Trojan Horse Startpage.19.j
#1
Posted 02/06/2005, 10:18
Bem, sou mais uma vítima do trojan horse startpage.19.J... já vi algumas soluções para retirá-lo, mas como utilizo o Windows 2000 Professional, não consegui removê-lo.
Sou completamente leiga no assunto e gostaria imensamente de uma ajuda... seria possível???
Muito obrigada!!!
#2
Posted 02/06/2005, 10:31
Tente usar scans online para removê-lo ... costumam funcionar ...
Os melhores são estes:[]’s Até mais
#3
Posted 02/06/2005, 10:50
No primeiro, deu um erro de ActiveX...
No segundo, não estou autorizada a ver a página...
Mais sugestões??
Não sei se vai ajudar, mas abaixo está o log do HiJackThis...
Logfile of HijackThis v1.98.2
Scan saved at 10:31:48, on 02/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOINTGR.EXE
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe
C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
C:\Arquivos de programas\OpenOffice.org.br1.1.3\program\soffice.exe
C:\Arquivos de programas\Outlook Express\msimn.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
G:\Pgwf.exe
C:\WINNT\system32\W32MKDE.EXE
C:\Documents and Settings\Ana Claudia\Meus documentos\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2sea...sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - {707B55BD-15D7-7E26-5B0A-5781DE1B00AA} - C:\WINNT\Vtjwqvxh.dll (file missing)
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O1 - Hosts: 216.130.185.143 websearch.com216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.websearch.com
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.websearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0B4F8836-FAE9-412C-9B2C-F8B261C6AE26} - C:\WINNT\system32\kdob.dll
O2 - BHO: (no name) - {2AB92A90-F2DD-39B9-208E-E3B254B0C515} - C:\WINNT\Vtjwqvxh.dll (file missing)
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Arquivos de programas\WS_FTP Pro\wsbho2k0.dll (file missing)
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - (no file)
O3 - Toolbar: Search - {950173FA-78BE-C5B3-B24C-4D545D51ABDD} - C:\WINNT\Vtjwqvxh.dll (file missing)
O3 - Toolbar: Barra de Ferramentas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Toolbar\01.01.1601.0\pt-br\msntb.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [dgrgh] C:\DOCUME~1\ANACLA~1\DADOSD~1\quqglbll.exe -QuieT
O4 - HKLM\..\Run: [hoadgbw] C:\WINNT\kjberup.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - Startup: Localização acelerada da Microsoft.lnk = C:\Arquivos de programas\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Inicialização do Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
O4 - Startup: OpenOffice.org.br 1.1.3.lnk = OpenOffice.org.br1.1.3\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O16 - DPF: {80279AFC-CF42-11D8-84C4-0008C7B96A56} (econt01.econtabil01) - http://www.centralde...TML/econt01.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol....tiveInstall.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pratica.local
O18 - Filter: text/html - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
O18 - Filter: text/plain - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
#4
Posted 02/06/2005, 13:03
Seguinte ... o HijackThis não faz muito milagre, mas pelo menos ele inabilita a maior parte das pragras ...
Bom, vamos lá ... primeiro vou analisar e "grifar" ...
Seguinte ... refaça o scan do HijackThis, e aonde eu "grifei" em negrito, vá selecionando. Muita atenção héin ?!Logfile of HijackThis v1.98.2
Scan saved at 10:31:48, on 02/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOINTGR.EXE
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe
C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
C:\Arquivos de programas\OpenOffice.org.br1.1.3\program\soffice.exe
C:\Arquivos de programas\Outlook Express\msimn.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
G:\Pgwf.exe
C:\WINNT\system32\W32MKDE.EXE
C:\Documents and Settings\Ana Claudia\Meus documentos\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2sea...sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - {707B55BD-15D7-7E26-5B0A-5781DE1B00AA} - C:\WINNT\Vtjwqvxh.dll (file missing)
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O1 - Hosts: 216.130.185.143 websearch.com216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.websearch.com
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.websearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0B4F8836-FAE9-412C-9B2C-F8B261C6AE26} - C:\WINNT\system32\kdob.dll
O2 - BHO: (no name) - {2AB92A90-F2DD-39B9-208E-E3B254B0C515} - C:\WINNT\Vtjwqvxh.dll (file missing)
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - (no file)
O2 - BHO: (no name) - } - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Arquivos de programas\WS_FTP Pro\wsbho2k0.dll (file missing)
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - (no file)
O3 - Toolbar: Search - {950173FA-78BE-C5B3-B24C-4D545D51ABDD} - C:\WINNT\Vtjwqvxh.dll (file missing)
O3 - Toolbar: Barra de Ferramentas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Arquivos de programas\MSN Toolbar\01.01.1601.0\pt-br\msntb.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [dgrgh] C:\DOCUME~1\ANACLA~1\DADOSD~1\quqglbll.exe -QuieT
O4 - HKLM\..\Run: [hoadgbw] C:\WINNT\kjberup.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - Startup: Localização acelerada da Microsoft.lnk = C:\Arquivos de programas\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Inicialização do Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
O4 - Startup: OpenOffice.org.br 1.1.3.lnk = OpenOffice.org.br1.1.3\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O16 - DPF: {80279AFC-CF42-11D8-84C4-0008C7B96A56} (econt01.econtabil01) - http://www.centralde...TML/econt01.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol....tiveInstall.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pratica.local
O18 - Filter: text/html - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
O18 - Filter: text/plain - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
Feito isso, clique em Fix Checked. Depois, reinicie o PC e veja se está tudo Ok ...
Estando Ok ou não, volte à postar ... ... se não estiver, pode mandar um novo log ...
Obrigado e []s Até mais
#5
Posted 02/06/2005, 13:27
Abaixo vai o novo log...
Obrigada!!
Logfile of HijackThis v1.98.2
Scan saved at 13:25:22, on 02/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOINTGR.EXE
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe
C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
C:\Arquivos de programas\OpenOffice.org.br1.1.3\program\soffice.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\rundll32.exe
C:\Documents and Settings\Ana Claudia\Meus documentos\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0B4F8836-FAE9-412C-9B2C-F8B261C6AE26} - C:\WINNT\system32\kdob.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - Startup: Localização acelerada da Microsoft.lnk = C:\Arquivos de programas\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Inicialização do Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
O4 - Startup: OpenOffice.org.br 1.1.3.lnk = OpenOffice.org.br1.1.3\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O16 - DPF: {80279AFC-CF42-11D8-84C4-0008C7B96A56} (econt01.econtabil01) - http://www.centralde...TML/econt01.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol....tiveInstall.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pratica.local
O18 - Filter: text/html - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
O18 - Filter: text/plain - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
#6
Posted 02/06/2005, 14:08
HeHeHe, pelo menos deve ter melhorado as popup's ...
Seguinte ... aparentemente, não há nada errado. Mas ... vamos tentar denovo.
Fiquei em dúvida nestas 3 entradas:
Teria como você me enviar este arquivo por e-mail ?! Ele me parece suspeito ... ... pode ser ele o culpado disto. As configurações de seu Internet Explorer estão sendo resetadas após a reinicialização ...O2 - BHO: (no name) - {0B4F8836-FAE9-412C-9B2C-F8B261C6AE26} - C:\WINNT\system32\kdob.dll
O18 - Filter: text/html - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
O18 - Filter: text/plain - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
E ... reparei que a versão do seu HijackThis está um pouco desatualizada. Você está usando a versão 1.98.2. Atualmente o programa se encontra na versão 1.99.1.
Você pode baixá-la clicando aqui ...
Às vezes isto faz diferença. Esta nova versão pode descobrir alguma coisa que a versão anterior não fazia. Isto pode até lhe ajudar à resolver a situação ...
PS: Não esquece de mandar aquele arquivo para mim ... vou analisá-lo aqui ... pode ser ele o "infrator".
Obrigado novamente e []s Até mais
#7
Posted 02/06/2005, 14:15
Estarei te enviando os arquivos "estranhos"...
Obrigada!!
Logfile of HijackThis v1.99.1
Scan saved at 14:13:04, on 02/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOINTGR.EXE
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe
C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
C:\Arquivos de programas\OpenOffice.org.br1.1.3\program\soffice.exe
C:\Arquivos de programas\Outlook Express\msimn.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
G:\Pgwf.exe
C:\WINNT\system32\W32MKDE.EXE
C:\Arquivos de programas\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0B4F8836-FAE9-412C-9B2C-F8B261C6AE26} - C:\WINNT\system32\kdob.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - Startup: Localização acelerada da Microsoft.lnk = C:\Arquivos de programas\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Inicialização do Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
O4 - Startup: OpenOffice.org.br 1.1.3.lnk = OpenOffice.org.br1.1.3\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O16 - DPF: {80279AFC-CF42-11D8-84C4-0008C7B96A56} (econt01.econtabil01) - http://www.centralde...TML/econt01.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol....tiveInstall.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pratica.local
O18 - Filter: text/html - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
O18 - Filter: text/plain - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MySql - Unknown owner - C:/Arquivos de programas/mysql/bin/mysqld-nt.exe (file missing)
#8
Posted 02/06/2005, 14:31
mas o vidaloka é meio que gênio em relação a trojans e spys...
#9
Posted 02/06/2005, 14:39
Acho que vamos conseguir acabar de vez !!!
Primeiro, olhando o novo log, encontrei uma chave que pode ser removida:
Todos os programas que aparecerem file missing na frente pode dar um Fix checked sem medo ...O23 - Service: MySql - Unknown owner - C:/Arquivos de programas/mysql/bin/mysqld-nt.exe (file missing)
Seguinte ... dei mais uma pesquisa e foi o que eu pensei !!!
Dê um Fix Checked nas chaves acima também ... mas antes, faça o seguinte:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0B4F8836-FAE9-412C-9B2C-F8B261C6AE26} - C:\WINNT\system32\kdob.dll
O18 - Filter: text/html - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
O18 - Filter: text/plain - {650CF767-55DC-4FBB-B973-5410BFC9AA99} - C:\WINNT\system32\kdob.dll
- Reinicie o PC e entre em Modo de Segurança, dando F8 no boot
- Finalize o processo explorer.exe e rundll32.exe, até que a tela suma e volte novamente.
- Faça um novo scan do HijackThis
- Daí então, remova as chaves citadas acima
- Reinicie o PC
[]’s Até mais
#10
Posted 02/06/2005, 14:46
Tentei te enviar o e-mail, mas dá o seguinte erro:
host gmail-smtp-in.l.google.com[64.233.185.27] said: 552
5.7.0 Illegal Attachment d6si535575wra (in reply to end of DATA command)
Só há algumas dúvidas...
- para reiniciar em modo de segurança, teclo o F8, mas não consigo me logar!! A senha diz que está incorreta (mas está certa) e não aparece o "fazer logon em"... como faço pra entrar no Windows sem me logar??
- outra coisa: não entendi o
Como finalizo???Finalize o processo explorer.exe e rundll32.exe, até que a tela suma e volte novamente.
Desculpa a ignorância e mto obrigada pela paciência!!
#11
Posted 02/06/2005, 15:03
Quanto ao Gmail, ele não deve aceitar este tipo de arquivo ...
Bom, quanto à primeira dúvida, é a senha de administrador. Não é a mesma que você usa normalmente ?!
Já a segunda pergunta, rs, é o seguinte:
- Dê CTRL+ALT+DEL
- Na lista de processos, selecione o rundll32.exe e clique em Finalizar processo.
- Faça o mesmo com o processo explorer.exe.
- A tela irá sumir, como se tivesse dado logoff ... instantes depois vai reaparecer, como se tivesse dado logon.
PS: Se não conseguir entrar em Modo de Segurança, tenta no Modo Normal mesmo ...
[]’s Até mais
#12
Posted 02/06/2005, 15:32
Não consegui finalizar o explorer.exe (estava demorando mto pra aparecer novamente - esperei por 5 minutos) então foi assim mesmo. E o rundll32 não aparecia...
Enfim, deu tudo certo agora!! Chega de ver aquele cachorrinho/demônio do AVG!!
Passei o Ad-aware agora e não achou nada tbém!!
Por via das dúvidas, estou te enviando (novamente) o log do HiJack...
Logfile of HijackThis v1.99.1
Scan saved at 15:30:56, on 02/06/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOINTGR.EXE
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe
C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
C:\Arquivos de programas\OpenOffice.org.br1.1.3\program\soffice.exe
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Arquivos de programas\Outlook Express\msimn.exe
C:\Arquivos de programas\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.praticacontabil.com.br/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - Startup: Localização acelerada da Microsoft.lnk = C:\Arquivos de programas\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Inicialização do Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA.EXE
O4 - Startup: OpenOffice.org.br 1.1.3.lnk = OpenOffice.org.br1.1.3\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O16 - DPF: {80279AFC-CF42-11D8-84C4-0008C7B96A56} (econt01.econtabil01) - http://www.centralde...TML/econt01.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn...pdownloader.cab
O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol....tiveInstall.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pratica.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pratica.local
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Serviço administrativo do gerenciador de disco lógico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
Tá tudo certinho agora, né??
Muito, muito obrigada!!!
#13
Posted 02/06/2005, 15:34
Certinho ...
Obrigado eu ... ... aprendi à me vingar de mais um spyware ...
Sempre que tiver problemas, pode postar o log do HijackThis aqui, será um prazer em lhe ajudar ...
[]’s Até mais
#14
Posted 24/01/2009, 14:36
Caso o autor necessite que seu tópico seja reaberto, entrar em contato com a equipe de moderação.
0 user(s) are reading this topic
0 membro(s), 0 visitante(s) e 0 membros anônimo(s)