Weick 1 Denunciar post Postado Outubro 29, 2006 Olá. Eu instalei o Spybot, programa de rastreamento e remoção de Spywares e Adwares do sistema, e o coloquei para "vasculhar" a minha máquina. Ele encontrou 93 Intrusos e entre estes estavam alguns "Cookies", "Modificações de Registro" e "Arquivos Gerais". Dentre os tais arquivos infectados estava um, em especial, que fiquei com um certo receio de remover. É um arquivo executável, de nome fsg_4104.exe localizado no diretório: C:\WINDOWS\system32\. Gostaria de saber se posso realmente excluir esse arquivo do meu computador, se ele pode ser considerado uma ameaça ao bom funcionamento do SO e, em caso de resposta negativa ao primeiro questionamento, sobre a remoção, gostaria de solicitar uma ajuda com relação a isso. Desde já grato, Weick Strauss. Compartilhar este post Link para o post Compartilhar em outros sites
Sam Spade 2 Denunciar post Postado Outubro 29, 2006 Olá Weick! O arquivo fsg_4104.exe pertence ao adware GAIN/Gator/Claria que deve ter vindo junto com algum programa patrocinado que instalou. Pode ser que removendo, o programa deixe de funcionar, mas é recomendável que mesmo acontecendo isso, remova o adware e procure opções de programas limpos. Não posso lhe dizer qual o programa, pois a GAIN patrocina muitos softwares. Veja mais informações aqui. Se quiser fazer uma verificação de infecções no PC, pois o Spybot não detecta todas, baixe > HijackThis Abra uma pasta em C:\ e salve nela. Quando abrir a ferramenta, clique em "Do a system scan and save a logfile". Poste o log. Compartilhar este post Link para o post Compartilhar em outros sites
Weick 1 Denunciar post Postado Outubro 29, 2006 Olá Sam. Baixei o arquivo que você recomendou e segui as etapas indicadas. Abaixo seguem as informações constantes no Arquivo de Log gerado após a verificação com o HijackThis v1.99.1: Logfile of HijackThis v1.99.1 Scan saved at 20:22:48, on 29/10/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe C:\Arquivos de programas\Arquivos comuns\LightScribe\LSSrvc.exe C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe C:\WINDOWS\Explorer.EXE C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Arquivos de programas\Save\Save.exe C:\Arquivos de programas\Messenger\msmsgs.exe C:\Arquivos de programas\Mozilla Firefox\firefox.exe C:\Arquivos de programas\Winamp\Winamp.exe C:\WINDOWS\system32\wscntfy.exe C:\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: (no name) - {881B8ECC-8AA2-450F-AC27-17A4F6ECCE01} - C:\WINDOWS\system32\c_2mgr.dll (file missing) O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Arquivos de programas\Corel\Corel Graphics 12\Languages\BR\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=091106 serial=DR12CUS-2178927-HVQ lang=BP O4 - HKLM\..\Run: [AudioDeck] C:\Arquivos de programas\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [eSnips] "C:\Arquivos de programas\eSnips\ClientGW.exe" O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WhenUSave] "C:\Arquivos de programas\Save\Save.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [updateMgr] "C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1 O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dllink.htm O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm O8 - Extra context menu item: See Related Links - http://client.alexa.com/holiday/script/actions/related.htm O8 - Extra context menu item: Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_08\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_08\bin\ssv.dll (file missing) O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: {2E12FB00-546B-4EE3-9CC2-057BF02E1C17} (Webshots Multiple Media Uploader - Container) - http://community.webshots.com/html/atx/wsaxcontrol.cab O16 - DPF: {9600F64D-755F-11D4-A47F-0001023E6D5A} (Shutterfly Picture Upload Plugin) - http://web1.shutterfly.com/downloads/Uploader.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing) O20 - AppInit_DLLs: O20 - Winlogon Notify: c_2mgr - c_2mgr.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Arquivos de programas\Arquivos comuns\LightScribe\LSSrvc.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe E obrigado pela rápida resposta à minha solicitação. Mais uma vez grato. Weick Strauss Compartilhar este post Link para o post Compartilhar em outros sites
Sam Spade 2 Denunciar post Postado Outubro 29, 2006 Ok, o log mostra outro adware, o WhenU. Há também a ToolBar Alexa. Recomendo que leia este artigo e a escolha é sua de mantê-la ou não. Salve ou imprima estas instruções, pois vai segui-las desconectado e sem acesso a esta página: 1 - No Painel de Contole > Adicionar/Remover programas > se encontrar, desinstale: WhenUSave ou Save 2 - Reinicie o PC e aperte F8 intermitentemente. No menu escolha: modo seguro. 3 - Faça um scan com o HijackThis, marque as entradas abaixo, que ainda encontrar e clique em Fix checked: O2 - BHO: (no name) - {881B8ECC-8AA2-450F-AC27-17A4F6ECCE01} - C:\WINDOWS\system32\c_2mgr.dll (file missing) O4 - HKCU\..\Run: [WhenUSave] "C:\Arquivos de programas\Save\Save.exe" O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) O20 - Winlogon Notify: c_2mgr - c_2mgr.dll (file missing) 4 - Localize e se encontrar, delete a pasta: WhenUSave ou Save 5 - Reinicie em modo normal, faça um scan com o HijackThis e salve/poste o log. Compartilhar este post Link para o post Compartilhar em outros sites
Weick 1 Denunciar post Postado Outubro 30, 2006 Sam, Com relação ao Save, eu sei do que se trata. É um programa de patrocínio que me permite rodar um reprodutor de áudio//vídeo: o BSPlayer. Se eu remover o "When U Save" não poderei mais utilizá-lo. Se você sabe de alguma técnica para usar o BSPlayer sem possuir o Save instalado, por favor, me comunique. Sobre o "Alexa Toolbar". Eu não consegui localizá-lo em "Adicionar ou Removoer Programas". Como removê-lo do meu micro. Esse aplicativo veio junto com a barra de ferramentas de um determinado site de Upload de arquivos. Preciso removê-la, embora não utilize o meu Internet Explorer para envio de informações, apenas o Mozilla Firefox. E, voltando ao fsg. Nesse arquivo de log não consta o Adware "fsg_4104"? Se consta, como removê-lo? Agradeço profundamente à sua preocupação com a remoção dos outros spy/adwares do meu SO mas gostaria, primeiramente, de remover esse especificamente. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- EDITANDO só pra dizer que eu realizei as etapas anteriormente descritas por você, Sam, e que logo abaixo você poderá avaliar o Arquivo de Log gerado após a exclusão dos item relacionados por você no seu último post. Dê uma olhada: Logfile of HijackThis v1.99.1 Scan saved at 23:43:51, on 29/10/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe C:\WINDOWS\system32\ctfmon.exe C:\Arquivos de programas\Messenger\msmsgs.exe C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe C:\Arquivos de programas\Arquivos comuns\LightScribe\LSSrvc.exe C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\system32\wscntfy.exe C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wuauclt.exe C:\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Arquivos de programas\Corel\Corel Graphics 12\Languages\BR\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=091106 serial=DR12CUS-2178927-HVQ lang=BP O4 - HKLM\..\Run: [AudioDeck] C:\Arquivos de programas\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [eSnips] "C:\Arquivos de programas\eSnips\ClientGW.exe" O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [updateMgr] "C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1 O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dllink.htm O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm O8 - Extra context menu item: See Related Links - http://client.alexa.com/holiday/script/actions/related.htm O8 - Extra context menu item: Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_08\bin\npjpi150_08.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_08\bin\npjpi150_08.dll O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: {2E12FB00-546B-4EE3-9CC2-057BF02E1C17} (Webshots Multiple Media Uploader - Container) - http://community.webshots.com/html/atx/wsaxcontrol.cab O16 - DPF: {9600F64D-755F-11D4-A47F-0001023E6D5A} (Shutterfly Picture Upload Plugin) - http://web1.shutterfly.com/downloads/Uploader.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing) O20 - AppInit_DLLs: O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Arquivos de programas\Arquivos comuns\LightScribe\LSSrvc.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe Fico no Aguardo. Compartilhar este post Link para o post Compartilhar em outros sites
Sam Spade 2 Denunciar post Postado Outubro 31, 2006 Ok, para remover o fsg_410, reinicie o PC em modo de segurança e vá no diretório System32. Localize o arquivo em questão e exclua (SHIFT+DELETE). Ainda em modo de sgurança, rode o HijackThis, marque as entradas da Alexa e clique em Fix checked: O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL O8 - Extra context menu item: Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm O8 - Extra context menu item: See Related Links - http://client.alexa.com/holiday/script/actions/related.htm O8 - Extra context menu item: Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm Bem, como o BSPlayer é um programa que funciona patrocinado pelo adware WhenU, se removê-lo, vai parar de funcionar. Contudo, observe que em troca de usar o BSPlayer, que certamente não é o tempo inteiro, terá em tempo integral (ao estar conectado), um programa monitorando o seu sistema e utilizando para isso recursos do seu próprio PC. Querendo trocá-lo, peça uma orientação na área própria de multimídia. Compartilhar este post Link para o post Compartilhar em outros sites
Weick 1 Denunciar post Postado Outubro 31, 2006 Ok, Sam. Já realizei os procedimentos indicados e exclui o Alexa Toolbar, o fsg_4104 e o WhenUSave Now. Agradeço profundamente pelo compromisso que tivestes em tirar dúvidas e solucionar o meu problema, mesmo depois de Um problema ((com o fsg)) ter se Triplicado ((com o WUS e o AT)). Sem mais delongas. Grato, Weick Strauss. Compartilhar este post Link para o post Compartilhar em outros sites
Sam Spade 2 Denunciar post Postado Outubro 31, 2006 Ok, para finalizar, vá no Painel de Controle > Sistema > Restauração do Sistema > marque Desativar a restauração do sistema > Aplicar > OK. Depois desmarque novamente. Abraço. Compartilhar este post Link para o post Compartilhar em outros sites
Weick 1 Denunciar post Postado Novembro 1, 2006 Posso perguntar o porque de realizar esse procedimento, Sam? =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=--=-=-= Editando esse post para dizer que já encontrei a resposta para a minha pergunta no link Desabilitando a Restauração do Sistema, Tutorial. Agradeço muito pelo apoio, pelo interesse e efetividade dos procedimentos de remoção de ameaças do meu micro. Queria, ainda, parabenizá-lo pelo ótimo desempenho e congratular toda a equipe de Segurança & Malwares pelo ótimo trabalho que estão realizando. Ainda mais grato, se é que é possível, Weick Strauss. :thumbsup: Valeu, Tio Sam! Compartilhar este post Link para o post Compartilhar em outros sites
Sam Spade 2 Denunciar post Postado Novembro 22, 2006 PROBLEMA RESOLVIDO! Caso o autor necessite que o tópico seja reaberto é necessário enviar uma Mensagem Privada para um Moderador com um link para o tópico. Compartilhar este post Link para o post Compartilhar em outros sites
