[Arquivado] Explorer.exe

[Trivis 0]

Quando eu o ligo,ele fica normal durante uns 5 sgs +/-,mais depois começa,o exporer.exe fica abrindo e fechando sozinho,e não para. So para com isso quando eu mesmo vou la e finalizo o processo dele.

Ja tentei em modo de segurança mas fica do mesmo jeito,abrindo e fechando o explorer.

Por favor estou precisando urgente resolver esse problema pois tenho um Windows server 2003 e nele rodo um servidor de Banco de Dados para os meus 3 estabecimentos.

Obs: Ja proucurei outros topicos com o problema parecido,mas eles pedem para usar o ComboFIX,mas quando eu tento rodar ele não da,aparece uma mensagem falando que o arquivo NircmdB.exe não foi encontrado,e simplesmente o programa não roda. Alterei tambem o nome para KomboFIX mas tambem deu o mesmo erro,Agora quando peguei o virus novamente ele fala que nao e compativel com meu sistema operacional.

Ja proucurei em outros foruns e achei um arquivo para o registro que funcionou (segue abaixo) So que peguei o virus novamente e tentei fazer isso novamente so que nao deu.

" REGEDIT4

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoActiveDesktop"=-

"ForceActiveDesktopOn"=-

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoActiveDesktop"=-

"ForceActiveDesktopOn"=-"

 

Quando eu o executei deu certo,so que infelismente encontrei o motivo,meu funcionario executou um arquivo chamado Comprovante587.exe que assim que ele clicou nele voltou ao mesmo problema,nao funcionando o negocio do resgistro mais.

Obs: Passei um antivirus no arquivo e aqui segue o log dele para ajudar mais.

 

Kaspersky 7.0.0.125 2009.10.05 Trojan-Downloader.Win32.Genome.sgw

 

Informações adicionais

File size: 19968 bytes

MD5 : f4e5f079a3d1537c6269bafdcf6464d8

SHA1 : 8d12262be026db859e2884dbf45b96ae3dbf1ebb

SHA256: 5db750b634fe958307e638c5b56452c13753646d711a6379912e191b2bf91bb4

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0xD09A

timedatestamp.....: 0x4AC51FFF (Thu Oct 1 23:32:47 2009)

machinetype.......: 0x14C (Intel I386)

 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.MPRESS1 0x1000 0xC000 0x2000 7.56 eb3e9bf8bc41b43912576c70a8cb7f26

.MPRESS2 0xD000 0x349 0x400 5.33 7552f5684e1479e97907e93d53f53deb

.rsrc 0xE000 0x274C 0x2800 3.92 5d56a514603848a780cede6341c6d38f

 

( 2 imports )

 

> kernel32.dll: GetModuleHandleA, GetProcAddress

> msvbvm60.dll: -

 

( 0 exports )

TrID : File type identification

Generic Win/DOS Executable (49.9%)

DOS Executable Generic (49.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

ssdeep: 384:xTmMwIbH5FZ3gWhR4Bc4/fYp9KDEKDVKDTWE:4EH5FZ3gWhR4BF4

PEiD : -

packers (Kaspersky): MPRESS

RDS : NSRL Reference Data Set

 

 

Abaixo segue o logo do HiJackTHIS.

 

Logfile of HijackThis v1.99.1

Scan saved at 17:07:23, on 7/10/2009

Platform: Windows 2003 (WinNT 5.02.3790)

MSIE: Internet Explorer v6.00 (6.00.3790.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\LogMeIn\x86\RaMaint.exe

C:\Arquivos de programas\LogMeIn\x86\LogMeIn.exe

C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\r_server.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Dfssvc.exe

C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe

C:\Arquivos de programas\Java\jre26\bin\jusched.exe

C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe

C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Java\jre26\bin\javaw.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Documents and Settings\Administrador.POSTO\Desktop\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Extensão do Navegador - {A896BBBC-D31D-4053-8893-58D129613B1D} - C:\WINDOWS\system32\wuapifuncx.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre26\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre26\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Arquivos de programas\Orbitdownloader\GrabPro.dll

O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Toolbar\01.01.2607.0\en-us\msntb.dll

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre26\bin\jusched.exe"

O4 - HKLM\..\Run: [samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [shutdownEventCheck] %systemroot%\system32\dumprep 0 -s

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [AdmTask] C:\Arquivos de programas\AdmTask\admtask.exe /m

O4 - HKLM\..\Run: [AVP] "C:\Documents and Settings\Administrador.POSTO\Desktop\4\avp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [sony Ericsson PC Suite] "C:\Arquivos de programas\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon

O4 - HKCU\..\Run: [Longhorn SideBar] C:\WINDOWS\SideBar\SideBar.exe

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Arquivos de programas\IObit\Advanced SystemCare 3\AWC.exe" /startup

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {108D3206-846A-4A93-BACB-F0572D043ED7} (DHSurveillanceCtrl Control) - http://10.1.1.100:8000/webrec.cab

O16 - DPF: {E87A4CD6-BA5F-4552-BC4F-8EC240A2755C} (WebRecClient Control) - http://postocalifornia2.ddns.com.br:8000/webrec.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{380BAF12-E7F3-4BFF-A67E-D147B6AD91E6}: NameServer = 10.1.1.1,10.1.1.2

O17 - HKLM\System\CS1\Services\Tcpip\..\{380BAF12-E7F3-4BFF-A67E-D147B6AD91E6}: NameServer = 10.1.1.1,10.1.1.2

O17 - HKLM\System\CS2\Services\Tcpip\..\{380BAF12-E7F3-4BFF-A67E-D147B6AD91E6}: NameServer = 10.1.1.1,10.1.1.2

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: LMIinit - C:\WINDOWS\SYSTEM32\LMIinit.dll

O23 - Service: avp - Unknown owner - C:\Documents and Settings\Administrador.POSTO\Desktop\4\avp.exe" -r (file missing)

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Arquivos de programas\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Arquivos de programas\LogMeIn\x86\LogMeIn.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)

 

Agradeço desde ja..

[Power Max 54]

:thumbsup: Olá Trivis! Seja bem-vindo ao Fórum Imasters.

 

:seta: Siga, por gentileza, as dicas deste tutorial para fazer uma limpeza de seu PC com o Malwarebytes:

 

Tutorial do Malwarebytes Anti-Malware

 

Na sua próxima resposta poste este log do Malwarebytes juntamente com um novo log do Hijackthis e nos diga como está o seu PC após este procedimento.

 

Ficamos no aguardo.

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.