Jump to content


Photo

Problema Com O Http://540.scmg.net!

Started By danibowie, 16/01/2005, 10:33

  • This topic is locked This topic is locked
29 replies to this topic

#16 thunderstruck

thunderstruck

    Novato no fórum

  • Usuários
  • 11 posts
  • Sexo:Não informado

Posted 03/02/2005, 20:29

[...] mas a maldita página continua abrindo.... Tô quase desistindo....

Danibowie,

Os sintomas mencionados apontam que existem "Pragas Digitais" em operação no seu computador. Para termos informações mais precisas sobre quais "Entradas Maliciosas" podem estar ativas, é válido utilizar uma Ferramenta de Diagnóstico e Reparação, hábil no apontamento de entradas de programas maliciosos no computador.

O Hijack This! permite o usuário diagnosticar e reparar diferentes problemas no computador, entretanto, é necessário saber o que deve ser mantido e o que deve ser eliminado, pois ações incorretas com este programa podem afetar o Sistema Operacional. Nesse sentido o WebFórum pode te auxilar no que deve ser corrigido.

Para baixar o HijackThis! basta clicar no link disposto AQUI. Após baixar o arquivo que virá zipado, crie uma nova pasta denominada Hijack This, extraindo o programa do Zip para pasta recém-criada. Clique apenas em "Do a system scan only" e após receber o resultado clique apenas em "Save Log". Salve o relatório na pasta Hijack This, cópie o relatório e cole neste tópico para avaliação.

OFAJ

dae loko... to com o mesmo problema dela e fiz isso q vc pediu... ae vai o log...

Logfile of HijackThis v1.99.0
Scan saved at 20:24:27, on 3/2/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Brasil Telecom Turbo\winpppoverethernet.exe
C:\Arquivos de programas\Winamp\Winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
C:\Arquivos de programas\Brasil Telecom Turbo\WrOS.EXE
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svphost.exe
C:\Documents and Settings\thunderstruck\Desktop\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsof...ss/allinone.asp
O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Arquivos de programas\DAP\DAPIEBar.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\fgiebar.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Arquivos de programas\DAP\DAPIEBar.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\windns.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\eaeynoaq.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Autolauncher] aol.exe
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Arquivos de programas\Brasil Telecom Turbo\winpppoverethernet.exe"
O4 - HKLM\..\Run: [SmcService] C:\ARQUIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] "C:\Arquivos de programas\Winamp\Winampa.exe"
O4 - HKLM\..\RunServices: [Windows Autolauncher] aol.exe
O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] swwhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] swwhost.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows Autolauncher] aol.exe
O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe
O8 - Extra context menu item: &Download with &DAP - C:\ARQUIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Descarregar tudo com o FlashGet - C:\Arquivos de programas\FlashGet\jc_all.htm
O8 - Extra context menu item: Descarregar utilizando o FlashGet - C:\Arquivos de programas\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARQUIV~1\DAP\DAP.EXE
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\flashget.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.13....chm::/file.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEEBBA7E-F80F-4B2B-AE22-9EE877DDD816}: NameServer = 201.10.128.3 201.10.1.2
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Macromedia Licensing Service - Unknown - C:\Arquivos de programas\Arquivos comuns\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Arquivos de programas\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Arquivos de programas\Brasil Telecom Turbo\WrOS.EXE


aguardo respostas... :D

#17 danibowie

danibowie

    Novato no fórum

  • Usuários
  • 13 posts
  • Sexo:Não informado
  • Localidade:Curitiba - PR

Posted 06/02/2005, 11:23

Aqui está´o log do HijackThis. Espero q dê certo...

Logfile of HijackThis v1.99.0
Scan saved at 12:21:58, on 6/2/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Arquivos de programas\MSN Apps\Updater\01.02.3000.1001\pt-br\msnappau.exe
C:\Arquivos de programas\Messenger Plus! 3\MsgPlus.exe
C:\ARQUIV~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\ARQUIV~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\ARQUIV~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Arquivos de programas\McAfee.com\Agent\mcagent.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\MICRO\Meus documentos\D a n i z u d a\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://oo.com/custom.../search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapp...//www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapp...//www.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0EEDB912-C5FA-486F-8334-57288578C627} - (no file)
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Arquivos de programas\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Arquivos de programas\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.3000.1001\pt-br\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.3000.1001\pt-br\msntb.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\ARQUIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARQUIV~1\McAfee.com\Agent\mcupdate.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [msnappau] "C:\Arquivos de programas\MSN Apps\Updater\01.02.3000.1001\pt-br\msnappau.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [MPFExe] C:\ARQUIV~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Arquivos de programas\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download with &Shareaza - res://C:\Arquivos de programas\Shareaza\Plugins\RazaWebHook.dll/3000
O8 - Extra context menu item: Download with GetRight - C:\Arquivos de programas\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Arquivos de programas\GetRight\GRbrowse.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .mid: C:\Arquivos de programas\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\Arquivos de programas\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.185.246
O15 - Trusted IP range: 67.19.185.246 (HKLM)
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca....r/axscanner.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcaf...84/mcinsctl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoft.../as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pDownloader.cab
O16 - DPF: {BC18E6DF-BE57-4580-93E8-F228F9A133AA} (MaxisSimCity4LotTeleX Control) - http://simcity.ea.co...ty4LotTeleX.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcaf...,21/mcgdmgr.cab
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.co...ty4PatcherX.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcaf...410/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7A0D9CF-AE62-434E-9861-BA7C82F96A3F}: NameServer = 201.10.120.2 201.10.128.3
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Arquivos de programas\Arquivos comuns\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee SecurityCenter Update Manager - McAfee, Inc - C:\ARQUIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service - McAfee Corporation - C:\ARQUIV~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
Dani Bowie - www.queen-bitch.com

#18 OFAJ

OFAJ

    Novato no fórum

  • Usuários
  • 24 posts
  • Sexo:Não informado
  • Localidade:Jardim Anália Franco * SP * São Paulo

Posted 09/02/2005, 03:15

[...]
Logfile of HijackThis v1.99.0
Scan saved at 20:24:27, on 3/2/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
[...]

Thunderstruck, diante das informações presentes no último relatório, no meu modesto entendimento, constam 18 entradas suspeitas, que deverão ser suprimidas. Os procedimentos para isso serão dispostos adiante, mas antes disso, tome duas providências.

1- Configure o seu computador para exibir todos os arquivos, para tanto, vide precedimentos: Abra o Windows Explorer ==>> Clique em Ferramentas ==>> Opções de Pasta ==>> Selecione a aba Modo de Exibição ==>> Desmarque a caixa 'Ocultar arquivos protegidos do sistema operacional (recomendado)' ==>> Selecione o botão 'Mostrar pastas e arquivos ocultos' ==>> Clique em OK.

2- Vá no menu "Iniciar" ==>> Clique em "Executar" ==>> Cole ou digite os termos "notepad.exe" - sem aspas. Cópie somente o teor deste post, cole no bloco de notas e salve em uma pasta de fácil acesso. Quando você estiver operando no "Modo Seguro" acesse e utilize este arquivo, pois páginas eletrônicas ficam inacessíveis nestas condições.

Partindo para os procedimentos de remoção das 18 entradas suspeitas:

O programa HijackThis, deve ser aberto no "Modo Seguro". Neste sentido basta reiniciar o micro teclando F-8 constantemente, optando posteriormente por iniciar o micro no "Modo Seguro".

Com o programa aberto nestas condições clique em 'View the list of backups' e vá na aba 'Main' verificando e habilitando o boxe com a opção 'Make Backups before fixing items'. Provavelmete este boxe já estará habilitado, junto com outros, mas convêm verificar para evitar ações sem saída.

Feito isso clique primeiro em 'Back' e depois em 'Scan'. Após obter os resultados, desabilite todas entradas que estão com boxes habilitados. Após isso selecione, com atenção, apenas as 18 entradas destacadas abaixo, clicando posteriormente em "Fix Checked".

=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>

O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Arquivos de programas\DAP\DAPIEBar.dll

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O4 - HKLM\..\Run: [Services] C:\WINDOWS\system32\windns.exe

O4 - HKLM\..\Run: [Windows Autolauncher] aol.exe

O4 - HKLM\..\RunServices: [Windows Autolauncher] aol.exe

O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Update] swwhost.exe

O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe

O4 - HKCU\..\Run: [Microsoft Windows Update] swwhost.exe

O4 - HKCU\..\Run: [Windows Autolauncher] aol.exe

O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARQUIV~1\DAP\DAP.EXE

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.13....chm::/file.exe

O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab

O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>
Faça uma busca pelos arquivos dispostos adiante, excluindo-os das respectivas pastas. Os arquivos estão em negrito e as pastas são os termos que antecedem:

C:\WINDOWS\system32\windns.exe

C:\WINDOWS\system32\svphost.exe

Importante:

Após concluir os passos acima, faça um novo Scan via Hijackthis, salvando e substituindo o relatório antigo, por fim, copiando o teor do mesmo e disponibilizando para análise do Fórum, aproveitando para informar se houve alteração do quadro apresentado no post inicial.

PS-1: O ideal em casos iguais ao que estamos tratando, é que os problemas constem em tópicos separados, para evitar embaraços de informações e procedimentos. É só para melhor organizar, por isso fica o registro, ok.

PS-2: Lamento não ter dado o Feedback num espaço menor de tempo. Sorry.

OFAJ

Edição feita por: OFAJ, 09/02/2005, 03:36.

"Não sou Expert em nada, por ora, sou apenas um Aprendiz."
Entender que há outros pontos de vista, portanto, análises diferentes da nossa, é o inicio da sabedoria.

#19 OFAJ

OFAJ

    Novato no fórum

  • Usuários
  • 24 posts
  • Sexo:Não informado
  • Localidade:Jardim Anália Franco * SP * São Paulo

Posted 09/02/2005, 03:34

[...]
Logfile of HijackThis v1.99.0
Scan saved at 12:21:58, on 6/2/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
[...]

Danibowie, diante das informações presentes no último relatório, no meu modesto entendimento, constam 17 entradas suspeitas, que deverão ser suprimidas. Os procedimentos para isso serão dispostos adiante, mas antes disso, tome uma providência.

1- Vá no menu "Iniciar" ==>> Clique em "Executar" ==>> Cole ou digite os termos "notepad.exe" - sem aspas. Cópie somente o teor deste post, cole no bloco de notas e salve em uma pasta de fácil acesso. Quando você estiver operando no "Modo Seguro" acesse e utilize este arquivo, pois páginas eletrônicas ficam inacessíveis nestas condições.

Partindo para os procedimentos de remoção das 17 entradas suspeitas:

O programa HijackThis, deve ser aberto no "Modo Seguro". Neste sentido basta reiniciar o micro teclando F-8 constantemente, optando posteriormente por iniciar o micro no "Modo Seguro".

Com o programa aberto nestas condições clique em 'View the list of backups' e vá na aba 'Main' verificando e habilitando o boxe com a opção 'Make Backups before fixing items'. Provavelmete este boxe já estará habilitado, junto com outros, mas convêm verificar para evitar ações sem saída.

Feito isso clique primeiro em 'Back' e depois em 'Scan'. Após obter os resultados, desabilite todas entradas que estão com boxes habilitados. Após isso selecione, com atenção, apenas as 17 entradas destacadas abaixo, clicando posteriormente em "Fix Checked".

=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://oo.com/custom.../search/ie.html

O2 - BHO: (no name) - {0EEDB912-C5FA-486F-8334-57288578C627} - (no file)

O15 - Trusted Zone: *.crazywinnings.com

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.crazywinnings.com (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

O15 - Trusted IP range: 67.19.185.246

O15 - Trusted IP range: 67.19.185.246 (HKLM)

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab

O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab

O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca....r/axscanner.cab

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>
Entradas dispostas no relatório acusam a presença de um programa malicioso no computador, que deve ser removido mediante os seguintes passos: Acesse este SITE, localizando o item "PROCEDURE 4 (Download Uninstall from New.net)": Faça o download do arquivo que consta neste item, salvando em uma pasta da sua escolha. Após o download execute o desinstalador do New.Net, clique em 'Yes' ==>> 'Ok' ==>> 'Yes - Restart Now'.

=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>
Importante:

Após concluir os passos acima, faça um novo Scan via Hijackthis, salvando e substituindo o relatório antigo, por fim, copiando o teor do mesmo e disponibilizando para análise do fórum, aproveitando para informar como reagiu o computador após essas providências.

PS.: Lamento não ter dado o Feedback num espaço menor de tempo. Sorry.

OFAJ

Edição feita por: OFAJ, 09/02/2005, 16:18.

"Não sou Expert em nada, por ora, sou apenas um Aprendiz."
Entender que há outros pontos de vista, portanto, análises diferentes da nossa, é o inicio da sabedoria.

#20 danibowie

danibowie

    Novato no fórum

  • Usuários
  • 13 posts
  • Sexo:Não informado
  • Localidade:Curitiba - PR

Posted 09/02/2005, 12:42

OFAJ:

Já fiz tudo oq vc disse de entrar em modo de segurança, e este é o novo log do scan:

Logfile of HijackThis v1.99.0
Scan saved at 13:25:40, on 9/2/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\MICRO\Meus documentos\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapp...//www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapp...//www.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Arquivos de programas\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Arquivos de programas\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.3000.1001\pt-br\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Apps\MSN Toolbar\01.02.3000.1001\pt-br\msntb.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\ARQUIV~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\ARQUIV~1\McAfee.com\Agent\mcupdate.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [msnappau] "C:\Arquivos de programas\MSN Apps\Updater\01.02.3000.1001\pt-br\msnappau.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [MPFExe] C:\ARQUIV~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Arquivos de programas\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download with &Shareaza - res://C:\Arquivos de programas\Shareaza\Plugins\RazaWebHook.dll/3000
O8 - Extra context menu item: Download with GetRight - C:\Arquivos de programas\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Arquivos de programas\GetRight\GRbrowse.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .mid: C:\Arquivos de programas\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\Arquivos de programas\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O15 - Trusted IP range: 67.19.185.246
O15 - Trusted IP range: 67.19.185.246 (HKLM)
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcaf...84/mcinsctl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoft.../as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pDownloader.cab
O16 - DPF: {BC18E6DF-BE57-4580-93E8-F228F9A133AA} (MaxisSimCity4LotTeleX Control) - http://simcity.ea.co...ty4LotTeleX.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcaf...,21/mcgdmgr.cab
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.co...ty4PatcherX.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcaf...410/mcfscan.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Arquivos de programas\Arquivos comuns\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McAfee SecurityCenter Update Manager - McAfee, Inc - C:\ARQUIV~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service - McAfee Corporation - C:\ARQUIV~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe



Mas só não consegui baixar o desinstalador do newnet, q vc falou em baixo.

Desde já quero agradecer muito pela atenção e ajuda nesse problema! ^^ Obrigada! =*~~
Dani Bowie - www.queen-bitch.com

#21 OFAJ

OFAJ

    Novato no fórum

  • Usuários
  • 24 posts
  • Sexo:Não informado
  • Localidade:Jardim Anália Franco * SP * São Paulo

Posted 09/02/2005, 16:02

[...]
Logfile of HijackThis v1.99.0
Scan saved at 13:25:40, on 9/2/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
[...]

Danibowie,

Blz! (y) Seguinte: Volte no post anterior deste subscrevente, específicamente na área sobre o New.Net, pois eu editei e atualizei as informações que existiam lá, ok! Grato pelo alerta, pois essa atualização será útil em outras oportunidades. Quanto ao último relatório do HijackThis, está tudo ok, salvo a presença do New.Net que deve será removido, assim espero, através desta nova orientação.

OFAJ
"Não sou Expert em nada, por ora, sou apenas um Aprendiz."
Entender que há outros pontos de vista, portanto, análises diferentes da nossa, é o inicio da sabedoria.

#22 danibowie

danibowie

    Novato no fórum

  • Usuários
  • 13 posts
  • Sexo:Não informado
  • Localidade:Curitiba - PR

Posted 09/02/2005, 22:12

Nossa, muito obrigada denovo! Deu certo! E pelo q eu notei até agora, aquela página não abre mais!!! \o/ Nem sei como agradecer!!! ^^ MUITO OBRIGADA!
Dani Bowie - www.queen-bitch.com

#23 OFAJ

OFAJ

    Novato no fórum

  • Usuários
  • 24 posts
  • Sexo:Não informado
  • Localidade:Jardim Anália Franco * SP * São Paulo

Posted 09/02/2005, 22:37

Nossa, muito obrigada denovo! Deu certo! E pelo q eu notei até agora, aquela página não abre mais!!! \o/ Nem sei como agradecer!!! ^^ MUITO OBRIGADA!

Ok!, Danibowie.
Grato pelo Feedback!
Face ao ensejo, renovo minha disposição para análises pontuais.
:beer: :beer: :beer: :beer: :beer: :beer: :beer:
T+ (y)
OFAJ
"Não sou Expert em nada, por ora, sou apenas um Aprendiz."
Entender que há outros pontos de vista, portanto, análises diferentes da nossa, é o inicio da sabedoria.

#24 Iron-Maiden

Iron-Maiden

    12 Horas

  • Usuários
  • 231 posts
  • Sexo:Não informado

Posted 17/02/2005, 22:58

Olá pessoal!
Se possível, gostaria de ajuda também.... :unsure:

A janela do meu explorer ao se abrir, sempre vai para o site:

http://rack.cc , ou t.hack.cc

E agora fica abrindo uma "BIG" de uma janela Pop-up, pedindo
para q eu clique , q eu tenho spywares no pc...... :blink:

Se ajudar, eu tb fiz um "log" do hijackthis, aqui vai ele:

Logfile of HijackThis v1.99.1
Scan saved at 22:51:56, on 17/2/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARQUIVOS DE PROGRAMAS\FLASHGET\JCCATCH.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {F2A4407B-FFBC-4A1F-A18A-0F68C3E0FC9E} - C:\WINDOWS\SYSTEM\WOFOEIDO.DLL
O2 - BHO: (no name) - {6083D617-9B9C-483E-B509-87765070FDF3} - C:\WINDOWS\SYSTEM\KKOJ.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1046,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARQUIVOS DE PROGRAMAS\FLASHGET\FGIEBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\SYSTEM\SISTRAY.EXE
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [PCCIOMON.EXE] "C:\Arquivos de programas\Trend PC-cillin 2000\PCCIOMON.EXE"
O4 - HKLM\..\Run: [pop3trap.exe] "C:\Arquivos de programas\Trend PC-cillin 2000\pop3trap.exe"
O4 - HKLM\..\Run: [WebTrap.exe] "C:\Arquivos de programas\Trend PC-cillin 2000\WebTrap.exe"
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [block buster] C:\WINDOWS\DESKTOP\BLOCKBUSTER4
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Execute] C:\WINDOWS\TEMP_2\Install\AutoClick\Regexe.exe
O4 - HKLM\..\RunServices: [PCCIOMON.EXE] "C:\Arquivos de programas\Trend PC-cillin 2000\PCCIOMON.EXE"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [PHPGeekUtil] "C:\APACHE\APACHE.EXE" -k start -n PHPGeekUtil
O4 - HKLM\..\RunServices: [Apache] "C:\APACHE\APACHE.EXE" -k start -n Apache
O4 - HKLM\..\RunServices: [SEC Schedule Service] C:\Arquivos de programas\Search Engine Commando\ScheduleService.exe
O4 - HKCU\..\Run: [MSMSGS] C:\ARQUIV~1\MESSEN~1\msmsgs.exe /background
O4 - HKCU\..\Run: [AbyssWebServer] C:\ARQUIVOS DE PROGRAMAS\ABYSS WEB SERVER\ABYSSWS.EXE
O4 - HKCU\..\Run: [Skype] "C:\ARQUIVOS DE PROGRAMAS\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized
O4 - Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Search Engine Commando Schedule Viewer.lnk = C:\Arquivos de programas\Search Engine Commando\ScheduleViewer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download using FlashGet - C:\ARQUIVOS DE PROGRAMAS\FLASHGET\jc_link.htm
O8 - Extra context menu item: Download All by FlashGet - C:\ARQUIVOS DE PROGRAMAS\FLASHGET\jc_all.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARQUIV~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARQUIV~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Arquivos de programas\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Arquivos de programas\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIVOS DE PROGRAMAS\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIVOS DE PROGRAMAS\FLASHGET\FLASHGET.EXE
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O18 - Filter: text/html - {A0612440-F4E9-43C4-805D-4548744D1B2F} - C:\WINDOWS\SYSTEM\KKOJ.DLL
O18 - Filter: text/plain - {A0612440-F4E9-43C4-805D-4548744D1B2F} - C:\WINDOWS\SYSTEM\KKOJ.DLL

Se algum puder me ajudar ficarei d+ grato....!!! :) (y)

Muito obrigado, abraço Maiden

#25 OFAJ

OFAJ

    Novato no fórum

  • Usuários
  • 24 posts
  • Sexo:Não informado
  • Localidade:Jardim Anália Franco * SP * São Paulo

Posted 18/02/2005, 00:09

[...]
Logfile of HijackThis v1.99.1
Scan saved at 22:51:56, on 17/2/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
[...]

Iron-Maiden, diante das informações presentes no último relatório, no meu modesto entendimento, constam 15 entradas suspeitas, que deverão ser suprimidas. Os procedimentos para isso serão dispostos adiante, mas antes disso, tome uma providência.

1- Vá no menu "Iniciar" ==>> Clique em "Executar" ==>> Cole ou digite os termos "notepad.exe" - sem aspas. Cópie somente o teor deste post, cole no bloco de notas e salve em uma pasta de fácil acesso. Quando você estiver operando no "Modo Seguro" acesse e utilize este arquivo, pois páginas eletrônicas ficam inacessíveis nestas condições.

Partindo para os procedimentos de remoção das 15 entradas suspeitas:

O programa HijackThis, deve ser aberto no "Modo Seguro". Neste sentido basta reiniciar o micro teclando F-8 constantemente, optando posteriormente por iniciar o micro no "Modo Seguro".

Com o programa aberto nestas condições clique em 'View the list of backups' e vá na aba 'Main' verificando e habilitando o boxe com a opção 'Make Backups before fixing items'. Provavelmete este boxe já estará habilitado, junto com outros, mas convêm verificar para evitar ações sem saída.

Feito isso clique primeiro em 'Back' e depois em 'Scan'. Após obter os resultados, desabilite todas entradas que estão com boxes habilitados. Após isso selecione, com atenção, apenas as 15 entradas destacadas abaixo, clicando posteriormente em "Fix Checked".

=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {F2A4407B-FFBC-4A1F-A18A-0F68C3E0FC9E} - C:\WINDOWS\SYSTEM\WOFOEIDO.DLL

O2 - BHO: (no name) - {6083D617-9B9C-483E-B509-87765070FDF3} - C:\WINDOWS\SYSTEM\KKOJ.DLL

O4 - HKLM\..\Run: [sys] regedit -s sys.reg

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

O18 - Filter: text/html - {A0612440-F4E9-43C4-805D-4548744D1B2F} - C:\WINDOWS\SYSTEM\KKOJ.DLL

O18 - Filter: text/plain - {A0612440-F4E9-43C4-805D-4548744D1B2F} - C:\WINDOWS\SYSTEM\KKOJ.DLL

=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>=>
Importante:

Após concluir os passos acima, faça um novo Scan via Hijackthis, salvando e substituindo o relatório antigo, por fim, copiando o teor do mesmo e disponibilizando para análise do fórum, aproveitando para informar como reagiu o computador após essas providências.

OFAJ
"Não sou Expert em nada, por ora, sou apenas um Aprendiz."
Entender que há outros pontos de vista, portanto, análises diferentes da nossa, é o inicio da sabedoria.

#26 Iron-Maiden

Iron-Maiden

    12 Horas

  • Usuários
  • 231 posts
  • Sexo:Não informado

Posted 18/02/2005, 02:11

Olá OFAJ!
Opc reagiu de forma comum..nada diferente.
Apo´s isso, mudei a página inicial do pc , para página do msn home.
Reiniciei ele.
Tudo ok! a página do rack.cc sumiu....hehehe! q Maravilha! (y)

Aqui ta o log do novo scan após o procedimento:

Logfile of HijackThis v1.99.1
Scan saved at 02:08:35, on 18/2/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\ARQUIVOS DE PROGRAMAS\FLASHGET\JCCATCH.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1046,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARQUIVOS DE PROGRAMAS\FLASHGET\FGIEBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\SYSTEM\SISTRAY.EXE
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
O4 - HKLM\..\Run: [PCCIOMON.EXE] "C:\Arquivos de programas\Trend PC-cillin 2000\PCCIOMON.EXE"
O4 - HKLM\..\Run: [pop3trap.exe] "C:\Arquivos de programas\Trend PC-cillin 2000\pop3trap.exe"
O4 - HKLM\..\Run: [WebTrap.exe] "C:\Arquivos de programas\Trend PC-cillin 2000\WebTrap.exe"
O4 - HKLM\..\Run: [block buster] C:\WINDOWS\DESKTOP\BLOCKBUSTER4
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Execute] C:\WINDOWS\TEMP_2\Install\AutoClick\Regexe.exe
O4 - HKLM\..\RunServices: [PCCIOMON.EXE] "C:\Arquivos de programas\Trend PC-cillin 2000\PCCIOMON.EXE"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [PHPGeekUtil] "C:\APACHE\APACHE.EXE" -k start -n PHPGeekUtil
O4 - HKLM\..\RunServices: [Apache] "C:\APACHE\APACHE.EXE" -k start -n Apache
O4 - HKLM\..\RunServices: [SEC Schedule Service] C:\Arquivos de programas\Search Engine Commando\ScheduleService.exe
O4 - HKCU\..\Run: [MSMSGS] C:\ARQUIV~1\MESSEN~1\msmsgs.exe /background
O4 - HKCU\..\Run: [AbyssWebServer] C:\ARQUIVOS DE PROGRAMAS\ABYSS WEB SERVER\ABYSSWS.EXE
O4 - HKCU\..\Run: [Skype] "C:\ARQUIVOS DE PROGRAMAS\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized
O4 - Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Search Engine Commando Schedule Viewer.lnk = C:\Arquivos de programas\Search Engine Commando\ScheduleViewer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download using FlashGet - C:\ARQUIVOS DE PROGRAMAS\FLASHGET\jc_link.htm
O8 - Extra context menu item: Download All by FlashGet - C:\ARQUIVOS DE PROGRAMAS\FLASHGET\jc_all.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARQUIV~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\ARQUIV~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Arquivos de programas\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Arquivos de programas\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIVOS DE PROGRAMAS\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIVOS DE PROGRAMAS\FLASHGET\FLASHGET.EXE
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

################################################

Tudo correndo muito bem! E assim espero que continue! :D (y)
Agradeço por me ajudar, e aos outros colegas que aqui nesse tópico também
solucionaram seus problemas! (y) :lol:

Muito grato mesmo! O fórum necessita de mais pessoas como você! (y)

Grande abraço, Maiden

#27 OFAJ

OFAJ

    Novato no fórum

  • Usuários
  • 24 posts
  • Sexo:Não informado
  • Localidade:Jardim Anália Franco * SP * São Paulo

Posted 18/02/2005, 02:22

[...]
Logfile of HijackThis v1.99.1
Scan saved at 02:08:35, on 18/2/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
[...]

Ok!, Iron-Maiden :lol: Grato pelo Feedback! (y)
Quanto ao último log do HijackThis, tudo ok! (b)
Face ao ensejo, renovo minha disposição para análises pontuais.
:beer: :beer: :beer: :beer: :beer: :beer: :beer:
T+ (y)
OFAJ
"Não sou Expert em nada, por ora, sou apenas um Aprendiz."
Entender que há outros pontos de vista, portanto, análises diferentes da nossa, é o inicio da sabedoria.

#28 thunderstruck

thunderstruck

    Novato no fórum

  • Usuários
  • 11 posts
  • Sexo:Não informado

Posted 01/03/2005, 21:03

caraio bixo!!! te respeito por fazer isso cara... deu certo mesmo!!! vlw cara!!! e foi mal por demora p responde tb!!! ae vai o log!!!

Logfile of HijackThis v1.99.0
Scan saved at 20:57:35, on 1/3/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\thunderstruck\Desktop\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsof...ss/allinone.asp
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\fgiebar.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Arquivos de programas\DAP\DAPIEBar.dll (file missing)
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\eaeynoaq.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\ARQUIV~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] "C:\Arquivos de programas\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Arquivos de programas\Brasil Telecom Turbo\winpppoverethernet.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] C:\Arquivos de programas\Steam\Steam.exe -silent
O8 - Extra context menu item: &Download with &DAP - C:\ARQUIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Descarregar tudo com o FlashGet - C:\Arquivos de programas\FlashGet\jc_all.htm
O8 - Extra context menu item: Descarregar utilizando o FlashGet - C:\Arquivos de programas\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARQUIV~1\FlashGet\flashget.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O16 - DPF: ppctlcab - http://ppupdates.ca....er/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca....r/axscanner.cab
O23 - Service: Macromedia Licensing Service - Unknown - C:\Arquivos de programas\Arquivos comuns\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Arquivos de programas\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Arquivos de programas\Brasil Telecom Turbo\WrOS.EXE


#29 OFAJ

OFAJ

    Novato no fórum

  • Usuários
  • 24 posts
  • Sexo:Não informado
  • Localidade:Jardim Anália Franco * SP * São Paulo

Posted 03/03/2005, 01:04

[...]
Logfile of HijackThis v1.99.0
Scan saved at 20:57:35, on 1/3/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
[...]

Ok!, Thunderstruck :lol: Grato pelo Feedback! (y)

Para o seu relatório ficar jóia vamos ter que eliminar + umas coisinhas, blz?! ^_^

Existe um programa malicioso que deve ser desinstalado, nesse sentido, salvo ser um programa da sua confiança, via menu ==>> "Iniciar" ==>> "Configurações" ==>> "Painel de Controle" ==>> clique na opção "Adicionar e Remover Programas" ==>> Localize algum programa relacionado com o nome "DAP", promovendo sua desinstalação. Caso não localize ele através destes passos, vá no meu "Iniciar" ==>> "Executar" ==>> Digite ou cole os termos: C:\arquivos de programas\ ==>> Delete a pasta denominada "DAP"

Abra o HijackThis neste momento, clique em Do a system scan only, aguarde o processamento e após obter os resultados, desabilite todas entradas que estão com boxes habilitados. Após isso selecione, com atenção, apenas as 2 entradas destacadas abaixo, clicando posteriormente em Fix Checked.

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} -
C:\Arquivos de programas\DAP\DAPIEBar.dll (file missing)

O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\eaeynoaq.exe

Faça uma busca pelo arquivo disposto adiante, excluindo-o da respectiva pasta. O arquivo está em negrito e a pasta equivale aos termos que antecedem:

C:\windows\eaeynoaq.exe

O relatório existente no seu último post foi emitido a partir do HijackThis, versão 1.99.0. É importante que todos baixem o HijackThis versão 1.99.1, através do link disposto AQUI, pelo fato desta última versão ter mecanismos mais precisos e atualizados.

Após concluir os passos acima, faça um novo Scan via Hijackthis 1.99.1, salvando e substituindo o relatório antigo, por fim, copiando o teor do mesmo e disponibilizando para análise do fórum, aproveitando para informar como reagiu o computador após estas providências.

Abraços

OFAJ
"Não sou Expert em nada, por ora, sou apenas um Aprendiz."
Entender que há outros pontos de vista, portanto, análises diferentes da nossa, é o inicio da sabedoria.

#30 Leone Fernandes

Leone Fernandes

    (y)

  • Usuários
  • 585 posts
  • Sexo:Masculino
  • Localidade:Belo Horizonte - MG

Posted 24/01/2009, 14:29

Problema Resolvido!

Caso o autor necessite que seu tópico seja reaberto, entrar em contato com a equipe de moderação.


Voltar para Casos Solucionados


0 user(s) are reading this topic

0 membro(s), 0 visitante(s) e 0 membros anônimo(s)

  1. Fórum WMO
  2. Troubleshooting - resolvendo problemas
  3. Segurança
  4. Remoção de Pragas Virtuais
  5. Casos Solucionados
  6. Privacy Policy
  7. Regras ·
IPB Skin By Virteq