13 replies to this topic

[Ciclana]

Olá...

Bem, sou mais uma vítima do trojan horse startpage.19.J... já vi algumas soluções para retirá-lo, mas como utilizo o Windows 2000 Professional, não consegui removê-lo.

Sou completamente leiga no assunto e gostaria imensamente de uma ajuda... seria possível???

Muito obrigada!!!

[Paulo Freitas]

Opa ...

Tente usar scans online para removê-lo ... costumam funcionar ...

Os melhores são estes:

• www.bitdefender.com/scan
• housecall-beta.trendmicro.com

[]’s Até mais

[Ciclana]

Hum... não consegui executar nenhum dos dois...

No primeiro, deu um erro de ActiveX...
No segundo, não estou autorizada a ver a página...

Mais sugestões??

Não sei se vai ajudar, mas abaixo está o log do HiJackThis...

Logfile of HijackThis v1.98.2
Scan saved at 10:31:48, on 02/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOINTGR.EXE
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe
C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
C:\Arquivos de programas\OpenOffice.org.br1.1.3\program\soffice.exe
C:\Arquivos de programas\Outlook Express\msimn.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
G:\Pgwf.exe
C:\WINNT\system32\W32MKDE.EXE
C:\Documents and Settings\Ana Claudia\Meus documentos\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2sea...sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - {707B55BD-15D7-7E26-5B0A-5781DE1B00AA} - C:\WINNT\Vtjwqvxh.dll (file missing)
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O1 - Hosts: 216.130.185.143 websearch.com216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.websearch.com
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.websearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0B4F8836-FAE9-412C-9B2C-F8B261C6AE26} - C:\WINNT\system32\kdob.dll
O2 - BHO: (no name) - {2AB92A90-F2DD-39B9-208E-E3B254B0C515} - C:\WINNT\Vtjwqvxh.dll (file missing)
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Arquivos de programas\WS_FTP Pro\wsbho2k0.dll (file missing)
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - (no file)
O3 - Toolbar: Search - {950173FA-78BE-C5B3-B24C-4D545D51ABDD} - C:\WINNT\Vtjwqvxh.dll (file missing)
O3 - Toolbar: Barra de Ferramentas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Toolbar\01.01.1601.0\pt-br\msntb.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [dgrgh] C:\DOCUME~1\ANACLA~1\DADOSD~1\quqglbll.exe -QuieT
O4 - HKLM\..\Run: [hoadgbw] C:\WINNT\kjberup.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - Startup: Localização acelerada da Microsoft.lnk = C:\Arquivos de programas\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Inicialização do Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
O4 - Startup: OpenOffice.org.br 1.1.3.lnk = OpenOffice.org.br1.1.3\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O16 - DPF: {80279AFC-CF42-11D8-84C4-0008C7B96A56} (econt01.econtabil01) - http://www.centralde...TML/econt01.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol....tiveInstall.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pratica.local
O18 - Filter: text/html - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
O18 - Filter: text/plain - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll

[Paulo Freitas]

Olá Ciclana (Ana Claudia ?!) ...

Seguinte ... o HijackThis não faz muito milagre, mas pelo menos ele inabilita a maior parte das pragras ...

Bom, vamos lá ... primeiro vou analisar e "grifar" ...

Logfile of HijackThis v1.98.2
Scan saved at 10:31:48, on 02/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOINTGR.EXE
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe
C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
C:\Arquivos de programas\OpenOffice.org.br1.1.3\program\soffice.exe
C:\Arquivos de programas\Outlook Express\msimn.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
G:\Pgwf.exe
C:\WINNT\system32\W32MKDE.EXE
C:\Documents and Settings\Ana Claudia\Meus documentos\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2sea...sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - {707B55BD-15D7-7E26-5B0A-5781DE1B00AA} - C:\WINNT\Vtjwqvxh.dll (file missing)
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O1 - Hosts: 216.130.185.143 websearch.com216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.websearch.com
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.websearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0B4F8836-FAE9-412C-9B2C-F8B261C6AE26} - C:\WINNT\system32\kdob.dll
O2 - BHO: (no name) - {2AB92A90-F2DD-39B9-208E-E3B254B0C515} - C:\WINNT\Vtjwqvxh.dll (file missing)
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - (no file)
O2 - BHO: (no name) - } - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Arquivos de programas\WS_FTP Pro\wsbho2k0.dll (file missing)
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - (no file)
O3 - Toolbar: Search - {950173FA-78BE-C5B3-B24C-4D545D51ABDD} - C:\WINNT\Vtjwqvxh.dll (file missing)
O3 - Toolbar: Barra de Ferramentas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Toolbar\01.01.1601.0\pt-br\msntb.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [dgrgh] C:\DOCUME~1\ANACLA~1\DADOSD~1\quqglbll.exe -QuieT
O4 - HKLM\..\Run: [hoadgbw] C:\WINNT\kjberup.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - Startup: Localização acelerada da Microsoft.lnk = C:\Arquivos de programas\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Inicialização do Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
O4 - Startup: OpenOffice.org.br 1.1.3.lnk = OpenOffice.org.br1.1.3\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O16 - DPF: {80279AFC-CF42-11D8-84C4-0008C7B96A56} (econt01.econtabil01) - http://www.centralde...TML/econt01.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol....tiveInstall.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pratica.local
O18 - Filter: text/html - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
O18 - Filter: text/plain - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll

Seguinte ... refaça o scan do HijackThis, e aonde eu "grifei" em negrito, vá selecionando. Muita atenção héin ?!

Feito isso, clique em Fix Checked. Depois, reinicie o PC e veja se está tudo Ok ...

Estando Ok ou não, volte à postar ... ... se não estiver, pode mandar um novo log ...

Obrigado e []’s Até mais

[Ciclana]

Poxa... fiz exatamente o que vc pediu, mas não deu certo não...

Abaixo vai o novo log...

Obrigada!!

Logfile of HijackThis v1.98.2
Scan saved at 13:25:22, on 02/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOINTGR.EXE
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe
C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
C:\Arquivos de programas\OpenOffice.org.br1.1.3\program\soffice.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\rundll32.exe
C:\Documents and Settings\Ana Claudia\Meus documentos\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0B4F8836-FAE9-412C-9B2C-F8B261C6AE26} - C:\WINNT\system32\kdob.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - Startup: Localização acelerada da Microsoft.lnk = C:\Arquivos de programas\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Inicialização do Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
O4 - Startup: OpenOffice.org.br 1.1.3.lnk = OpenOffice.org.br1.1.3\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O16 - DPF: {80279AFC-CF42-11D8-84C4-0008C7B96A56} (econt01.econtabil01) - http://www.centralde...TML/econt01.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol....tiveInstall.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pratica.local
O18 - Filter: text/html - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
O18 - Filter: text/plain - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll

[Paulo Freitas]

Hum ... interessante !!! ...

HeHeHe, pelo menos deve ter melhorado as popup's ...

Seguinte ... aparentemente, não há nada errado. Mas ... vamos tentar denovo.

Fiquei em dúvida nestas 3 entradas:

O2 - BHO: (no name) - {0B4F8836-FAE9-412C-9B2C-F8B261C6AE26} - C:\WINNT\system32\kdob.dll
O18 - Filter: text/html - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
O18 - Filter: text/plain - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll

Teria como você me enviar este arquivo por e-mail ?! Ele me parece suspeito ... ... pode ser ele o culpado disto. As configurações de seu Internet Explorer estão sendo resetadas após a reinicialização ...

E ... reparei que a versão do seu HijackThis está um pouco desatualizada. Você está usando a versão 1.98.2. Atualmente o programa se encontra na versão 1.99.1.

Você pode baixá-la clicando aqui ...

Às vezes isto faz diferença. Esta nova versão pode descobrir alguma coisa que a versão anterior não fazia. Isto pode até lhe ajudar à resolver a situação ...

PS: Não esquece de mandar aquele arquivo para mim ... vou analisá-lo aqui ... pode ser ele o "infrator".

Obrigado novamente e []’s Até mais

[Ciclana]

Aqui vai o novo log (do hijack atualizado...)

Estarei te enviando os arquivos "estranhos"...

Obrigada!!

Logfile of HijackThis v1.99.1
Scan saved at 14:13:04, on 02/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOINTGR.EXE
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe
C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
C:\Arquivos de programas\OpenOffice.org.br1.1.3\program\soffice.exe
C:\Arquivos de programas\Outlook Express\msimn.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
G:\Pgwf.exe
C:\WINNT\system32\W32MKDE.EXE
C:\Arquivos de programas\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0B4F8836-FAE9-412C-9B2C-F8B261C6AE26} - C:\WINNT\system32\kdob.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - Startup: Localização acelerada da Microsoft.lnk = C:\Arquivos de programas\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Inicialização do Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
O4 - Startup: OpenOffice.org.br 1.1.3.lnk = OpenOffice.org.br1.1.3\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O16 - DPF: {80279AFC-CF42-11D8-84C4-0008C7B96A56} (econt01.econtabil01) - http://www.centralde...TML/econt01.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol....tiveInstall.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pratica.local
O18 - Filter: text/html - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
O18 - Filter: text/plain - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MySql - Unknown owner - C:/Arquivos de programas/mysql/bin/mysqld-nt.exe (file missing)

[Vitor Alves]

deu uma busca e aparentemente o conteudo deste link pode lhe ajudar ciclana!

mas o vidaloka é meio que gênio em relação a trojans e spys...

[Paulo Freitas]

Opa ...

Acho que vamos conseguir acabar de vez !!!

Primeiro, olhando o novo log, encontrei uma chave que pode ser removida:

O23 - Service: MySql - Unknown owner - C:/Arquivos de programas/mysql/bin/mysqld-nt.exe (file missing)

Todos os programas que aparecerem file missing na frente pode dar um Fix checked sem medo ...

Seguinte ... dei mais uma pesquisa e foi o que eu pensei !!!

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0B4F8836-FAE9-412C-9B2C-F8B261C6AE26} - C:\WINNT\system32\kdob.dll
O18 - Filter: text/html - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
O18 - Filter: text/plain - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll

Dê um Fix Checked nas chaves acima também ... mas antes, faça o seguinte:

• Reinicie o PC e entre em Modo de Segurança, dando F8 no boot
• Finalize o processo explorer.exe e rundll32.exe, até que a tela suma e volte novamente.
• Faça um novo scan do HijackThis
• Daí então, remova as chaves citadas acima
• Reinicie o PC

Tenta aí ... ... se não der certo, não se preocupe, para tudo há uma solução ...

[]’s Até mais

[Ciclana]

Tá difícil, mas acho que vamos conseguir!!
Tentei te enviar o e-mail, mas dá o seguinte erro:

host gmail-smtp-in.l.google.com[64.233.185.27] said: 552
5.7.0 Illegal Attachment d6si535575wra (in reply to end of DATA command)

Só há algumas dúvidas...

- para reiniciar em modo de segurança, teclo o F8, mas não consigo me logar!! A senha diz que está incorreta (mas está certa) e não aparece o "fazer logon em"... como faço pra entrar no Windows sem me logar??

- outra coisa: não entendi o

Finalize o processo explorer.exe e rundll32.exe, até que a tela suma e volte novamente.

Como finalizo???

Desculpa a ignorância e mto obrigada pela paciência!!

[Paulo Freitas]

Opa ...

Quanto ao Gmail, ele não deve aceitar este tipo de arquivo ...

Bom, quanto à primeira dúvida, é a senha de administrador. Não é a mesma que você usa normalmente ?!

Já a segunda pergunta, rs, é o seguinte:

• Dê CTRL+ALT+DEL
• Na lista de processos, selecione o rundll32.exe e clique em Finalizar processo.
• Faça o mesmo com o processo explorer.exe.
• A tela irá sumir, como se tivesse dado logoff ... instantes depois vai reaparecer, como se tivesse dado logon.

À partir daí, roda o HijackThis e manda brasa ...

PS: Se não conseguir entrar em Modo de Segurança, tenta no Modo Normal mesmo ...

[]’s Até mais

[Ciclana]

Deu certo!!!!!

Não consegui finalizar o explorer.exe (estava demorando mto pra aparecer novamente - esperei por 5 minutos) então foi assim mesmo. E o rundll32 não aparecia...

Enfim, deu tudo certo agora!! Chega de ver aquele cachorrinho/demônio do AVG!!

Passei o Ad-aware agora e não achou nada tbém!!

Por via das dúvidas, estou te enviando (novamente) o log do HiJack...

Logfile of HijackThis v1.99.1
Scan saved at 15:30:56, on 02/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOINTGR.EXE
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe
C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
C:\Arquivos de programas\OpenOffice.org.br1.1.3\program\soffice.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Arquivos de programas\Outlook Express\msimn.exe
C:\Arquivos de programas\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.praticacontabil.com.br/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - Startup: Localização acelerada da Microsoft.lnk = C:\Arquivos de programas\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Inicialização do Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
O4 - Startup: OpenOffice.org.br 1.1.3.lnk = OpenOffice.org.br1.1.3\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O16 - DPF: {80279AFC-CF42-11D8-84C4-0008C7B96A56} (econt01.econtabil01) - http://www.centralde...TML/econt01.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol....tiveInstall.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pratica.local
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Tá tudo certinho agora, né??

Muito, muito obrigada!!!

[Paulo Freitas]

Opa ...

Certinho ...

Obrigado eu ... ... aprendi à me vingar de mais um spyware ...

Sempre que tiver problemas, pode postar o log do HijackThis aqui, será um prazer em lhe ajudar ...

[]’s Até mais

[Leone Fernandes]

Problema Resolvido!

Caso o autor necessite que seu tópico seja reaberto, entrar em contato com a equipe de moderação.