1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.
  2. A secção Microsoft/Windows encontra-se actualmente em processo de reestruturação.
    Remover anúncio

ajuda: aviso irritante no arranque do windows(wmsncs.exe)

Discussão em 'Windows 7 e anteriores' iniciada por neurotico, 12 de Novembro de 2008. (Respostas: 11; Visualizações: 1557)

  1. neurotico

    neurotico Power Member

    Boas

    Um dia destes quando corri o avg apareceu-me este ficheiro identificado como spyware.
    De seguida eliminei-o e até ai tudo bem. Agora cada vez que inicio o pc aparece-me uma mensagem a dizer que não encontra o ficheiro. Tentei ir ao avg repô-lo mas continuou tudo na mesma.
    Fui ver os programas de arranque do windows e este ficheiro estava a correr supostamente em três sítios dentro da pasta do Windows. De seguida desmarquei-os todos e reeniciei, mas mantem-se tudo na mesma.
    Já fui ver os caminhos que me eram mostrados onde o ficheiro poderia estar mas não está lá nada, aliás é mesmo isso que ele me avisa.
    O aviso que me aparece só refere um sítio, que é o seguinte: c:\WINDOWS\Fonts\wmsncs.exe

    Agradecia ajuda se possivel pois isto já se está a tornar irritante cada vez que inicio o pc.

    Desde já obrigado
    cumps
     
  2. Boleador

    Boleador Power Member

    Boas

    Antes de mais qual o SO? Windows XP?Windows Vista?
    Tenta com uma recuperação através do CD do SO, ou mesmo usa o restauro para um dia antes de teres eliminado do ficheiro.
     
  3. neurotico

    neurotico Power Member

    O sistema operativo é o xp.
    Por incrivel que pareça esqueci-me de tentar o restauro.
    Vou ver isso depois dido algo.

    Muito obrigado
     
  4. Blue Zee

    Blue Zee Power Member

    É malware.

    Descarregue o HijackThis v. 2.0.2 daqui (use o Installer):
    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    Instale e arranque o programa usando o ícone criado no ambiente de trabalho.

    Clique Do a System Scan and Save a Log File.

    Quando o scan acabar será criado um ficheiro de texto com o seu log.

    Copie o log e coloque-o aqui.

    NÃO
    tente usar o HJT para qualquer limpeza sem ajuda.

    Logo que coloque o log veremos como prosseguir.

    Zee
     
  5. neurotico

    neurotico Power Member

    ok vou fazer isso e já posto aqui.
    Seja como for o pc também não me deixava fazer o restauro, não sei porquê.
     
  6. neurotico

    neurotico Power Member

    Aqui vai o que deu:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:16:27, on 12-11-2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Normal
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\explorer.exe
    C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\Programas\CyberLink\Shared files\RichVideo.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\AVG\AVG8\avgam.exe
    C:\PROGRA~1\AVG\AVG8\avgrsx.exe
    C:\PROGRA~1\AVG\AVG8\avgnsx.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programas\AVG\AVG8\avgtray.exe
    C:\Programas\Internet Explorer\iexplore.exe
    C:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Programas\Trend Micro\HijackThis\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pt/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
    F2 - REG:system.ini: Shell=explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe"
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programas\AVG\AVG8\avgssie.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programa Auxiliar de Início de Sessão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Easy PrintScreen] C:\PROGRA~1\EASYPR~1\EASYPR~1.EXE
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIÇO LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Serviço de rede')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] C:\WINDOWS\system32\spool\drivers\wmsncs.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Wins Service] C:\WINDOWS\system32\wins\wmsncs.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1221602382453
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programas\AVG\AVG8\avgpp.dll
    O20 - AppInit_DLLs: avgrsstx.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programas\Ficheiros comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Advance Service Process - Unknown owner - C:\Programas\Ficheiros comuns\System\MSASP32.exe (file missing)
    O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    O23 - Service: NET Runtime Optimization Service v2.1.41329_X86 - Unknown owner - C:\WINDOWS\Fonts\wmsncs.exe (file missing)
    O23 - Service: nservice - Unknown owner - C:\WINDOWS\System32\nservice.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programas\CyberLink\Shared files\RichVideo.exe
    --
    End of file - 4723 bytes
     
  7. Boleador

    Boleador Power Member

    :offtopic:

    Zee como sabes qual a linha a fazer "FIX".

    Usas o site www.HijackThis.de certo?

    Normalmente quando uso o
    HijackThis removo sempre o que me aparece como "nasty.
    Até agora não tive problemas com as minhas escolhas, mas não sei de facto estou a fazer o correcto!

    Que critérios normalmente usas?

    Desde já agradeço
     
  8. Lusitanius

    Lusitanius Suspenso

    A linha é esta

    F2 - REG:system.ini: Shell=explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe"

    Atenção que esse ficheiro era mesmo vírus, pois dentro da pasta Fonts do Windows não existem executáveis.
     
  9. Blue Zee

    Blue Zee Power Member

    Comece por criar um ponto de restauro fresco.

    Descarregue e instale os seguintes programas:

    A versão Slim do CCleaner (sem toolbar, em Inglês):
    http://www.ccleaner.com/download/builds.aspx

    SUPERAntiSpyware FREE

    Depois de instalados os programas acima, reinicie em Modo de Segurança depois de pressionar F8 ao arrancar o sistema, faça um scan com o HJT e seleccione as seguintes entradas para limpar com o HJT (clique no quadradinho à esquerda de cada uma):
    Código:
    F2 - REG:system.ini: Shell=explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe"
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] C:\WINDOWS\system32\spool\drivers\wmsncs.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Wins Service] C:\WINDOWS\system32\wins\wmsncs.exe (User 'SYSTEM')
    O23 - Service: Advance Service Process - Unknown owner - C:\Programas\Ficheiros comuns\System\MSASP32.exe (file missing)
    O23 - Service: NET Runtime Optimization Service v2.1.41329_X86 - Unknown owner - C:\WINDOWS\Fonts\wmsncs.exe (file missing)
    O23 - Service: nservice - Unknown owner - C:\WINDOWS\System32\nservice.exe (file missing)
    
    Faça a limpeza clicando em Fix checked, confirme se necessário e encerre o HJT.

    Reinicie o sistema de novo em Modo de Segurança.

    Assegure-se que pode ver todas as pastas e ficheiros, e apague os ficheiros, se existirem:

    C:\WINDOWS\Fonts\wmsncs.exe
    C:\WINDOWS\system32\spool\drivers\wmsncs.exe
    C:\Programas\Ficheiros comuns\System\MSASP32.exe
    C:\WINDOWS\System32\nservice.exe

    Apague ainda a pasta:

    C:\WINDOWS\system32\wins

    Arranque com o CCleaner usando o ícone no ambiente de trabalho, seleccione todas as entradas nos separadores Windows e Applications e clique no botão Run cleaner.

    Terminada a limpeza reinicie o sistema em Modo Normal.

    Arranque o SUPERAntiSpyware utilizando o ícone criado no ambiente de trabalho.

    Actualize as definições clicando no botão Check for Updates...

    Terminada a actualização clique em Preferences, depois no separador Scanning Control, em Scanner Options, assegure-se que selecciona

    - Close browsers before scanning.
    - Scan for tracking cookies.
    - Terminate memory threats before quarantining.

    E desmarque todos os outros. Agora clique em Close para sair deste menu.

    Clique em Scan your Computer..., seleccione Perform Complete Scan, clique em Next e aguarde pacientemente até lhe ser apresentado um relatório dos itens encontrados. Clique em OK e Next para confirmar a limpeza.

    Encerre o programa, reinicie o PC e teste.

    Diga-nos se resultou.

    Zee



    P.S.: Se estiver a usar o Spybot S&D e o SpywareBlaster, desactive as imunizações antes de fazer o scan com o SUPERAntiSpyware.
     
    Última edição: 12 de Novembro de 2008
  10. neurotico

    neurotico Power Member

    Fonix, até fiquei maluco com a explicação.
    Dei uma vista de olhos e talvez consiga fazer isso tudo.:confused:
    Vou exprimentar isso mas não agora que tenho deveres familiares para cumprir.lol

    Amanhã digo alguma coisa
    Muito obrigado
     
  11. neurotico

    neurotico Power Member

    Quem sabe, sabe e mais nada.
    Muito obrigado Zee.
    Segui as intruções passo a passo e correu tudo bem, eliminei aquela treta e muitas outras que para cá andavam, portanto obrigado também pela limpeza geral.
    Tens que abrir uma empresa de limpeza informática á distância.:007:
    O meu obrigado também a todos os users que tentaram ajudar de variadas maneiras, dando as suas opiniões.

    Cumprimentos e a malta vai andando por aí.
     
  12. Blue Zee

    Blue Zee Power Member

    Obrigado pelo feedback e comentários simpáticos.;)

    Zee
     

Partilhar esta Página