: - Triangulo com ponto de "!" exclamação.- "X" Xis com um ponto de "?" interrogação.A mensagem no ponto de "!" é:- Systen Alert: Trojan-Spy.Win32@mxCom outras informações.....A mensagem no ponto de "? é:- Critical System ErrorCom outras informações.....Aguardo resposta em Breve...ObrigadoArriel

[Sam Spade 2]

Olá aifranca! Baixe > HijackThis

 

Abra uma pasta em C:\ e salve nela.

 

Quando abrir a ferramenta, clique em "Do a system scan and save a logfile". Poste o log.

[aifranca 0]

Esse foi o resultado....

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

ybC:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe

C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Arquivos de programas\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\ARQUIV~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\SymWSC.exe

c:\arquivos de programas\pinnacle\shared files\programs\mediaserver\pmshost.exe

C:\Arquivos de programas\MMediaCodec\pmsngr.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

C:\Arquivos de programas\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

C:\WINDOWS\system32\tasklist32.exe

C:\Arquivos de programas\MMediaCodec\pmmon.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Arquivos de programas\Puxa Rápido\PuxaRapido.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Documents and Settings\user\Desktop\HijackThis_2.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://br.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://thepopway.com/gatevc.php?pn=srch0p3total7s2

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {6EF05952-B48D-4944-AA91-57A6A1A48EF8} - C:\Arquivos de programas\Puxa Rápido\IEBHO.DLL

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar2.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {d869742a-e5d2-4624-96c7-aae26170665e} - C:\Arquivos de programas\MMediaCodec\isaddon.dll (file missing)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [PMCRemote] C:\Arquivos de programas\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe

O4 - HKLM\..\Run: [TaskList] "C:\WINDOWS\system32\tasklist32.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O14 - IERESET.INF: START_PAGE_URL=www.google.com.br

O17 - HKLM\System\CCS\Services\Tcpip\..\{BC1AF491-B326-4486-A300-602AA57466AC}: NameServer = 200.204.0.138 200.204.0.10

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: contrabandists - {dfa61db1-388e-4c87-8d56-540fa229bcb4} - C:\WINDOWS\system32\dpfwu.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Arquivos de programas\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)

O23 - Service: Serviço de Auto-Protect do Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\arquivos de programas\pinnacle\shared files\programs\mediaserver\pmshost.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARQUIV~1\NORTON~1\SPEEDD~1\nopdb.exe

O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Arquivos de programas\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\SymWSC.exe

 

 

Agora o teclado desconfigurou e nao tem como configura-lo.

O monitor fica apagando e voltando.

E fica dando um sinal sonoro (estalo) dizendo que tenho um Critical System Error !!!

 

Ah, no spaybot eu peguei a endereco dos MalwareWipe e estao logo abaixo....

 

HKLM\SOFTWARE\Classes\CLSID\{d869742a-e5d2-4624-96c7-aae26170665e}

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d869742a-e5d2-4624-96c7-aae26170665e}

 

HKU\S-1-5-21-1060284298-1715567821-839522115-1003\Software\Microsoft\Windows\CurrentVersion\

Ext\Stats\{D869742A-E5D2-4624-96C7-AAE26170665E}

[Sam Spade 2]

Ok, baixe > SmitFraudFix

 

Antes de prosseguir, desabilite a proteção do seu anti vírus. Extraia os arquivos do SmitFraudFix para o seu desktop.

 

Reinicie o PC e aperte F8 intermitentemente. No menu que vai aparecer, escolha: modo seguro.

 

Dê um duplo-clique em smitfraudfix.cmd.

Escolha a opção 2.

Quando perguntar Do you want to clean the registry? , escolha o sim (y).

 

Reinicie em modo normal, habilite novamente o seu anti vírus, faça um scan com o HijackThis e salve/poste o log.

 

Anexe também o log do SmitFraudFix (rapport.txt), que encontrará em C:\

[aifranca 0]

Olá, Obrigado pela resposta, porém não estou conseguindo desabilitar a proteção do meu anti virus. Eu tenho o Norton 2003 da Symantec.Consegui remover o informativo de Critical System Error e parou de abrir as janelas da internet sozinhos, depois de passar o Spy Sweeper, porém ele é trial e expira em 15 dias e os Malwere foram para a Quarentena desse programa, será que em 14 dias eles voltam para o PC. Agora que parou os avisos e os estalos chatos, meu Windows SP2 ficou com seqüelas está estranho....Exemplo não tem mais a função localizar pastas ou arquivo... entre outras coisas estranhas....Outra coisa todas as vezes que tento passar o Ad Ware SE Personal o PC trava...O meu anti Spy reconheceu o SmitFraudfix como um Spyware, por isso ocorre?Bom, eeu preciso saber como desabilitar a proteção do meu anti virus para passar o SmitFraudifix e o HijackThis para enviar o relatório, pois mesmo sem os informativos meu PC continua com Spy que persistem em infectar meu PC e os meus programas não conseguem remove-los definitivamente.Obrigado novamente!!

[Sam Spade 2]

Olá, o método usado pelo SmitFraudFix faz dar um falso positivo com anti vírus e alguns anti spywares. Para desabilitar o auto-protect do Norton, é só clicar com o direito no seu ícone no tray (ao lado do relógio) e escolher Desativar o Auto-Protect.

[aifranca 0]

Olá Sam Spade, desculpa desculpa a demora em responder, porém meu micro está totalmente travado, tanto que o Norton travou e não conseguia nem desativa-lo para passar o Smitfraudfix. Por isso formatei o micro, mas ainda não está bom. Não consigo instalar minha placa de capitura e nem a web cam, ou seja nada que trabalhe com imagem.... Aparece que houve um erro 2350 no sistema. Será que terei que formata-lo novamente ou tem como reparar só reinstalando o win xp? Existe a possibilidade do ser culpa do virus ter ficado, mesmo depois de formatado?Obrigado.

[Sam Spade 2]

Olá, não há esta possibilidade, pois quando formatou, eliminou os malwares do PC. Solicite uma orientação na área de hardware.Abraço.

[Sam Spade 2]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto é necessário enviar uma Mensagem Privada para um Moderador com um link para o tópico.