ajuda: aviso irritante no arranque do windows(wmsncs.exe)

[neurotico]

Boas

Um dia destes quando corri o avg apareceu-me este ficheiro identificado como spyware.
De seguida eliminei-o e até ai tudo bem. Agora cada vez que inicio o pc aparece-me uma mensagem a dizer que não encontra o ficheiro. Tentei ir ao avg repô-lo mas continuou tudo na mesma.
Fui ver os programas de arranque do windows e este ficheiro estava a correr supostamente em três sítios dentro da pasta do Windows. De seguida desmarquei-os todos e reeniciei, mas mantem-se tudo na mesma.
Já fui ver os caminhos que me eram mostrados onde o ficheiro poderia estar mas não está lá nada, aliás é mesmo isso que ele me avisa.
O aviso que me aparece só refere um sítio, que é o seguinte: c:\WINDOWS\Fonts\wmsncs.exe

Agradecia ajuda se possivel pois isto já se está a tornar irritante cada vez que inicio o pc.

Desde já obrigado
cumps

 

[Boleador]

Boas

Um dia destes quando corri o avg apareceu-me este ficheiro identificado como spyware.
De seguida eliminei-o e até ai tudo bem. Agora cada vez que inicio o pc aparece-me uma mensagem a dizer que não encontra o ficheiro. Tentei ir ao avg repô-lo mas continuou tudo na mesma.
Fui ver os programas de arranque do windows e este ficheiro estava a correr supostamente em três sítios dentro da pasta do Windows. De seguida desmarquei-os todos e reeniciei, mas mantem-se tudo na mesma.
Já fui ver os caminhos que me eram mostrados onde o ficheiro poderia estar mas não está lá nada, aliás é mesmo isso que ele me avisa.
O aviso que me aparece só refere um sítio, que é o seguinte: c:\WINDOWS\Fonts\wmsncs.exe

Agradecia ajuda se possivel pois isto já se está a tornar irritante cada vez que inicio o pc.

Desde já obrigado
cumps

Boas

Antes de mais qual o SO? Windows XP?Windows Vista?
Tenta com uma recuperação através do CD do SO, ou mesmo usa o restauro para um dia antes de teres eliminado do ficheiro.

 

[neurotico]

O sistema operativo é o xp.
Por incrivel que pareça esqueci-me de tentar o restauro.
Vou ver isso depois dido algo.

Muito obrigado

 

[Blue Zee]

É malware.

Descarregue o HijackThis v. 2.0.2 daqui (use o Installer):
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

Instale e arranque o programa usando o ícone criado no ambiente de trabalho.

Clique Do a System Scan and Save a Log File.

Quando o scan acabar será criado um ficheiro de texto com o seu log.

Copie o log e coloque-o aqui.

NÃO tente usar o HJT para qualquer limpeza sem ajuda.

Logo que coloque o log veremos como prosseguir.

Zee

 

[neurotico]

ok vou fazer isso e já posto aqui.
Seja como for o pc também não me deixava fazer o restauro, não sei porquê.

 

[neurotico]

Aqui vai o que deu:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:16:27, on 12-11-2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programas\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programas\AVG\AVG8\avgtray.exe
C:\Programas\Internet Explorer\iexplore.exe
C:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programas\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pt/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
F2 - REG:system.ini: Shell=explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe"
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programas\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programa Auxiliar de Início de Sessão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Easy PrintScreen] C:\PROGRA~1\EASYPR~1\EASYPR~1.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Serviço de rede')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] C:\WINDOWS\system32\spool\drivers\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Wins Service] C:\WINDOWS\system32\wins\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1221602382453
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programas\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programas\Ficheiros comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Advance Service Process - Unknown owner - C:\Programas\Ficheiros comuns\System\MSASP32.exe (file missing)
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: NET Runtime Optimization Service v2.1.41329_X86 - Unknown owner - C:\WINDOWS\Fonts\wmsncs.exe (file missing)
O23 - Service: nservice - Unknown owner - C:\WINDOWS\System32\nservice.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programas\CyberLink\Shared files\RichVideo.exe
--
End of file - 4723 bytes

 

[Boleador]

Zee como sabes qual a linha a fazer "FIX".

Usas o site www.HijackThis.de certo?

Normalmente quando uso o HijackThis removo sempre o que me aparece como "nasty.
Até agora não tive problemas com as minhas escolhas, mas não sei de facto estou a fazer o correcto!

Que critérios normalmente usas?

Desde já agradeço

 

[Lusitanius]

A linha é esta

F2 - REG:system.ini: Shell=explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe"

Atenção que esse ficheiro era mesmo vírus, pois dentro da pasta Fonts do Windows não existem executáveis.

 

[Blue Zee]

Comece por criar um ponto de restauro fresco.

Descarregue e instale os seguintes programas:

A versão Slim do CCleaner (sem toolbar, em Inglês):
http://www.ccleaner.com/download/builds.aspx

SUPERAntiSpyware FREE

Depois de instalados os programas acima, reinicie em Modo de Segurança depois de pressionar F8 ao arrancar o sistema, faça um scan com o HJT e seleccione as seguintes entradas para limpar com o HJT (clique no quadradinho à esquerda de cada uma):

F2 - REG:system.ini: Shell=explorer.exe "C:\WINDOWS\Fonts\wmsncs.exe"
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] C:\WINDOWS\system32\spool\drivers\wmsncs.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Wins Service] C:\WINDOWS\system32\wins\wmsncs.exe (User 'SYSTEM')
O23 - Service: Advance Service Process - Unknown owner - C:\Programas\Ficheiros comuns\System\MSASP32.exe (file missing)
O23 - Service: NET Runtime Optimization Service v2.1.41329_X86 - Unknown owner - C:\WINDOWS\Fonts\wmsncs.exe (file missing)
O23 - Service: nservice - Unknown owner - C:\WINDOWS\System32\nservice.exe (file missing)

Faça a limpeza clicando em Fix checked, confirme se necessário e encerre o HJT.

Reinicie o sistema de novo em Modo de Segurança.

Assegure-se que pode ver todas as pastas e ficheiros, e apague os ficheiros, se existirem:

C:\WINDOWS\Fonts\wmsncs.exe
C:\WINDOWS\system32\spool\drivers\wmsncs.exe
C:\Programas\Ficheiros comuns\System\MSASP32.exe
C:\WINDOWS\System32\nservice.exe

Apague ainda a pasta:

C:\WINDOWS\system32\wins

Arranque com o CCleaner usando o ícone no ambiente de trabalho, seleccione todas as entradas nos separadores Windows e Applications e clique no botão Run cleaner.

Terminada a limpeza reinicie o sistema em Modo Normal.

Arranque o SUPERAntiSpyware utilizando o ícone criado no ambiente de trabalho.

Actualize as definições clicando no botão Check for Updates...

Terminada a actualização clique em Preferences, depois no separador Scanning Control, em Scanner Options, assegure-se que selecciona

- Close browsers before scanning.
- Scan for tracking cookies.
- Terminate memory threats before quarantining.

E desmarque todos os outros. Agora clique em Close para sair deste menu.

Clique em Scan your Computer..., seleccione Perform Complete Scan, clique em Next e aguarde pacientemente até lhe ser apresentado um relatório dos itens encontrados. Clique em OK e Next para confirmar a limpeza.

Encerre o programa, reinicie o PC e teste.

Diga-nos se resultou.

Zee



P.S.: Se estiver a usar o Spybot S&D e o SpywareBlaster, desactive as imunizações antes de fazer o scan com o SUPERAntiSpyware.

 

[neurotico]

Fonix, até fiquei maluco com a explicação.
Dei uma vista de olhos e talvez consiga fazer isso tudo.
Vou exprimentar isso mas não agora que tenho deveres familiares para cumprir.lol

Amanhã digo alguma coisa
Muito obrigado

 

[neurotico]

Quem sabe, sabe e mais nada.
Muito obrigado Zee.
Segui as intruções passo a passo e correu tudo bem, eliminei aquela treta e muitas outras que para cá andavam, portanto obrigado também pela limpeza geral.
Tens que abrir uma empresa de limpeza informática á distância.
O meu obrigado também a todos os users que tentaram ajudar de variadas maneiras, dando as suas opiniões.

Cumprimentos e a malta vai andando por aí.

 

[Blue Zee]

Obrigado pelo feedback e comentários simpáticos.

Zee