[Arquivado]Não aguento mais

[Wellington Junior 0]

Ola amigos!!!!

 

eu ja verifique em outras perguntas relacionadas ao problema de ficar aparecendo janelas do winantivirus. eu ja instalei o HijackThis.

a resposta é:

 

 

Logfile of HijackThis v1.99.1

Scan saved at 16:20:20, on 6/5/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Arquivos de programas\Winamp\winampa.exe

C:\WINDOWS\system32\pctspk.exe

C:\Arquivos de programas\ExAlien.exe

C:\WINDOWS\system32\svehost.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\clcl7.exe

C:\windows\system32\mkrshcx.exe

C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\avgccc.exe

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\InstallHelp.exe

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\svchost.exe

C:\Documents and Settings\All Users\Menu Iniciar\Programas\Inicializar\task.exe

C:\Documents and Settings\Administrador\Menu Iniciar\Programas\Inicializar\svchost.exe

C:\Arquivos de programas\Webshots\WebshotsTray.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\explorer.exe

C:\hhhh\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com.br/0SEPTBR/SAOS01

O1 - Hosts: 200.242.151.6 ttt

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: CometCursor Class - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - C:\WINDOWS\system32\COMET.DLL

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Arquivos de programas\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar1.02.5000.1021\pt-br\msntb.dll

O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\tmp1.tmp.dll

O2 - BHO: (no name) - {f02f2dfb-a423-4970-9821-f53d8d207eac} - C:\WINDOWS\system32\dss400.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar1.02.5000.1021\pt-br\msntb.dll

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [RealTray] C:\Arquivos de programas\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [ExAlien] C:\Arquivos de programas\ExAlien.exe

O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [msig] C:\WINDOWS\virtualdisk.exe

O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe

O4 - HKLM\..\Run: [intel system tool] C:\WINDOWS\system32\svehost.exe

O4 - HKLM\..\Run: [NI.UWA6PZ_0001_N91M2507] "c:\documents and settings\administrador\dados de aplicativos\winantiviruspro2006freeinstall_br[1].exe" -nag

O4 - HKLM\..\Run: [clcl7] C:\WINDOWS\system32\clcl7.exe

O4 - HKLM\..\Run: [kill] c:\windows\svxh.exe

O4 - HKLM\..\Run: [Markting] "C:\windows\system32\mkrshcx.exe"

O4 - HKLM\..\Run: [WindowsService] rundll32.exe "C:\WINDOWS\geeeeb.dll",realset

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [RealJukeboxSystray] C:\Arquivos de programas\Real\RealJukebox\tsystray.exe

O4 - HKCU\..\Run: [A00F6B671.exe] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\_A00F6B671.exe

O4 - HKCU\..\Run: [A00F6B681.exe] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\_A00F6B681.exe

O4 - HKCU\..\Run: [A00F6BA69.exe] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\_A00F6BA69.exe

O4 - HKCU\..\Run: [svchost] C:\WINDOWS\system32\svchost.exe

O4 - Startup: svchost.exe

O4 - Startup: Webshots.lnk = C:\Arquivos de programas\Webshots\WebshotsTray.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: avgccc.exe

O4 - Global Startup: InstallHelp.exe

O4 - Global Startup: svchost.exe

O4 - Global Startup: task.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O15 - Trusted Zone: http://turismo.transbrasiliana.com.br

O16 - DPF: {43C04485-0803-11D5-8065-00E07D8822B7} (VENDA_PASSAGEM Control) - http://turismo.transbrasiliana.com.br/Scri...SSAGEMProj1.inf

O16 - DPF: {47775559-253F-44C1-A1BF-635E9B4252E4} (Tomada_Venda Control) - http://turismo.transbrasiliana.com.br/scri..._VendaProj1.inf

O16 - DPF: {484EDCA6-1F48-4279-BA8C-B7575C00D2E3} (TOMADA_ESTOQUE Control) - http://turismo.transbrasiliana.com.br/scri...STOQUEProj1.inf

O16 - DPF: {6FFDF2BC-6413-41FC-A16C-CCC93328AE44} (OUTRAS_PESSOAS Control) - http://turismo.transbrasiliana.com.br/scri...ESSOASProj1.inf

O16 - DPF: {ADF93028-40E8-40FD-A72F-E274F859F2FD} (Boletim_BaixaTTT Control) - http://turismo.transbrasiliana.com.br/scri...ixaTTTProj1.inf

O16 - DPF: {D1629365-875D-47A0-B507-D08C9B9B65D7} (LoginTTT Control) - http://turismo.transbrasiliana.com.br/scri...ginTTTProj1.inf

O16 - DPF: {DC545BF5-2AF7-4CF5-8024-05AA8E6FE452} (ESTOQUE Control) - http://turismo.transbrasiliana.com.br/scri...STOQUEProj1.inf

O16 - DPF: {EC412B5D-1D1C-11D0-B83D-00403336B5B3} (VIAGEM Control) - http://turismo.transbrasiliana.com.br/scri...VIAGEMProj1.inf

O16 - DPF: {F61AA7E9-8FB2-4EF3-83A1-A6A2D1811DE8} (BI_Venda Control) - http://turismo.transbrasiliana.com.br/scri..._VendaProj1.inf

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs:

O20 - Winlogon Notify: dss400 - C:\WINDOWS\SYSTEM32\dss400.dll

O20 - Winlogon Notify: __c003D456 - C:\WINDOWS\system32\__c003D456.dat

O20 - Winlogon Notify: __c003F5D3 - C:\WINDOWS\system32\__c003F5D3.dat

O20 - Winlogon Notify: __c006C20 - C:\WINDOWS\system32\__c006C20.dat

O20 - Winlogon Notify: __c00BAEC4 - C:\WINDOWS\system32\__c00BAEC4.dat

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe

 

 

 

Me ajudem pelo amor de Deus!!!

 

obrigado!!!!

[Sam Spade 2]

Olá Wellington Junior! O PC está bastante infectado. São muitos malwares e alguns complicados, como o trojan Zonebac, que infecta programas, substituindo arquivos dos mesmos, pelos seus.

 

Há o trojan Vundo, responsável pelo problema com o WinAntiVirus e também trojans de vários tipos, incluindo trojans bankers. Este trojan captura senhas e as envia para um hacker. É recomendável que troque as mesmas, depois que limpar o PC.

 

Não é possível planejar uma remoção única de tantos malwares e iremos tentar uma limpeza inicial no que for possível e mesmo depois de seguir as instruções, o PC não ficará limpo e ainda terá problemas que serão resolvidos nas próximas etapas. Baixe estas ferramentas:

 

BankerFix

 

EliStarA > No final da página clique no botão Descargar EliStarA.

 

EliTriip > No final da página clique no botão Descargar EliTriip.

 

Salve ou imprima estas instruções:

 

1 - Dê dois cliques no bankerfix.exe para executá-lo.

 

Clique em OK na primeira e na segunda vez que aparecerem caixas de mensagem. Se você estiver executando o BankerFix pela segunda vez, ele irá pedir para verificar por uma atualização. Diga que Sim e depois clique em OK.

 

Quando ele executar, aparecerá uma tela preta pedindo para que aperte qualquer tecla. Tecle Enter e espere ele terminar. Pode levar algum tempo.

 

Ao terminar, leia a mensagem na tela e aperte Enter novamente.

 

2 - Reinicie o PC e aperte F8 intermitentemente. No menu escolha: modo seguro.

 

3 - Rode o EliStarA e aguarde, pois o scan é um pouco demorado.

 

4 - Rode o EliTriip e aguarde o scan terminar.

 

5 - Reinicie em modo normal, faça um scan com o HijackThis e salve o log.

 

Poste:

 

log do HijackThis

logs do EliStarA e do EliTriip > que encontrará em C:\infoSat.txt

relatorio.txt do BankerFix > que encontrará em C:\LinhaDefensiva

 

Depois de fazer sua resposta você pode apagar a pasta:

C:\LinhaDefensiva

[Sam Spade 2]

Tópico Arquivado

 

Como o autor não respondeu por mais de 20 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.