Jump to content


Photo

Spy: Topnetsearch


  • This topic is locked This topic is locked
7 replies to this topic

#1 Agente Linhares

Agente Linhares

    fuis...abraços!

  • Ex-Admins
  • 3138 posts
  • Sexo:Não informado
  • Localidade:Biritiba Mirim-SP

Posted 24/06/2005, 10:53

tp, pego ontem no pc do trampo e abre pg inicial forçada, muda o papel de parede forçado e inda abre pops de vez em qd..iamgina so c/ o q de conteudo: sexo :lol:

xxxxxx esse spy. :blink: :wacko: :unsure: :angry:

se alguem souber como tirar? ja passei ad-aware, spybot e scan onine da trend

tp se nnao me engano pego qd fiz a atual~ização do spybot, pode? vc baixa as atualizações de um anti-spy e pega + spys..desanima a gente isso :( :unsure:

t o usando o win2000 em ingles..
> Busca On-line - A Busca que faltava na Internet! - Cadastre-se!
---------------------------------------------------------------------------
> BRdesign.NET - Soluções em Websites e Sistemas E-Commerce.
---------------------------------------------------------------------------
> BR-ecommerce - Sua loja virtual na internet! - Apenas R$99,90 mensais (hospedagem inclusa)!

#2 skarloff

skarloff

    Doutor

  • Usuários
  • 813 posts
  • Sexo:Masculino
  • Localidade:RO

Posted 24/06/2005, 13:29

Tenta com o Hijack This! e post o log dele aqui.

esse spy normalmente instala na pasta
%systemroot%\system32
os seguintes arquivos
ztoolbar.dll; boln.dl e ztoolbar.xml;  

vc pode exclui-los manualmente... bem como suas referencias no regedit.
claro nao sei se isso é uma regra se sempre seram esses mesmo arquivos, mas ate onde vi o Topnetsearch, instala esses ai.
mas o mais recomendavél e usar o hijack this.
Skarloff
-----------------------------------------------
Sem ter o que fazer?: Videos toscos para quem não tem nada para fazer...

#3 nemu

nemu
  • Visitantes

Posted 26/06/2005, 16:16

Post o log do hijack this
Um monte de spywares faz o que esta ocorrendo com você
Existe um muito conhecido que é o Gator

mas o santo log do hijack this salva a gente de todos

Edição feita por: nemu, 26/06/2005, 16:20.


#4 Agente Linhares

Agente Linhares

    fuis...abraços!

  • Ex-Admins
  • 3138 posts
  • Sexo:Não informado
  • Localidade:Biritiba Mirim-SP

Posted 28/06/2005, 10:54

valeu merdaman..a barra ranquei ja..

tp, agora a pg forçada ja saiu..a barra tb, tirei c/ o anti-spy da M$
so q toda vez q desligo e ligo o pc lota o desktop de atalhos porno..hehe
e o papel de parede inda ta sem dar pra alterar.

ó o log:


Logfile of HijackThis v1.98.2
Scan saved at 10:50:15 AM, on 6/28/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\stchost.exe
C:\PROGRA~1\MICROS~3\MSSQL\binn\sqlservr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\Program Files\Common Files\Microsoft Shared\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\147351.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~e5d141.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~e5d141.tmp
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\explorer.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - C:\WINNT\system32\ztoolb001.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=070605 serial=dr12wex-1504397-kty lang=EN
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Program Files\Microsoft AntiSpyware\gcASCleaner.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E01DB5E-CA49-40D6-9A26-10E8FB6F2896}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{7E01DB5E-CA49-40D6-9A26-10E8FB6F2896}: NameServer = 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{7E01DB5E-CA49-40D6-9A26-10E8FB6F2896}: NameServer = 127.0.0.1


valeu gente.
nemu, tomara q salve o meu pc tb..haha..
> Busca On-line - A Busca que faltava na Internet! - Cadastre-se!
---------------------------------------------------------------------------
> BRdesign.NET - Soluções em Websites e Sistemas E-Commerce.
---------------------------------------------------------------------------
> BR-ecommerce - Sua loja virtual na internet! - Apenas R$99,90 mensais (hospedagem inclusa)!

#5 skarloff

skarloff

    Doutor

  • Usuários
  • 813 posts
  • Sexo:Masculino
  • Localidade:RO

Posted 28/06/2005, 11:27

====================================================
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\stchost.exe
C:\PROGRA~1\MICROS~3\MSSQL\binn\sqlservr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\Program Files\Common Files\Microsoft Shared\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\147351.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~e5d141.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~e5d141.tmp
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\explorer.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - C:\WINNT\system32\ztoolb001.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=070605 serial=dr12wex-1504397-kty lang=EN
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Program Files\Microsoft AntiSpyware\gcASCleaner.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.t...all/xscan60.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E01DB5E-CA49-40D6-9A26-10E8FB6F2896}: NameServer = 127.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{7E01DB5E-CA49-40D6-9A26-10E8FB6F2896}: NameServer = 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{7E01DB5E-CA49-40D6-9A26-10E8FB6F2896}: NameServer = 127.0.0.1
=====================================================
remova os itens em negrito.
depois reinicie o pc e passe o hiJack This denovo.
Skarloff
-----------------------------------------------
Sem ter o que fazer?: Videos toscos para quem não tem nada para fazer...

#6 nemu

nemu
  • Visitantes

Posted 29/06/2005, 12:10

Isso tambem

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~e5d141.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~e5d141.tmp

C eu fosse tu, limpava suas pasta TEMP e dps passava a Limpesa do sistema em Iniciar _> Acessorios _> Ferramentas de sistema _> Limpeza de disco

Não tenho certeza:
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

Edição feita por: nemu, 29/06/2005, 12:11.


#7 skarloff

skarloff

    Doutor

  • Usuários
  • 813 posts
  • Sexo:Masculino
  • Localidade:RO

Posted 29/06/2005, 12:38

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~e5d141.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~e5d141.tmp

Se nao me engano sao paginas temporarias q o Dreamwaever cria. pode ver, q ele ta em execução acima.
C:\Program Files\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
Esse outro ai pode ser tambem, fiquei na duvida sobre esse arquivo, pq para min ele é desconhecido.
Skarloff
-----------------------------------------------
Sem ter o que fazer?: Videos toscos para quem não tem nada para fazer...

#8 Leone Fernandes

Leone Fernandes

    (y)

  • Usuários
  • 585 posts
  • Sexo:Masculino
  • Localidade:Belo Horizonte - MG

Posted 24/01/2009, 15:45

Tópico Fechado!

Como o autor não respondeu ao tópico por mais de 10 dias, o mesmo foi fechado.
Caso necessite que o tópico seja reaberto, entre em contato com um dos moderadores do fórum..






0 user(s) are reading this topic

0 membro(s), 0 visitante(s) e 0 membros anônimo(s)

IPB Skin By Virteq