[Arquivado] Processo IEXPLORER.EXE inicia sozinho, muita memoria.

LucasTO · Março 15, 2009

Eu tinha pegado um virus muito forte que travou meu windows, tive de formatar. Depois disso, quando eu ligo o pc, e sem conectar ainda á internet, o arquivo de paginaçao fica á cerca de 219, depois que eu conecto á net o Processo IEXPLORER.EXE inicia sozinho e fica uns 2 ou 3 no gerenciador de tarefas, e o arquivo de paginaçao vai só aumentando, pra casa de 400 á 600, e ja notei que mesmo com o navegador fexado, fica consumindo a net, e entao ela fika bem mais lenta.

O que devo fazer?

Aguardo.

DigRam · Março 15, 2009

Boa Noite! LucasTO

<@> Faça o download do HijackThis.

<@> Baixe-o para o Arquivos de programas!

<@> Mas,não execute-o ainda!

<@> Para que o Log do HijackThis saia completo,vá em Iniciar --> Executar.

<@> Digite: msconfig --> Clique Ok.

<@> Na janela que abrir,marque: Inicialização normal - Carregar todos os drivers de dispositivo e serviços

<@> Clique em Aplicar --> Ok.

<@> Reinicie o computador!

<@> Execute o HijackThis.exe --> Clique em: Do a system scan and save a logfile

<@> Abrir-se-á um Bloco de Notas!

<@> Selecione e copie o seu conteúdo,para este Tópico.

Abraços!

LucasTO · Março 15, 2009

E tem mais uma coisa: tem alguma coisa que ta consumindo a minha net, porque mesmo com os programas que utilizam a net fexados ja vi lá que consome, e os downloads estao muito lentos, e como eu uso internet discada fica ruim.

-----------------------------

Aqui o Log do Hijackthis:

-----------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:57:45, on 15/3/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\ARQUIV~1\AVG\AVG8\avgtray.exe

C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe

C:\ARQUIV~1\AVG\AVG8\avgemc.exe

C:\ARQUIV~1\AVG\AVG8\avgrsx.exe

C:\ARQUIV~1\AVG\AVG8\avgnsx.exe

C:\Arquivos de programas\AVG\AVG8\avgcsrvx.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\TEMP\BN1.tmp

C:\Arquivos de programas\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\windres.exe,C:\WINDOWS\system32\actcontroller.exe,C:\WINDOWS\system32\7z.exe,C:\WINDOWS\system32\makehm.exe,C:\WINDOWS\system32\undname.exe,C:\WINDOWS\system32\gcc.exe,C:\WINDOWS\system32\hhupd.exe,C:\WINDOWS\system32\deviceemulator.exe,C:\WINDOWS\system32\deviceemulator.exe,C:\WINDOWS\system32\pdbcopy.exe,C:\WINDOWS\system32\c++.exe,C:\WINDOWS\system32\makehm.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARQUIV~1\AVG\AVG8\AVGTOO~1.DLL

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARQUIV~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [ink Monitor] C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [EPSON Stylus CX3700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE /P26 "EPSON Stylus CX3700 Series" /O6 "USB001" /M "Stylus CX3700"

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O17 - HKLM\System\CCS\Services\Tcpip\..\{0EA20956-2EBE-4DFA-98CD-4F78320BABB0}: NameServer = 201.10.120.3 201.10.128.2

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 4877 bytes

DigRam · Março 16, 2009

Bom Dia! LucasTO

<!> Alem de outras,a principal infecção é devido a um file infector. ( Win32.Virut )

<><><><><><><><><>

<@> Baixe: < Del.zip >

<@> À direita,digite na caixa o texto,e clique em: "Faça o download do seu Fiche..."

<@> Descompacte-o para o desktop...mas,não execute-o ainda! ( Del.bat )

<><><><><><><><><>

<@> Baixe: < > ( ...by Atribune )

<@> Salve-o no Desktop!

<@> Reinicie o computador,em Modo de Segurança! <-- Importante!

<@> Clique em ATF-Cleaner.exe

<@> Em "Select Files To Delete",marque Select All.

<@> Clique em Empty Selected.

<@> Na janela Done Cleaning,dê o OK --> Exit

<@> Atenção: Se utiliza o Firefox:

* No topo,clique em Firefox e escolha: Select All --> Clique em Empty Selected.

<@> Atenção: Se utiliza o Opera:

* No topo,clique em Opera e escolha: Select All --> Clique em Empty Selected.

<@> Ainda em Modo Seguro,execute o arquivo Del.bat,com um duplo-clique.

<@> Confirme a solicitação!

<@> Não reinicie o computador!

<@> Faça um scan com o seu antivírus. ( AVG )

<@> Terminando,reinicie para o Modo Normal e repita o scan com o AVG.

<@> Informe a situação e poste um novo log do HijackThis.

Abraços!

LucasTO · Março 16, 2009

Eu nao entendi a parte de reiniciar o computador em modo seguro e em modo normal.

Pode me explicar?

Valew.

DigRam · Março 16, 2009

Eu nao entendi a parte de reiniciar o computador em modo seguro e em modo normal.
Pode me explicar?

Valew.

<><><><><><><><><>

Opa! LucasTO

<!> Todos os procedimentos deverão ser realizados em Modo de Segurança,e ao reiniciar o computador,executar outra vez o AVG,em Modo Normal. ( Procedimento final! )

<!> Se voçê está em Modo de Segurança e,ao reiniciar o computador,irás para o Modo Normal.

Abraços!

LucasTO · Março 16, 2009

Ixi DigRam, hoge na hora que eu ia fazer os procedimentos, deu erro no meu windows, ele resetou e sempre que eu ligava de novo resetava, e resetava...

Eu nao sabia o que fazer, e agora á noite eu pensei em recuperar o sistema, fiz isso, mais tenho certeza que ainda estou com virus "/.

Fiz um novo log no modo normal, para que voce analize e me diga o que devo fazer (ja baixei aqueles dois arquivos).

Desculpa.

----------------------------

Log Hijackthis

----------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:19:33, on 16/3/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\rundll32.exe

C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

C:\ARQUIV~1\AVG\AVG8\avgrsx.exe

C:\Arquivos de programas\AVG\AVG8\avgcsrvx.exe

C:\Arquivos de programas\AVG\AVG8\avgtray.exe

C:\Arquivos de programas\AVG\AVG8\avgui.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\services.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\reader_s.exe

C:\WINDOWS\System32\svchost.exe

C:\ARQUIV~1\AVG\AVG8\avgnsx.exe

C:\Arquivos de programas\HiJackThis.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Lucas\reader_s.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\windres.exe,C:\WINDOWS\system32\actcontroller.exe,C:\WINDOWS\system32\7z.exe,C:\WINDOWS\system32\makehm.exe,C:\WINDOWS\system32\undname.exe,C:\WINDOWS\system32\gcc.exe,C:\WINDOWS\system32\hhupd.exe,C:\WINDOWS\system32\deviceemulator.exe,C:\WINDOWS\system32\deviceemulator.exe,C:\WINDOWS\system32\pdbcopy.exe,C:\WINDOWS\system32\c++.exe,C:\WINDOWS\system32\makehm.exe,C:\WINDOWS\system32\idaw64.exe,C:\WINDOWS\system32\pdbcopy.exe,C:\WINDOWS\system32\i386kd.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [ink Monitor] C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [EPSON Stylus CX3700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACL.EXE /P26 "EPSON Stylus CX3700 Series" /O6 "USB001" /M "Stylus CX3700"

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARQUIV~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Lucas\reader_s.exe

O4 - HKCU\..\Run: [services] 63400A04031D427E16192C214A5D0D2D2035500531252544330C290B26AFDDA5DFE41A3025100732

56452D3B132807C0DB70DFA3B3A6B42060606020202020602020202060202020202060206035EAF1E

EFFE4CF5E62032C213A312B3A49015E2C227C1F233D34113556525913191B35493C38310E710A3930

28326300402A1C09372E152D006D422C2BÅã

O4 - HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe

O4 - HKCU\..\Policies\Explorer\Run: [services] 63400A04031D427E16192C214A5D0D2D2035500531252544330C290B26AFDDA5DFE41A3025100732

56452D3B132807C0DB70DFA3B3A6B42060606020202020602020202060202020202060206035EAF1E

EFFE4CF5E62032C213A312B3A49015E2C227C1F233D34113556525913191B35493C38310E710A3930

28326300402A1C09372E152D006D422C2BÅã

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'Default user')