[Arquivado] Cookie ATDTM

[PascalUser 0]

Boas tards carissimos,

 

Então a minha situação é a seguinte, eu tenho um computador que digamos não é de tecnologia de ponta portanto preciso de todos os recursos que possa dar, coisa que não esta a acontecer graças a este cookie que não me consigo livrar. Após eu ter detectado este cookie com o bitdefender em C:\Documents and Settings\"USER"\Cookies\"USER"@atdtm[2] ou qualquer coisa parecida.

 

Os passos que tomei foi,

 

1. If you are using Mozilla Firefox :

Click on Tools ->Options-> Privacy and under Cookies click on Exceptions . Here block the following addresses then click on Close :

 

www.atlassolutions.com

view.atdmt.com

rmd.atdmt.com

ec.atdmt.com

 

2. If you are using Internet Explorer :

Click on Tools->Internet Options->Privacy then click on Sites . Here block the same addresses then click on Ok:

 

www.atlassolutions.com

view.atdmt.com

rmd.atdmt.com

ec.atdmt.com

 

em seguida,

 

Removi manualmente o ficheiro e ainda o faço neste momento porque ele regenera-se.

 

O hijackthis apresenta o seguinte log:

 

Boot mode: Normal

Windows folder: C:\WINDOWS

System folder: C:\WINDOWS\SYSTEM32

Hosts file: C:\WINDOWS\System32\drivers\etc\hosts

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Programas\Ficheiros comuns\BitDefender\BitDefender Update Service\livesrv.exe

C:\Programas\BitDefender\BitDefender 2009\vsserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programas\BitDefender\BitDefender 2009\bdagent.exe

C:\Programas\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\Programas\Mobile Partner\Mobile Partner.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programas\BitDefender\BitDefender 2009\seccenter.exe

C:\Programas\Java\jre6\bin\jqs.exe

C:\Programas\Internet Explorer\IEXPLORE.EXE

C:\Programas\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\explorer.exe

C:\Programas\Windows Media Player\wmplayer.exe

C:\Programas\Mozilla Firefox\firefox.exe

C:\Programas\Trend Micro\HijackThis\HijackThis.exe

C:\Programas\Windows Live\Mail\wlmail.exe

C:\Programas\Windows Live\Contacts\wlcomm.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://security.symantec.com/sscv6/home.asp?langid=ie&venid=sym&plfid=23&pkj=AQPISKVYRMHCGVRVRMN&bhcp=1

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programa Auxiliar de Início de Sessão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (filesize 408448 bytes, MD5 B7899C3E21B299D7A3C0DA96CAE340BD)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programas\Java\jre6\bin\jp2ssv.dll (filesize 41368 bytes, MD5 192E39C717013A0BD532B33AC29D6E7D)

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (filesize 73728 bytes, MD5 9A0CA264EC3210E77764C45AD7C5F339)

O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programas\BitDefender\BitDefender 2009\IEToolbar.dll (filesize 90112 bytes, MD5 CA9F5A0A5DA34555B6B53A226A08BD39)

O4 - HKLM\..\Run: [bDAgent] "C:\Programas\BitDefender\BitDefender 2009\bdagent.exe" (filesize 716800 bytes, MD5 988A9840BD57924BC639C84A6F04F34F)

O4 - HKLM\..\Run: [bitDefender Antiphishing Helper] "C:\Programas\BitDefender\BitDefender 2009\IEShow.exe" (filesize 69632 bytes, MD5 34EC836E06E2C47260F5C835A239A87F)

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode (filesize 33280 bytes, MD5 704D3C3ADF8823161DFD73A89DA4954E)

O4 - HKLM\..\Run: [CTSysVol] C:\Programas\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r (filesize 57344 bytes, MD5 E7D1D8179FE03E2BC569A92B56509414)

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXEC:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programas\Java\jre6\bin\jusched.exe" (filesize 148888 bytes, MD5 D22D936F9AB0DA3B8EB7537284867708)

O4 - HKCU\..\Run: [Mobile Partner] "C:\Programas\Mobile Partner\Mobile Partner.exe" (filesize 86016 bytes, MD5 7416C43486F49A6870EF2ECCBE213CA9)

O4 - HKCU\..\Run: [msnmsgr] "C:\Programas\Windows Live\Messenger\msnmsgr.exe" /background (filesize 3885408 bytes, MD5 C514903DB0A141D78575A79E35339F4B)

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [HijackThis startup scan] C:\Programas\Trend Micro\HijackThis\HijackThis.exe /startupscan (filesize 396288 bytes, MD5 C4CA7416A6DF6D95075F81D9E3B41AD1)

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIÇO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Serviço de rede')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Wallpaper Calendar.lnk = C:\Programas\zepsoft\Wallpaper Calendar\WallCal3.exe (filesize 1227776 bytes, MD5 1FA6026747841352E15D127AFD9C3939)

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (filesize 53248 bytes, MD5 B75E2A565AE6B03DD3941A5DD4E2F31C)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (filesize 53248 bytes, MD5 B75E2A565AE6B03DD3941A5DD4E2F31C)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe (filesize 1667584 bytes, MD5 8D74308AC2FE3A7C50182DFFB1DD0344)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe (filesize 1667584 bytes, MD5 8D74308AC2FE3A7C50182DFFB1DD0344)

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{ED1D67E1-B88C-42DB-BC84-8EE0589F425A}: NameServer = 62.169.67.171 62.169.67.172

O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Programas\Ficheiros comuns\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exeC:\Programas\Ficheiros comuns\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeC:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programas\Java\jre6\bin\jqs.exeC:\Programas\Java\jre6\bin\jqs.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programas\Ficheiros comuns\BitDefender\BitDefender Update Service\livesrv.exeC:\Programas\Ficheiros comuns\BitDefender\BitDefender Update Service\livesrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exeC:\WINDOWS\system32\HPZipm12.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Programas\BitDefender\BitDefender 2009\vsserv.exeC:\Programas\BitDefender\BitDefender 2009\vsserv.exe

 

--

End of file - 7469 bytes

 

Já não sei o que fazer mais estou a ficar sem opções e bem sei que a pergunta não é fácil... quais mais alternativas tenho?

 

Cumprimentos e desde já obrigado pela contribuição e espero que a resolução disto sirva para todos.

[DigRam 144]

Bom Dia! PascalUser

 

Removi manualmente o ficheiro e ainda o faço neste momento porque ele regenera-se.

<!> Tracking cookies serão sempre baixados,ao computador,tão logo visite endereços que faça uso dos mesmos.

<><><><><><><><><><>

<@> Baixe: < CCleaner >

<@> Salve-o no Desktop!

<@> Com a opção < Limpador >,já selecionada,clique em Analisar. --> Aguarde o progresso!

<@> Terminando,clique em Executar Cleaner.

<@> Na janela que surgir,dê o Ok. --> Aguarde o progresso!

<@> Selecionando a opção Registro,clique em Procurar erros.

<@> Terminando,clique em Corrigir erros selecionados...

<@> Na pergunta,clique em Sim!

<@> Nomeie os backups e clique em Salvar.

<@> Por alguns dias,estando tudo Ok,poderá deletar esse arquivo de backup. ( .reg )

<@> Na janela que aparecer,clique em: "Corrigir todos os erros selecionados"

<@> Clique em Ok --> Fechar.

<@> Para maiores detalhes,leia o Tutorial: < Link >

 

Abraços!

[PascalUser 0]

 

<!> Tracking cookies serão sempre baixados,ao computador,tão logo visite endereços que faça uso dos mesmos.

 

Bom dia!

 

So tem um problema é que mesmo não visitando ele regenera-se, basta apenas ligar o windows live messenger, porque eu tenho monitorizado a pasta onde se encontra sempre o cookie manualmente e tem acontecido isso.

 

Mas vou seguir a sua sugestão e postar os resultados.

[PascalUser 0]

<!> Tracking cookies serão sempre baixados,ao computador,tão logo visite endereços que faça uso dos mesmos.

<><><><><><><><><><>

<@> Baixe: < CCleaner >

<@> Salve-o no Desktop!

<@> Com a opção < Limpador >,já selecionada,clique em Analisar. --> Aguarde o progresso!

<@> Terminando,clique em Executar Cleaner.

<@> Na janela que surgir,dê o Ok. --> Aguarde o progresso!

<@> Selecionando a opção Registro,clique em Procurar erros.

<@> Terminando,clique em Corrigir erros selecionados...

<@> Na pergunta,clique em Sim!

<@> Nomeie os backups e clique em Salvar.

<@> Por alguns dias,estando tudo Ok,poderá deletar esse arquivo de backup. ( .reg )

<@> Na janela que aparecer,clique em: "Corrigir todos os erros selecionados"

<@> Clique em Ok --> Fechar.

<@> Para maiores detalhes,leia o Tutorial: < Link >

 

Bom dia novamente,

 

Parece que continua tudo na mesma... tal como afirmei anteriormente este cookie regenera-se bastando ligar o windows live messenger por incrível que pareça, após fazer todos os passos que mencionou desliguei e liguei o windows live messenger, só para testar et voila... o cookie apareçe novamente...

 

Parece ser um pouco mais complexo este cookie porque ja tinha testado outros software e ate agora acho que ainda não há um realmente eficaz, e eu uso o melhor antivírus do mercado o bitdefeder'>http://anti-virus-software-review.toptenreviews.com/"]bitdefeder.

 

Abraço e obrigado pela ajuda na mesma, mas se tiver outra carta na manga então força! eheh

[DigRam 144]

Boa Tarde! PascalUser

 

Parece que continua tudo na mesma... tal como afirmei anteriormente este cookie regenera-se bastando ligar o windows live messenger por incrível que pareça, após fazer todos os passos que mencionou desliguei e liguei o windows live messenger, só para testar et voila... o cookie apareçe novamente...

<!> Então,temos um problema,denominado: < web browser hijack >

<><><><><><><><><>

<@> Baixe: < Malwarebytes >

<@> Atualize o programa!

<@> Escolha o escaneamento Completo!

<@> Desabilite programas de proteção,ao executar o malwarebytes.

<@> Procure enviar os ítens detectados para a quarentena,clicando em Remover itens.

<@> Para maiores detalhes: < Link >

<><><><><><><><><>

<@> Poste,os relatórios: mbam-log-2009-xx-xx (00-00-00).txt + HijackThis,atualizado.

 

Abraços!

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.