sahusa 0 Denunciar post Postado Abril 26, 2009 ola eu estou com um problema que me parece ser um malware. é um tal de explore.exe que esta me incomodando muito, eu vi um tópico em resolvidos de como resolver o problema porem eu não consigo localizar a pasta aonde estão os vírus, me ajudem por favor, desde ja grato! se precisar de mais informações so falar! hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:11:21, on 26/4/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\csrss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\svchost.exe E:\ARQUIV~1\GbPlugin\GbpSv.exe E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\cmpe.exe E:\Arquivos de programas\Java\jre6\bin\jqs.exe E:\WINDOWS\system32\nvsvc32.exe E:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\alg.exe E:\WINDOWS\system32\wbem\wmiapsrv.exe E:\WINDOWS\system32\wscntfy.exe E:\WINDOWS\Explorer.EXE E:\Arquivos de programas\Vtune\TBPanel.exe E:\WINDOWS\system32\RUNDLL32.EXE E:\WINDOWS\RTHDCPL.EXE E:\Arquivos de programas\Java\jre6\bin\jusched.exe E:\WINDOWS\system32\rundll32.exe E:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe E:\WINDOWS\system32\ctfmon.exe E:\Documents and Settings\vinicius\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe E:\Arquivos de programas\Internet Explorer\iexplore.exe E:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe E:\Arquivos de programas\Internet Explorer\iexplore.exe E:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe E:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe E:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://br.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://br.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://br.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - E:\ARQUIV~1\DAP\SBSearch.dll (file missing) O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - E:\Arquivos de programas\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - E:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Arquivos de programas\Java\jre6\bin\ssv.dll O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: G-Buster Browser Defense ISG - {C41A1C0E-EA6C-11D4-B1B8-444553540015} - E:\ARQUIV~1\GbPlugin\gbiehisg.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - E:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll O2 - BHO: (no name) - {E70546C7-ECE6-4162-AA4C-0BD076CFE392}AA4C-0BD076CFE392} - (no file) O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - E:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll O4 - HKLM\..\Run: [TBPanel] E:\Arquivos de programas\Vtune\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [sunJavaUpdateSched] "E:\Arquivos de programas\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [smss] E:\WINDOWS\smss.exe O4 - HKLM\..\Run: [TkBellExe] "E:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [upload curb default new] E:\Documents and Settings\All Users\Dados de aplicativos\Lies shim upload curb\byte chic.exe O4 - HKLM\..\Run: [Windows Updates] c:\windows\system\Update.exe O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ares] "E:\Arquivos de programas\Ares\Ares.exe" -h O4 - HKCU\..\Run: [Ares Galaxy Turbo Accelerator] "E:\Arquivos de programas\Ares Galaxy Turbo Accelerator\Ares Galaxy Turbo Accelerator.exe" -tray O4 - HKCU\..\Run: [Picasa Media Detector] E:\Arquivos de programas\Picasa2\PicasaMediaDetector.exe O4 - HKCU\..\Run: [smss] E:\DOCUME~1\vinicius\DADOSD~1\smss.exe O4 - HKCU\..\Run: [Google Update] "E:\Documents and Settings\vinicius\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [frag beep] E:\DOCUME~1\vinicius\DADOSD~1\Itchdefy\Five locks.exe O4 - HKCU\..\Run: [MessengerPlus3] "E:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "E:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Windows Updates] c:\windows\system\Update.exe O4 - HKCU\..\RunOnce: [shockwave Updater] E:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1103471 -"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB5; FDM; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)" -"http://www.jogos360.com.br/nanny_mania.html" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://E:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://E:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - E:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - E:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O10 - Unknown file in Winsock LSP: e:\windows\system32\nwprovau.dll O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399015} (GbPluginObj Class) - https://www5.infoseg.gov.br/Install/GbPluginIsg.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab O20 - Winlogon Notify: GbPluginIsg - E:\ARQUIV~1\GbPlugin\gbiehisg.dll O23 - Service: Context Manager Process Extension (cmpe) - LightComm - E:\WINDOWS\system32\cmpe.exe O23 - Service: Google Updater Service (gusvc) - Google - E:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Arquivos de programas\Java\jre6\bin\jqs.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - E:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe -- End of file - 9706 bytes Compartilhar este post Link para o post Compartilhar em outros sites
Power Max 54 Denunciar post Postado Abril 26, 2009 :thumbsup: Olá sahusa! Seja bem-vindo ao Fórum Imasters. Realmente o seu PC está com malwares. :seta: Sugiro que você salve ou imprima essas instruções abaixo, pois em alguns momentos você poderá precisar usar o computador sem o acesso à internet: - Faça o download do Malwarebytes Anti-Malware. * Faça a instalação dando um duplo clique em "mbam-setup.exe"; *Selecione a linguagem Português (Brasil) *Selecione apenas a caixa: "Atualizar MalwareBytes'Anti-Malware" *Se alguma atualização existir, o download será automático *Não faça ainda scan!!! *Reinicie o PC em Modo de Segurança (apertando a tecla F8 (ou a tecla F5 em alguns computadores) repetidas vezes quando o computador estiver reiniciando e escolhendo a opção Modo Seguro ou Modo de Segurança). * Se não possível executar o computador em Modo Seguro, faça o escaneamento no modo normal *Execute o programa MalwareBytes'Anti-Malware e clique na aba: "Verificação", selecione a opção "Verificação completa" *Clique no botão: "Verificar" * Marque todas as partes do computador que você deseja escanear e clique no botão: “Iniciar verificação” *Ao término do scan, clique em "OK" > "Mostrar Resultados" *Selecione todas as entradas e clique em "Remover Selecionados" *Após a remoção poderá ser interrogado se deseja remover objetos da memória. Clique "SIM" *Um log será apresentado com o resultado das ações *Alguns malwares são rebeldes e necessitam de uma reinicialização para a remoção. Caso isto seja solicitado, clique para reiniciar o PC. *Ao término do processo, reinicie o PC em Modo Normal. * Depois de alguns dias, se o seu computador estiver funcionando normalmente sem estes arquivos que foram excluidos pelo Malwarebytes Anti-malware, abra (execute) o Malwarebytes Anti-malware, clique na aba: Quarentena e clique no botão: Remover tudo. *Execute novamente o programa Malwarebytes Anti-malware e clique na aba “Logs”, dê um duplo clique com o mouse sobre o log mais recente, selecione o log completo e copie-o. Poste este log gerado pelo Malwarebytes Anti-Malware juntamente com um novo log do Hijackthis na sua próxima resposta e nos diga como está o seu computador depois de seguir este procedimento acima. Ficamos no aguardo de sua resposta. Compartilhar este post Link para o post Compartilhar em outros sites
sahusa 0 Denunciar post Postado Abril 28, 2009 ola muito abrigado pela atenção, ficou tudo bem explicado, removi varias "ameaças" graças a vcs! muito obrigado mesmo pessoal........ log do malwareBytes: Malwarebytes' Anti-Malware 1.36 Versão do banco de dados: 2050 Windows 5.1.2600 Service Pack 3 28/4/2009 13:04:22 mbam-log-2009-04-28 (13-04-22).txt Tipo de Verificação: Completa (E:\|) Objetos verificados: 591967 Tempo decorrido: 1 hour(s), 1 minute(s), 8 second(s) Processos da Memória infectados: 0 Módulos de Memória Infectados: 0 Chaves do Registro infectadas: 0 Valores do Registro infectados: 4 Ítens do Registro infectados: 0 Pastas infectadas: 1 Arquivos infectados: 22 Processos da Memória infectados: (Nenhum ítem malicioso foi detectado) Módulos de Memória Infectados: (Nenhum ítem malicioso foi detectado) Chaves do Registro infectadas: (Nenhum ítem malicioso foi detectado) Valores do Registro infectados: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Smss (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Smss (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows updates (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows updates (Backdoor.Bot) -> Quarantined and deleted successfully. Ítens do Registro infectados: (Nenhum ítem malicioso foi detectado) Pastas infectadas: E:\Arquivos de programas\POL (Keylogger.Ardamax) -> Quarantined and deleted successfully. Arquivos infectados: E:\Arquivos de programas\POL\AKV.exe (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\POL.exe (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\WINDOWS\system32\28463\AKV.exe (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\akv.cfg (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\Install.exe (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\key.bin (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\menu.gif (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\POL.001 (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\POL.002 (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\POL.003 (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\POL.004 (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\POL.005 (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\POL.006 (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\POL.007 (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\POL.009 (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\POL.chm (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\qs.html (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\Thumbs.db (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\tray.gif (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\Arquivos de programas\POL\Uninstall.exe (Keylogger.Ardamax) -> Quarantined and deleted successfully. E:\WINDOWS\smss.exe (Backdoor.Bot) -> Quarantined and deleted successfully. E:\Documents and Settings\vinicius\Dados de aplicativos\smss.exe (Backdoor.Bot) -> Quarantined and deleted successfully. Compartilhar este post Link para o post Compartilhar em outros sites
Power Max 54 Denunciar post Postado Abril 28, 2009 :thumbsup: Vários problemas foram removidos pelo Malwarebytes. :!: Mas você se esqueçeu de postar um novo log do Hijackthis. :seta: Siga, por gentileza, as dicas deste tutorial para fazer um escaneamento de seu PC pelo Nod32 Online: Tutorial do antivirus Nod32 Online Após o término do escaneamento será gerado um relatório (log) que estará no seguinte local do seu computador: C:\Arquivos de programas\EsetOnlineScanner\log Na sua próxima resposta poste este log do Nod32 Online juntamente com um novo log do Hijackthis e nos diga, por gentileza, como está o seu PC após seguir este procedimento. Ficamos no aguardo de sua resposta. Compartilhar este post Link para o post Compartilhar em outros sites
sahusa 0 Denunciar post Postado Abril 30, 2009 mano estava sem tempo por isso não responde, guando eu tive um tempinho eu fasso o scan, talvez fassa nesta sexta a noite, obrigado pela ajuda... Compartilhar este post Link para o post Compartilhar em outros sites
Power Max 54 Denunciar post Postado Abril 30, 2009 mano estava sem tempo por isso não responde, guando eu tive um tempinho eu fasso o scan, talvez fassa nesta sexta a noite, obrigado pela ajuda... :thumbsup: Tudo bem, ficamos no aguardo. Compartilhar este post Link para o post Compartilhar em outros sites
sahusa 0 Denunciar post Postado Maio 3, 2009 aqui esta o log do Nod32: # version=4 # OnlineScanner.ocx=1.0.0.635 # OnlineScannerDLLA.dll=1, 0, 0, 79 # OnlineScannerDLLW.dll=1, 0, 0, 78 # OnlineScannerUninstaller.exe=1, 0, 0, 49 # vers_standard_module=4049 (20090501) # vers_arch_module=1.064 (20080214) # vers_adv_heur_module=1.066 (20070917) # EOSSerial=501baa4cd53fc34eac6f68d4c926c77b # end=finished # remove_checked=true # unwanted_checked=true # utc_time=2009-05-03 02:26:36 # local_time=2009-05-02 11:26:36 (-0300, Hora oficial do Brasil) # country="Brazil" # osver=5.1.2600 NT Service Pack 3 # scanned=773451 # found=6 # scan_time=3181 E:\Documents and Settings\vinicius\Configurações locais\Temp\IXP000.TMP\Crypted.exe a variant of Win32/Injector.LR trojan (unable to clean - deleted) 00000000000000000000000000000000 E:\Documents and Settings\vinicius\Configurações locais\Temp\IXP001.TMP\Crypted.exe a variant of Win32/Injector.LR trojan (unable to clean - deleted) 00000000000000000000000000000000 E:\Documents and Settings\vinicius\Configurações locais\Temp\IXP002.TMP\Crypted.exe a variant of Win32/Injector.LR trojan (unable to clean - deleted) 00000000000000000000000000000000 E:\Documents and Settings\vinicius\Configurações locais\Temp\IXP003.TMP\Crypted.exe a variant of Win32/Injector.LR trojan (unable to clean - deleted) 00000000000000000000000000000000 E:\Documents and Settings\vinicius\Desktop\Adobe CS3\Photoshop\Adobe CS3\Adobe Photoshop CS3 Extended Activation Keygen.EXE a variant of Win32/Injector.LR trojan (deleted) 00000000000000000000000000000000 E:\Documents and Settings\vinicius\Desktop\Adobe CS3\Photoshop\Adobe CS3\Adobe Photoshop CS3 Extended Activation Keygen.EXE »CAB »Crypted.exe a variant of Win32/Injector.LR trojan (error while cleaning - operation unavailable for this type of object - error while deleting - operation unavailable for this type of object - was a part of the deleted object) 00000000000000000000000000000000 aqui esta o do hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:34:25, on 3/5/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\csrss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\svchost.exe E:\ARQUIV~1\GbPlugin\GbpSv.exe E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\Explorer.EXE E:\Arquivos de programas\Vtune\TBPanel.exe E:\WINDOWS\system32\RUNDLL32.EXE E:\WINDOWS\RTHDCPL.EXE E:\WINDOWS\system32\rundll32.exe E:\Arquivos de programas\Java\jre6\bin\jusched.exe E:\WINDOWS\system32\ctfmon.exe E:\Documents and Settings\vinicius\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe E:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe E:\Arquivos de programas\Bonjour\mDNSResponder.exe E:\WINDOWS\system32\cmpe.exe E:\Arquivos de programas\Java\jre6\bin\jqs.exe E:\WINDOWS\system32\nvsvc32.exe E:\Arquivos de programas\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\alg.exe E:\WINDOWS\system32\wscntfy.exe E:\WINDOWS\system32\wbem\wmiapsrv.exe E:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe E:\Arquivos de programas\Windows Live\Contacts\wlcomm.exe E:\Arquivos de programas\Internet Explorer\iexplore.exe E:\Arquivos de programas\Internet Explorer\iexplore.exe E:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe E:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe E:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://br.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://br.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://br.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - E:\ARQUIV~1\DAP\SBSearch.dll (file missing) O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - E:\Arquivos de programas\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - E:\Arquivos de programas\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Arquivos de programas\Java\jre6\bin\ssv.dll O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - E:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Arquivos de programas\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: G-Buster Browser Defense ISG - {C41A1C0E-EA6C-11D4-B1B8-444553540015} - E:\ARQUIV~1\GbPlugin\gbiehisg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - E:\Arquivos de programas\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - E:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll O2 - BHO: (no name) - {E70546C7-ECE6-4162-AA4C-0BD076CFE392}AA4C-0BD076CFE392} - (no file) O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - E:\Arquivos de programas\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - E:\Arquivos de programas\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [TBPanel] E:\Arquivos de programas\Vtune\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [sunJavaUpdateSched] "E:\Arquivos de programas\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "E:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Arquivos de programas\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [upload curb default new] E:\Documents and Settings\All Users\Dados de aplicativos\Lies shim upload curb\Debug Beep.exe O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ares] "E:\Arquivos de programas\Ares\Ares.exe" -h O4 - HKCU\..\Run: [Ares Galaxy Turbo Accelerator] "E:\Arquivos de programas\Ares Galaxy Turbo Accelerator\Ares Galaxy Turbo Accelerator.exe" -tray O4 - HKCU\..\Run: [Picasa Media Detector] E:\Arquivos de programas\Picasa2\PicasaMediaDetector.exe O4 - HKCU\..\Run: [Google Update] "E:\Documents and Settings\vinicius\Configurações locais\Dados de aplicativos\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [frag beep] E:\DOCUME~1\vinicius\DADOSD~1\Itchdefy\Five locks.exe O4 - HKCU\..\Run: [MessengerPlus3] "E:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "E:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [swg] E:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\RunOnce: [shockwave Updater] E:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1103471 -"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB5; FDM; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)" -"http://www.jogos360.com.br/nanny_mania.html" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://E:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://E:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Incluir no Blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - E:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Incluir no Blog no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - E:\Arquivos de programas\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe O10 - Unknown file in Winsock LSP: e:\windows\system32\nwprovau.dll O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/p...obat/nos/gp.cab O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399015} (GbPluginObj Class) - https://www5.infoseg.gov.br/Install/GbPluginIsg.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D21A2D7C-9053-4FF5-AD77-C2E7909E9619}: NameServer = 200.165.132.154 200.165.132.148 O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - E:\Arquivos de programas\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O20 - Winlogon Notify: GbPluginIsg - E:\ARQUIV~1\GbPlugin\gbiehisg.dll O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:\Arquivos de programas\Bonjour\mDNSResponder.exe O23 - Service: Context Manager Process Extension (cmpe) - LightComm - E:\WINDOWS\system32\cmpe.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - E:\Arquivos de programas\NOS\bin\getPlus_HelperSvc.exe O23 - Service: Google Updater Service (gusvc) - Unknown owner - E:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing) O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Arquivos de programas\Java\jre6\bin\jqs.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - E:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe -- End of file - 11333 bytes muito obrigado por tudo amigo, meu pc esta bem melhor, e esta funcionando normalmente vlw. Compartilhar este post Link para o post Compartilhar em outros sites
Power Max 54 Denunciar post Postado Maio 3, 2009 :thumbsup: Vários outros problemas foram removidos pelo Nod32 Online. :seta: Baixe o programa Avenger no link abaixo e extraia o conteúdo para o desktop (área de trabalho): http://swandog46.geekstogo.com/avenger2/download.php *Selecione e copie (Ctrl+C) todo o texto dentro do CODE (caixa branca) abaixo: Files to delete:E:\Documents and Settings\vinicius\Desktop\Adobe CS3\Photoshop\Adobe CS3\Adobe Photoshop CS3 Extended Activation Keygen.EXE *Execute o programa Avenger *Clique em [Load Script] > [Paste from Clipboard] *Clique em [Execute] > [OK] *O PC será reiniciado ________________________________________________________________________________ :seta: Há um programa chamado Bonjour em seu PC que o deixa mais lento. Para desativá-lo vá no menu: Iniciar > Executar e digite: services.msc Tecle Enter. Ache esse Serviço: "##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service)", dê um duplo clique sobre ele com o botão esquerdo do mouse e escolha a opção: Desativado. Clique também em Parar e troque o Tipo de Inicialização para Desativado. ________________________________________________________________________________ :seta: Abra o HijackThis, clique em Do a system scan only, marque as entradas abaixo e clique em Fix checked: O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: (no name) - {E70546C7-ECE6-4162-AA4C-0BD076CFE392}AA4C-0BD076CFE392} - (no file) O4 - HKCU\..\RunOnce: [shockwave Updater] E:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1103471 -"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB5; FDM; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)" -"http://www.jogos360.com.br/nanny_mania.html" ________________________________________________________________________________ :seta: Há vários programas desnecessários iniciando junto com o Windows, o que torna o seu PC mais lento. Para corrigir isto, siga as dicas deste tutorial: Escolhendo Programas que Iniciam com o PC De preferência deixe apenas os programas de segurança (anti-vírus/anti-spywares/firewall) iniciarem junto com o Windows. Use também o programa Ccleaner, indicado neste tutorial acima, para fazer uma limpeza e otimização do PC agora e de tempos em tempos. ________________________________________________________________________________ :seta: Siga também as dicas deste tutorial: Tutorial do Spyware Doctor Starter Edition Poste o log do Spyware Doctor juntamente com o relatório criado em C:\avenger.txt e um novo log do Hijackthis e nos diga como está o PC depois disto. Compartilhar este post Link para o post Compartilhar em outros sites
Mário Monteiro 179 Denunciar post Postado Junho 3, 2009 Tópico Arquivado Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado. Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura. Compartilhar este post Link para o post Compartilhar em outros sites
