[Resolvido!] Remover arquivos

[carolpower 0]

Oláa !

eu tenho o AROVAX ANTISPYWARE instalado no meu pc e dps q scaneia ela ta enocntrando "FOUND 2"

aparece : UNKNOWN -HP IMAGE [c:\windows\help\dllhost.exe]

e

UNKNOWN - wlcomm [c:\windows\help\wlcomm.exe]

 

Não consigo remove-los !!

 

como faço???

[Sam Spade 2]

Olá carolpower! Baixe > HijackThis

 

Abra uma pasta em C:\ e salve nela.

 

Quando abrir a ferramenta, clique em "Do a system scan and save a logfile". Selecione, copie todo o seu conteúdo e cole na sua próxima resposta.

[carolpower 0]

Oii..

 

Ta ae:

 

 

Logfile of HijackThis v1.99.1

Scan saved at 12:22:19, on 11/7/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LckFldService.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Help\dllhost.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.com.br/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fast-and-easy-search.info

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Windows.Live - {48322E8C-8F2B-4871-8EA5-194FCE479AC4} - C:\WINDOWS\MLive.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [iCQ Lite] C:\Arquivos de programas\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Image] C:\WINDOWS\Help\dllhost.exe

O4 - HKLM\..\RunOnce: [wlcomm] C:\WINDOWS\Help\wlcomm.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Arovax AntiSpyware] C:\Arquivos de programas\Arovax AntiSpyware\arovaxantispyware.exe /s

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Arquivos de programas\Internet Explorer\PLUGINS\nppdf32.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{CA134B94-31A8-4ECC-A6D8-82586600BC37}: NameServer = 200.204.0.10 200.204.0.138

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe

 

 

 

E agora ?

[Sam Spade 2]

Ok, é uma infecção por um trojan banker. Este trojan captura senhas e as envia para um hacker. É recomendável que troque as mesmas, depois que limpar o PC. Baixe:

 

KillBox

BankerFix

 

Copie e salve no Bloco de notas este texto em azul:

 

C:\WINDOWS\MLive.dll

C:\WINDOWS\Help\dllhost.exe

C:\WINDOWS\Help\wlcomm.exe

 

Salve ou imprima estas instruções:

 

1 - Copie o texto que salvou no bloco de notas. Rode o KillBox e marque Delete on Reboot, no menu File clique em Paste from Clipboard.

Depois clique no botão All Files.

 

Clique no botão . Responda Sim à pergunta.

 

Haverá uma contagem regressiva e o PC reiniciará.

 

2 - Dê dois cliques no bankerfix.exe para executá-lo.

 

Clique em OK na primeira e na segunda vez que aparecerem caixas de mensagem. Se você estiver executando o BankerFix pela segunda vez, ele irá pedir para verificar por uma atualização. Diga que Sim e depois clique em OK.

 

Quando ele executar, aparecerá uma tela preta pedindo para que aperte qualquer tecla. Tecle Enter e espere ele terminar. Pode levar algum tempo.

 

Ao terminar, leia a mensagem na tela e aperte Enter novamente.

 

Atenção: não rode o BankerFix mais de uma vez, pois isso sobrescreverá o resultado e não se saberá se a remoção foi bem-sucedida.

 

3 - Abra o HijackThis e clique em Do a system scan only. Aguarde o exame acabar.

 

Cada entrada tem uma caixa do lado esquerdo. Marque apenas as caixas das entradas abaixo, se ainda as encontrar:

 

O2 - BHO: Windows.Live - {48322E8C-8F2B-4871-8EA5-194FCE479AC4} - C:\WINDOWS\MLive.dll

 

O4 - HKLM\..\Run: [HP Image] C:\WINDOWS\Help\dllhost.exe

 

O4 - HKLM\..\RunOnce: [wlcomm] C:\WINDOWS\Help\wlcomm.exe

 

Ficará com um sinal V dentro de cada caixa.

 

Clique então em . Dê o Ok para a pergunta,

 

Gere um novo log com o HijackThis e poste, juntamente com o conteúdo do arquivo C:\LinhaDefensiva\relatorio.txt.

 

Foi você mesmo quem configurou esta página inicial?

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fast-and-easy-search.info

[carolpower 0]

Pronto, o resultado foi esse:

 

Logfile of HijackThis v1.99.1

Scan saved at 17:51:33, on 13/7/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LckFldService.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Arovax AntiSpyware\arovaxantispyware.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.com.br/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fast-and-easy-search.info

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [iCQ Lite] C:\Arquivos de programas\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Arovax AntiSpyware] C:\Arquivos de programas\Arovax AntiSpyware\arovaxantispyware.exe /s

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Arquivos de programas\Internet Explorer\PLUGINS\nppdf32.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{CA134B94-31A8-4ECC-A6D8-82586600BC37}: NameServer = 200.204.0.10 200.204.0.138

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe

 

 

 

Relatório da Linha defensiva:

 

BankerFix 2.5b - Removedor de Bankers

Linha Defensiva - http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

Data: 13/7/2008 - 17:44

-------------------------------------------------------

Lista de Definição: 2008-05-10-1

=======================================================

 

Arquivo infectado detectado: C:\WINDOWS\system32\scpsssh2.dll

Arquivo infectado removido com sucesso!

 

 

Killando arquivos em Help

-----------------------------------

 

Killing '*'

 

Removendo Arquivos em Help

-----------------------------------

 

 

 

----- Fim -------------------------

[carolpower 0]

Bom, olha só... feito tudo isso, eu executei meu AntiSpyware ,( ele que me fez vir até aqui pedir ajuda,porque ele me mostrou os vírus encontrados)então, o executei novamente, e agora não foi encontrado os 2 "Found" em "Registry". Ou seja, todo o procedimento funcionou. Quero agradecer e parabenizar, pois não é a primeira vez que "vocês" aqui no fórum me ajudam. :)

E aproveitar, queria saber a opnião, sobre o "Arovax AntiSpyware" que uso, se é bom mesmo, devo continuar usando, ou se tem um outro melhor. E, sempre o executo, ele encontra uns 4 "Found" em "Cookies", isso é normal,prejudica em alguma coisa? o que devo fazer?

 

Mais uma vez obrigada!

abraços e boa semana

=]

[Sam Spade 2]

Os cookies são instalados por sites que visita. Não oferecem perigo, pois são pequenos documentos de texto, que lhe identificam em um site, registram as páginas visitadas, propagandas vistas, etc.

 

Veja mais neste artigo:

 

Publicitários defendem tracking cookies

 

O Arovax está dentro da média de eficiência de outros anti spywares. Você pode ver neste link, outras sugestões:

 

http://linhadefensiva.uol.com.br/downloads/antispywares/

 

O log está limpo. Há apenas esta pendência dessa página inicial:

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fast-and-easy-search.info

 

Apesar de não ter achado informações ruins sobre ela, muitas vezes páginas iniciais são configuradas sem o consentimento do usuário. Você configurou esta página?

[carolpower 0]

Oii...

 

ainda não entendi sobre eu ter "configurado" a página. Como assim?

[carolpower 0]

Aproveitando, surgiu outro "problema" e outra dúvida minha.

 

O meu computador tá dividido em dois, tem dois usuários, que sou eu e o outro é minha irmã. Então ela entra na parte dela, com o login dela e tal...

Fui scanear a parte dela a pouco, e foi encontrado 2 "Found" no "Registry", como foi encontrado no meu antes de ser solucionado. Só que não entendi que, quando eu salvei o "log", eu o exeutei em C:, e só foi encontrado o meu. Agora como salvo o log da partte da minha irmã para vocês analisarem?

[Sam Spade 2]

Olá, peça à sua irmã que rode no usuário dela para poder enviar o resultado. Configurar a página inicial é você determinar em que página o IE irá abrir quando iniciado.

 

É feito indo no IE no menu Ferramentas > Opções da Internet > campo Página Inicial.

 

Se você não sabe porque este site http://www.fast-and-easy-search.info está definido como sua página inicial, coloque em Endereço outro site que desejar e clique em Aplicar.

 

Feche o IE e abra novamente. Veja se foi aberto com o site que você colocou. Informe o resultado.

[carolpower 0]

Olá !

 

sobre o login da minha irmã... na parte dela já não está mais aparecendo algum tipo de vírus.Parace que foi removido automaticamente.

 

E sobre a pagina inicial, antes ele abria com o Terra... agora eu mudei, e tá abrindo com o que eu mudei sim!

[Sam Spade 2]

Ok, leia estes artigos sobre segurança:

 

Proteja seu PC

Cuidados ao navegar na net.

 

Para finalizar, Desabilite e Reabilite a função de Restauração Automática do XP. Clique aqui para ver como.

 

Abraço.

[carolpower 0]

Ok !!!

obrigada :)

 

 

abraços

[Mário Monteiro 179]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto basta enviar uma Mensagem Privada para um Moderador com um link para o tópico.