[Resolvido!] pc lento.... virus "invisíveis"

Samuraika_Afro · Março 29, 2009

Há uns dias, noto q a minha máquina fica lenta passados uns 20 minutos de uso e qdo abro o g. de tarefas, n aparecem mtos processos, apenas os do windows, e mais alguns q já conheço e vejo q nenhum deles consome muita memória e lá por vezes aparece mais de 1200 mb em uso!!!( sendo a RAM do pc de 512 mb) e tenho q terminar sessão ou reiniciar o pc p poder fazer alguma coisa.. :mellow:

Além disso, já ha uns meses q demora muito desde o momento em q inicio sessão até aparecer o ambiente de trabalho...fica um monte de tempo, processando processando.. ja confugurei p q iniciasse apenas com o msn e o antivirus. Fiz isso no msconfig e tb a partir do CCleaner q tem essa opçao, mas n melhorou nem um pouco nesse aspecto. :ermm:

Queria saber se é possível ver os processos q estão em execução mas q não aparecem no gestor de tarefas, pq sei q há vírus q são programados de modo a não aparecer lá. E q me ajudassem a limpar o pc desses "bichinhos"

O SO é Windows XP SP2 e uso o Avira, CCleaner, Advanced Windows Care e Spybot Search & Destroy e o firewall do windows p proteger o meu "bebé" . Tb já tentei fzr o check com o hijackthis( mandei o log p análise para o site dele), mas tb n acusou nada....n sei mais o q fzer :upset: :upset:

Mário Monteiro · Março 29, 2009

se suspeita que seja virus post um log conforme topico

http://forum.imasters.com.br/index.php?showtopic=165906

Samuraika_Afro · Abril 1, 2009

Oi! Obrigada pela atenção :)

Eis o log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2:00:12, on 31-03-2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programas\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programas\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Programas\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe

C:\WINDOWS\system32\tcpsvcs.exe

c:\Programas\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\system32\vmnat.exe

C:\Programas\VMware\VMware vCenter Converter Standalone\vmware-converter-a.exe

C:\Programas\VMware\VMware vCenter Converter Standalone\vmware-converter.exe

C:\WINDOWS\system32\vmnetdhcp.exe

C:\Programas\VMware\VMware Player\vmware-authd.exe

C:\Programas\Citrix\ICA Client\ssonsvr.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Programas\TOSHIBA\TouchPad\TPTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programas\Huawei technologies\Mobile Connect\Mobile Connect.exe

C:\Programas\Windows Live\Messenger\msnmsgr.exe

C:\Programas\MessengerDiscovery\MessengerDiscovery Live.exe

C:\Programas\Internet Explorer\IEXPLORE.EXE

C:\Programas\Mozilla Firefox\firefox.exe

C:\Programas\Adobe\Acrobat 6.0\Reader\AcroRd32.exe

C:\WINDOWS\system32\WISPTIS.EXE

C:\HIJACKTHIS\HiJackThis.exe

C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programas\Java\jre6\bin\ssv.dll

O2 - BHO: Programa Auxiliar de Início de Sessão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [TPNF] C:\Programas\TOSHIBA\TouchPad\TPTray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programas\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programas\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIÇO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Serviço de rede')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\programas\vmware\vmware player\vsocklib.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{B0486E64-1050-4D8E-8493-3E872BC36306}: NameServer = 10.0.4.2 10.0.4.18

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programas\Ficheiros comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programas\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programas\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: iPod Service - Apple Inc. - C:\Programas\iPod\bin\iPodService.exe

O23 - Service: MySQL - Unknown owner - C:\Programas\MySQL\MySQL.exe (file missing)

O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programas\VMware\VMware Player\vmware-ufad.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programas\VMware\VMware Player\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

O23 - Service: VMware vCenter Converter Agent (vmware-converter-agent) - VMware, Inc. - C:\Programas\VMware\VMware vCenter Converter Standalone\vmware-converter-a.exe

O23 - Service: VMware vCenter Converter Server (vmware-converter-server) - VMware, Inc. - C:\Programas\VMware\VMware vCenter Converter Standalone\vmware-converter.exe

--

End of file - 7025 bytes

Silas Martins · Abril 1, 2009

1° Passo: Baixe e execute o HostsXpert.

→Execute o HostsXpert, por meio do arquivo HostsXpert.exe,

→clique em Restore Microsoft's Hosts File e aperte em OK.

→Depois disso, finalize o programa.

2º Passo

Baixe o Malwarebytes Anti-Malware

* Inicie a instalação clique em "mbam-setup.exe";

* Marque "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em concluir.

* Marque "Verificação Rápida" e depois clique em Verificar.

* Quando o scan terminar, clique em Ok e em "Mostrar Resultados" para ver o log;

* Se algo for detectado, veja se tudo está marcado e clique em "Remover";

* O log é automaticamente gravado e pode ser consultado clicando em "Logs" do menu principal;

* Copie e cole esse log, juntamente com o novo log do hijacktihis .

Aguardo o retorno

Samuraika_Afro · Abril 2, 2009

Boa tarde :D

Eis o log do MAM

Malwarebytes' Anti-Malware 1.35

Versão do banco de dados: 1933

Windows 5.1.2600 Service Pack 2

01-04-2009 17:03:15

mbam-log-2009-04-01 (17-03-14).txt

Tipo de Verificação: Rápida

Objetos verificados: 98788

Tempo decorrido: 20 minute(s), 48 second(s)

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registo infectadas: 1

Valores do Registo infectados: 0

Ítens do Registo infectados: 0

Pastas infectadas: 1

Ficheiros infectados: 1

Processos da Memória infectados:

(Nenhum item malicioso foi detectado)

Módulos de Memória Infectados:

(Nenhum item malicioso foi detectado)

Chaves do Registo infectadas:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.

Valores do Registo infectados:

(Nenhum item malicioso foi detectado)

Ítens do Registo infectados:

(Nenhum item malicioso foi detectado)

Pastas infectadas:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

Ficheiros infectados:

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isi32.exe (Trojan.Agent) -> Quarantined and deleted successfully.

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

E este aqui é o log do hijckthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:10:07, on 01-04-2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programas\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programas\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programas\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Programas\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe

C:\WINDOWS\system32\tcpsvcs.exe

c:\Programas\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\system32\vmnat.exe

C:\Programas\VMware\VMware vCenter Converter Standalone\vmware-converter-a.exe

C:\Programas\VMware\VMware vCenter Converter Standalone\vmware-converter.exe

C:\Programas\VMware\VMware Player\vmware-authd.exe

C:\WINDOWS\system32\vmnetdhcp.exe

C:\Programas\Citrix\ICA Client\ssonsvr.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Programas\TOSHIBA\TouchPad\TPTray.exe

C:\Programas\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programas\MessengerDiscovery\MessengerDiscovery Live.exe

C:\Programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\notepad.exe

C:\Programas\Huawei technologies\Mobile Connect\Mobile Connect.exe

C:\Programas\Malwarebytes' Anti-Malware\mbam.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programas\Avira\AntiVir PersonalEdition Classic\avscan.exe