1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.
  2. A secção Microsoft/Windows encontra-se actualmente em processo de reestruturação.
    Remover anúncio

"autorun.inf" - virus desconhecido

Discussão em 'Windows 7 e anteriores' iniciada por edusantos, 13 de Setembro de 2008. (Respostas: 19; Visualizações: 1450)

  1. edusantos

    edusantos Power Member

    Viva!

    Recentemente fiquei com o PC infectado por mais um daqueles malditos virus de inicialização que se espalham através de pendrives... :(

    Já tive alguns destes "bichos", aqui no PC, como o tel.xls.exe (Trojan.Win32.VB.atg | Win32/Dzan | Worm_vb.bnr), que consegui remover sem problemas com a seguinte ferramenta:
    http://www.hgcomo.org/Site/index.php?option=com_content&task=view&id=18&Itemid=1&date=2007-11-01

    -------

    O primeiro problema, está no facto de existirem centenas de virus destes. E ainda não encontrei o nome deste. O que tem dificultado a pesquisa.

    O autorun.inf está alojado em todas as unidades do computador e teima em não desaparecer. Juntamente com ele encontra-se um ficheiro executável (.exe) que a cada vez que o computador é reiniciado gera um nome/caracteres diferentes. Se o ficheiro .exe tivesse um nome específico ajudava e muito... arrr >(

    Exemplo de nome do .exe:
    zecldyntl.exe
    ertmytra.exe
    etc...
    A pendrive formatei sem problemas, e está limpinha. :004:

    Já editei o registo do windows e apaguei chaves suspeitas, já eliminei processos, já apaguei entradas do arranque do windows, inclusive através do registo, atraves do crap cleaner, e através do comando msconfig, e NADA!

    Os ficheiros teimam em reaparecer. >(

    Experimentei utilizar a ferramenta PenCleaner, e aquilo só removeu o autorun.inf, no relatório final diz que o nome de código do virus é: W32.Resik.A (Small.i)

    Mas pelas pesquisas que vi os sintomas são totalmente diferentes. (a pencleaner detectou o autorun.inf e deduziu que o virus alojado no meu pc se tratava do W32.Resik.A (Small.i), visto ser a unica coisa em comum, terem um ficheiro chamado autorun.inf deve ter "confundido")... :p Mas o W32.Resik.A não é o virus que tenho no meu PC isso tenho eu certeza absoluta.

    Aqui está o log do hijackthis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:39:04, on 13-09-2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Programas\Unlocker\UnlockerAssistant.exe
    D:\Programas\SAGEM\SAGEM [email protected] 800-840 E4\dslmon.exe
    D:\WINDOWS\System32\wuauclt.exe
    D:\WINDOWS\explorer.exe
    D:\WINDOWS\System32\autorunez.exe
    D:\Programas\Mozilla Firefox\firefox.exe
    D:\WINDOWS\system32\NOTEPAD.EXE
    D:\Programas\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sapo.pt
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sapo.pt/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
    F2 - REG:system.ini: Shell=explorer.exe "D:\WINDOWS\Fonts\wmsncs.exe"
    O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Wmsncs Service] D:\WINDOWS\Fonts\wmsncs.exe
    O4 - HKLM\..\Run: [NvidMediaCenter] D:\Programas\Ficheiros comuns\System\wmsncs.exe
    O4 - HKLM\..\Run: [Spool Driver Service] D:\WINDOWS\System32\spool\drivers\wmsncs.exe
    O4 - HKLM\..\Run: [Wins Service] D:\WINDOWS\System32\wins\wmsncs.exe
    O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Programas\Unlocker\UnlockerAssistant.exe"
    O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
    O4 - HKLM\..\Run: [Autorun233] autorunez.exe
    O4 - HKLM\..\RunServices: [Autorun233] autorunez.exe
    O4 - HKLM\..\RunOnce: [Autorun233] autorunez.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] D:\WINDOWS\System32\spool\drivers\wmsncs.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [Wins Service] D:\WINDOWS\System32\wins\wmsncs.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [ttool] D:\WINDOWS\9129837.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [Autorun233] autorunez.exe (User '?')
    O4 - HKUS\S-1-5-18\..\RunOnce: [Autorun233] autorunez.exe (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [Autorun233] autorunez.exe (User 'Default user')
    O4 - Global Startup: DSLMON.lnk = D:\Programas\SAGEM\SAGEM [email protected] 800-840 E4\dslmon.exe
    O4 - Global Startup: wmsncs.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3092C0C8-B9AD-4D10-95FF-709D56F445A4}: NameServer = 212.55.154.174 212.55.154.190
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3092C0C8-B9AD-4D10-95FF-709D56F445A4}: NameServer = 212.55.154.174 212.55.154.190

    --
    End of file - 3613 bytes

    Lembrar que tenho duas instalações do Windows XP. Ambas infectadas com o mesmo virus.

    As informações que dei possivelmente não devem ser muito uteis para resolver o problema mas é uma luz... :P

    Vou googlar mais um pouco para ver se encontro algo.

    Cumprimentos
     
  2. Ruimofernandes

    Ruimofernandes Power Member

    Boas! eu nao confio la muito neste
    HKUS\S-1-5-18\..\Run: [Autorun233] autorunez.exe

    com o hijackthis tenta fzer fix nos autorunez

    abraço espero ajudar
     
  3. Blue Zee

    Blue Zee Power Member

    Sinceramente não me admira a infecção, ainda tem o XP apenas com o SP1 e o IE6 com uma versão fora de prazo.

    O SP3 do XP e o IE7 são actualizações obrigatórias, mas antes disso vamos ao log do HJT.

    Descarregue e instale os seguintes programas:

    A versão Slim do CCleaner (sem toolbar, em Inglês):
    http://www.ccleaner.com/download/builds.aspx

    SUPERAntiSpyware FREE

    Depois de instalados os programas acima, reinicie em Modo de Segurança depois de pressionar F8 ao arrancar o sistema e seleccione as seguintes entradas para limpar com o HJT (clique no quadradinho à esquerda de cada uma):

    F2 - REG:system.ini: Shell=explorer.exe "D:\WINDOWS\Fonts\wmsncs.exe"
    O4 - HKLM\..\Run: [Wmsncs Service] D:\WINDOWS\Fonts\wmsncs.exe

    O4 - HKLM\..\Run: [Wins Service] D:\WINDOWS\System32\wins\wmsncs.exe
    O4 - HKLM\..\Run: [Autorun233] autorunez.exe
    O4 - HKLM\..\RunServices: [Autorun233] autorunez.exe
    O4 - HKLM\..\RunOnce: [Autorun233] autorunez.exe
    O4 - HKUS\S-1-5-18\..\Run: [Wins Service] D:\WINDOWS\System32\wins\wmsncs.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [ttool] D:\WINDOWS\9129837.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [Autorun233] autorunez.exe (User '?')
    O4 - HKUS\S-1-5-18\..\RunOnce: [Autorun233] autorunez.exe (User '?')
    O4 - HKUS\.DEFAULT\..\RunOnce: [Autorun233] autorunez.exe (User 'Default user')
    O4 - Global Startup: wmsncs.exe

    Faça a limpeza clicando em Fix checked e reinicie o sistema de novo em Modo de Segurança.

    Assegure-se que pode ver todas as pastas e ficheiros, e apague os seguintes ficheiros:

    D:\WINDOWS\Fonts\wmsncs.exe
    D:\WINDOWS\System32\wins\wmsncs.exe
    D:\WINDOWS\9129837.exe
    D:\WINDOWS\System32\autorunez.exe

    Arranque com o CCleaner usando o ícone no ambiente de trabalho, seleccione todas as entradas nos separadores Windows e Applications e clique no botão Run cleaner.

    Terminada a limpeza reinicie o sistema em Modo Normal.

    Arranque o SUPERAntiSpyware utilizando o ícone criado no ambiente de trabalho.

    Actualize as definições clicando no botão Check for Updates...

    Terminada a actualização clique em Preferences, depois no separador Scanning Control, em Scanner Options, assegure-se que selecciona

    - Close browsers before scanning.
    - Scan for tracking cookies.
    - Terminate memory threats before quarantining.

    E desmarque todos os outros. Agora clique em Close para sair deste menu.

    Clique em Scan your Computer..., seleccione Perform Complete Scan, clique em Next e aguarde pacientemente até lhe ser apresentado um relatório dos itens encontrados. Clique em OK e Next para confirmar a limpeza.

    Encerre o programa, reinicie o PC e teste.

    Diga-nos se resultou.

    Zee
     
  4. edusantos

    edusantos Power Member

    Existe também um processo que quando eu o apago ele reinicia.

    Chama-se:
    ncwoqgiout.exe

    Pesquisei na net e nada, fiz busca no registo do windows e não encontrei resultados, e no windows o mesmo.

    Tenho as pastas ocultas visíveis.

    ---

    Blue Zee, aqui esta o log da partição onde o virus surgiu, a que tinha mostrado é uma instalação recente, não a utilizo para navegar.

    Log:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:35:51, on 13-09-2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal

    Running processes:
    G:\WINDOWS\System32\smss.exe
    G:\WINDOWS\system32\winlogon.exe
    G:\WINDOWS\system32\services.exe
    G:\WINDOWS\system32\lsass.exe
    G:\WINDOWS\system32\svchost.exe
    G:\WINDOWS\System32\svchost.exe
    G:\WINDOWS\system32\spoolsv.exe
    g:\programas\ficheiros comuns\logishrd\lvmvfm\LVPrcSrv.exe
    G:\Programas\Bonjour\mDNSResponder.exe
    G:\Programas\Ficheiros comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
    G:\WINDOWS\Driver\i386\ms-java.exe
    G:\WINDOWS\system32\nvsvc32.exe
    G:\WINDOWS\system32\IoctlSvc.exe
    G:\WINDOWS\system32\PnkBstrA.exe
    G:\Programas\Microsoft Office\Office12\GrooveMonitor.exe
    G:\Programas\Java\jre1.6.0_01\bin\jusched.exe
    G:\Programas\Unlocker\UnlockerAssistant.exe
    G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\Communications_Helper.exe
    G:\WINDOWS\system32\drivers\svchost.exe
    G:\WINDOWS\System32\svchost.exe
    G:\Programas\SAGEM\SAGEM [email protected] 800-840 E4\dslmon.exe
    G:\WINDOWS\system32\ncwoqgiof.exe
    G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\LVComSX.exe
    G:\Programas\Ficheiros comuns\Logishrd\LQCVFX\COCIManager.exe
    G:\WINDOWS\system32\wuauclt.exe
    G:\Programas\Trend Micro\HijackThis\HijackThis.exe
    G:\WINDOWS\explorer.exe
    G:\Programas\Mozilla Firefox\2\firefox.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
    R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1A062961-B59C-40B5-A641-2002ED353E4E} - G:\WINDOWS\system32\ADADIX2.dll
    O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - G:\Programas\FlashGet\jccatch.dll
    O2 - BHO: VirtualNetwork Class - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Skype Control Class - {9018F6A8-2495-45DF-9F16-C738F8F3C8FF} - G:\WINDOWS\system32\SkypeComm.dll
    O2 - BHO: Programa Auxiliar de Início de Sessão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - G:\Programas\FlashGet\getflash.dll
    O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O4 - HKLM\..\Run: [Universal Plug & Play devices] WinUPPD.exe
    O4 - HKLM\..\Run: [GrooveMonitor] "G:\Programas\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programas\Java\jre1.6.0_01\bin\jusched.exe"
    O4 - HKLM\..\Run: [UnlockerAssistant] "G:\Programas\Unlocker\UnlockerAssistant.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\Communications_Helper.exe"
    O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "G:\Programas\Logitech\QuickCam10\QuickCam10.exe" /hide
    O4 - HKLM\..\Run: [Win32 SDK] G:\WINDOWS\system32\ncwoqgiof.exe
    O4 - HKLM\..\RunServices: [Live Messanger] livemsgr.exe
    O4 - HKLM\..\RunServices: [Server Runtime Process] G:\WINDOWS\system32\wbem\wbemstest.exe
    O4 - HKLM\..\RunServices: [Universal Plug & Play devices] WinUPPD.exe
    O4 - HKCU\..\Run: [Universal Plug & Play devices] WinUPPD.exe
    O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "G:\Programas\DAEMON Tools Pro\DTProAgent.exe"
    O4 - HKCU\..\Run: [SVCHOST.EXE] G:\WINDOWS\system32\drivers\svchost.exe
    O4 - HKCU\..\RunServices: [Server Runtime Process] G:\WINDOWS\system32\wbem\wbemstest.exe
    O4 - HKUS\S-1-5-18\..\Run: [Live Messanger] livemsgr.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Universal Plug & Play devices] WinUPPD.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [ttool] G:\WINDOWS\9129837.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunServices: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [Live Messanger] livemsgr.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunServices: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'Default user')
    O4 - Global Startup: DSLMON.lnk = G:\Programas\SAGEM\SAGEM [email protected] 800-840 E4\dslmon.exe
    O8 - Extra context menu item: &Transfere tudo pelo FlashGet - G:\Programas\FlashGet\jc_all.htm
    O8 - Extra context menu item: &Transfere usando FlashGet - G:\Programas\FlashGet\jc_link.htm
    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://G:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: Publicar em Blogue - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - G:\Programas\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Publicar no Blogue no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - G:\Programas\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

    Isto já está a precisar de uma formatação há algum tempo. Mas vou esperar mais 1 mês, nessa altura vou fazer um upgrade à máquina. Mas para já quero resolver o problema do vírus.

    Vou apagar a segunda partição (SP1).

    E vou experimentar as dicas.

    Desde já obrigado pela ajuda.
    Cumprimentos :D
     
  5. Blue Zee

    Blue Zee Power Member

    Ponha um novo log depois de apagar a partição e partimos daí.

    Zee
     
  6. edusantos

    edusantos Power Member

    Novo Log:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 0:27:43, on 14-09-2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal

    Running processes:
    G:\WINDOWS\System32\smss.exe
    G:\WINDOWS\system32\winlogon.exe
    G:\WINDOWS\system32\services.exe
    G:\WINDOWS\system32\lsass.exe
    G:\WINDOWS\system32\svchost.exe
    G:\WINDOWS\System32\svchost.exe
    G:\WINDOWS\system32\spoolsv.exe
    g:\programas\ficheiros comuns\logishrd\lvmvfm\LVPrcSrv.exe
    G:\Programas\Bonjour\mDNSResponder.exe
    G:\WINDOWS\Explorer.EXE
    G:\Programas\Ficheiros comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
    G:\WINDOWS\Driver\i386\ms-java.exe
    G:\WINDOWS\system32\nvsvc32.exe
    G:\WINDOWS\system32\IoctlSvc.exe
    G:\WINDOWS\system32\PnkBstrA.exe
    G:\WINDOWS\System32\svchost.exe
    G:\Programas\Microsoft Office\Office12\GrooveMonitor.exe
    G:\Programas\Java\jre1.6.0_01\bin\jusched.exe
    G:\Programas\Unlocker\UnlockerAssistant.exe
    G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\Communications_Helper.exe
    G:\WINDOWS\system32\drivers\svchost.exe
    G:\Programas\SUPERAntiSpyware\SUPERAntiSpyware.exe
    G:\Programas\SAGEM\SAGEM [email protected] 800-840 E4\dslmon.exe
    G:\WINDOWS\system32\ncwoqgiof.exe
    G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\LVComSX.exe
    G:\Programas\Ficheiros comuns\Logishrd\LQCVFX\COCIManager.exe
    G:\WINDOWS\system32\wuauclt.exe
    G:\WINDOWS\system32\wuauclt.exe
    G:\Programas\Trend Micro\HijackThis\HijackThis.exe
    G:\Programas\Mozilla Firefox\2\firefox.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
    R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1A062961-B59C-40B5-A641-2002ED353E4E} - G:\WINDOWS\system32\ADADIX2.dll
    O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - G:\Programas\FlashGet\jccatch.dll
    O2 - BHO: VirtualNetwork Class - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Skype Control Class - {9018F6A8-2495-45DF-9F16-C738F8F3C8FF} - G:\WINDOWS\SYSTEM32\SKYPECOMM.DLL
    O2 - BHO: Programa Auxiliar de Início de Sessão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - G:\Programas\FlashGet\getflash.dll
    O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O4 - HKLM\..\Run: [Universal Plug & Play devices] WinUPPD.exe
    O4 - HKLM\..\Run: [GrooveMonitor] "G:\Programas\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programas\Java\jre1.6.0_01\bin\jusched.exe"
    O4 - HKLM\..\Run: [UnlockerAssistant] "G:\Programas\Unlocker\UnlockerAssistant.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\Communications_Helper.exe"
    O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "G:\Programas\Logitech\QuickCam10\QuickCam10.exe" /hide
    O4 - HKLM\..\Run: [Win32 SDK] G:\WINDOWS\system32\ncwoqgiof.exe
    O4 - HKLM\..\RunServices: [Live Messanger] livemsgr.exe
    O4 - HKLM\..\RunServices: [Server Runtime Process] G:\WINDOWS\system32\wbem\wbemstest.exe
    O4 - HKLM\..\RunServices: [Universal Plug & Play devices] WinUPPD.exe
    O4 - HKCU\..\Run: [Universal Plug & Play devices] WinUPPD.exe
    O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "G:\Programas\DAEMON Tools Pro\DTProAgent.exe"
    O4 - HKCU\..\Run: [SVCHOST.EXE] G:\WINDOWS\system32\drivers\svchost.exe
    O4 - HKCU\..\Run: [SUPERAntiSpyware] G:\Programas\SUPERAntiSpyware\SUPERAntiSpyware.exe
    O4 - HKCU\..\RunServices: [Server Runtime Process] G:\WINDOWS\system32\wbem\wbemstest.exe
    O4 - HKUS\S-1-5-18\..\Run: [Live Messanger] livemsgr.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Universal Plug & Play devices] WinUPPD.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [ttool] G:\WINDOWS\9129837.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunServices: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [Live Messanger] livemsgr.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunServices: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'Default user')
    O4 - Global Startup: DSLMON.lnk = G:\Programas\SAGEM\SAGEM [email protected] 800-840 E4\dslmon.exe
    O8 - Extra context menu item: &Transfere tudo pelo FlashGet - G:\Programas\FlashGet\jc_all.htm
    O8 - Extra context menu item: &Transfere usando FlashGet - G:\Programas\FlashGet\jc_link.htm
    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://G:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: Publicar em Blogue - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - G:\Programas\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Publicar no Blogue no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - G:\Programas\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\Programas\FlashGet\FlashGet.exe
    O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\Programas\FlashGet\FlashGet.exe
    O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - G:\WINDOWS\System32\shdocvw.dll
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - G:\Programas\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/wuweb_site.cab?1210101300296
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1210101250274
    O17 - HKLM\System\CCS\Services\Tcpip\..\{15783F0D-51D3-4E1A-AA37-D099B4BFDBDF}: NameServer = 212.55.154.174 212.55.154.190
    O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - G:\Programas\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - G:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O20 - Winlogon Notify: !SASWinLogon - G:\Programas\SUPERAntiSpyware\SASWINLO.dll
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - G:\Programas\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - G:\Programas\Ficheiros comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programas\Ficheiros comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - g:\programas\ficheiros comuns\logishrd\lvmvfm\LVPrcSrv.exe
    O23 - Service: LVSrvLauncher - Logitech Inc. - G:\Programas\Ficheiros comuns\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: Ms-java - Unknown owner - G:\WINDOWS\Driver\i386\ms-java.exe
    O23 - Service: Nero BackItUp Scheduler 3 - Unknown owner - G:\Programas\Nero\Nero8\Nero BackItUp\NBService.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - G:\WINDOWS\system32\IoctlSvc.exe
    O23 - Service: PnkBstrA - Unknown owner - G:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: wampapache - Unknown owner - c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe (file missing)
    O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe (file missing)

    --
    End of file - 9600 bytes


    Já apaguei a partição. Os programas já estão instalados, e o Crap Cleaner já estava.
     
  7. Blue Zee

    Blue Zee Power Member

    Isso está muito mau.
    Pense seriamente numa formatação e reinstalação do Windows.

    Vamos antes começar com este procedimento e depois um novo log do HJT.

    Isto se não resolver formatar já!

    Dentro de momentos estou offline e certamente não verei o novo log e os seus comentários nos próximos minutos.

    Se eu não responder rapidamente, pela manhã estou de volta.

    Zee
     
  8. edusantos

    edusantos Power Member

    Vou postar o log o mais rápido possível.

    É como eu digo, para quem formatava o PC de 4 em 4 meses, já é muito bom, visto ter aguentado 1 ano e tal... :D

    Ah, o PC não é o do "My System"... :p

    Cumps

    :EDIT: Vou mesmo Formatar a máquina. Isto está cheio de virozes. Perco mais tempo a limpar do que a formatar e reinstalar tudo.

    Novamente o meu obrigado.
     
    Última edição: 14 de Setembro de 2008
  9. anfetamina

    anfetamina Power Member

    Boas, andava com o mesmo problema e já estava a pensar formatá-lo mas com o SUPERAntiSpyware e o Malwarebytes' Anti-Malware consegui resolver o problema ;)

    Depois instalei também o Anti Vírus NOD32 e já há uma semana que está tudo bem..


    Cmps
     
  10. edusantos

    edusantos Power Member

    Isto está bonito está, agora descobri que fiquei sem o command prompt do windows (cmd.exe).

    Vou sacar um software alternativo para desenrascar.

    Por enquanto não vou formatar, vou esperar até final do mês. Nessa altura vem as peças novas e ai instalo o Windows Vista, e talvez o Ubuntu como alternativa. Estou farto de Windows.

    Já consegui remover o vírus que esta em cima com o HJT. Mas descobri que o sistema está pejado de trojans e spyware. >(
     
  11. Blue Zee

    Blue Zee Power Member

    Pensei que já estava...

    Correu o SDFix como sugeri antes de limpar com o HJT?
     
  12. edusantos

    edusantos Power Member

    Não corri precisamente pela razão mostrada no post anterior... ;)

    Vou fazer isso agora pode ser que resolva algumas das pestes que por aqui andam.:p
     
  13. Blue Zee

    Blue Zee Power Member

    Então depois e se quiser coloque um log do HJT actualizado.
     
  14. edusantos

    edusantos Power Member

    Ainda não é desta...

    Tentei correr o SDFix com o TCC LE 9.0. Mas não resultou. Reporta erro. Tenho de o correr obrigatoriamente com o command prompt do windows.

    O cmd.exe foi removido ou renomeado por alguma virose... portanto se alguém aqui tem instalado o SP2 pedia que me envia-se a aplicação. :p Pode parecer estúpido mas talvez resulte.

    Façam upload para um host, 4shared, box.net, rapidshare...

    Cumps
     
  15. Blue Zee

    Blue Zee Power Member

    Veja aqui.

    Coloque em C:\Windows\System32.
     
  16. edusantos

    edusantos Power Member

    Blue Zee, obrigado pela disponibilidade.

    O command prompt já funciona...

    O SDFix corre às mil maravilhas no modo normal. Mas quando entro no modo de segurança, ao iniciar o RunThis.bat, este abre mas fecha automaticamente, nem chega a mostrar os caracteres brancos. Apenas o fundo azul escuro.

    Já reinstalei o SDFix, mas o problema continua.

    Lembrar que estava ligado com uma conta com privilégios de administração.

    Sugestões? Além da formatação e reinstalação completa do OS?

    Estará algo no registo do windows a causar isto? Serviços desactivados?

    Cumps
     
  17. Blue Zee

    Blue Zee Power Member

    Não escapa à formatação.
    Lamento mas não vejo alternativa.

    Edit:
    Só para descargo de consciência, ponha aqui um novo log do HJT.
     
  18. edusantos

    edusantos Power Member

    Hehe :D Claro que não escapa apenas quero fazê-lo durar mais 1 mês... preciso apenas desse espaço de tempo.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:03:27, on 14-09-2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal

    Running processes:
    G:\WINDOWS\System32\smss.exe
    G:\WINDOWS\system32\winlogon.exe
    G:\WINDOWS\system32\services.exe
    G:\WINDOWS\system32\lsass.exe
    G:\WINDOWS\system32\svchost.exe
    G:\WINDOWS\System32\svchost.exe
    G:\WINDOWS\system32\spoolsv.exe
    g:\programas\ficheiros comuns\logishrd\lvmvfm\LVPrcSrv.exe
    G:\Programas\Bonjour\mDNSResponder.exe
    G:\WINDOWS\Explorer.EXE
    G:\Programas\Ficheiros comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
    G:\WINDOWS\Driver\i386\ms-java.exe
    G:\WINDOWS\system32\nvsvc32.exe
    G:\WINDOWS\system32\PnkBstrA.exe
    G:\Programas\Spyware Terminator\sp_rsser.exe
    G:\Programas\Microsoft Office\Office12\GrooveMonitor.exe
    G:\Programas\Java\jre1.6.0_01\bin\jusched.exe
    G:\Programas\Unlocker\UnlockerAssistant.exe
    G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\Communications_Helper.exe
    G:\Programas\DAEMON Tools Pro\DTProAgent.exe
    G:\Programas\SUPERAntiSpyware\SUPERAntiSpyware.exe
    G:\Programas\SAGEM\SAGEM [email protected] 800-840 E4\dslmon.exe
    G:\WINDOWS\System32\svchost.exe
    G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\LVComSX.exe
    G:\Programas\Ficheiros comuns\Logishrd\LQCVFX\COCIManager.exe
    G:\Programas\Mozilla Firefox\2\firefox.exe
    G:\WINDOWS\system32\wuauclt.exe
    G:\Programas\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
    R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1A062961-B59C-40B5-A641-2002ED353E4E} - G:\WINDOWS\system32\ADADIX2.dll
    O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - G:\Programas\FlashGet\jccatch.dll
    O2 - BHO: VirtualNetwork Class - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programa Auxiliar de Início de Sessão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - G:\Programas\FlashGet\getflash.dll
    O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O4 - HKLM\..\Run: [Universal Plug & Play devices] WinUPPD.exe
    O4 - HKLM\..\Run: [GrooveMonitor] "G:\Programas\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programas\Java\jre1.6.0_01\bin\jusched.exe"
    O4 - HKLM\..\Run: [UnlockerAssistant] "G:\Programas\Unlocker\UnlockerAssistant.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\Communications_Helper.exe"
    O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "G:\Programas\Logitech\QuickCam10\QuickCam10.exe" /hide
    O4 - HKLM\..\RunServices: [Live Messanger] livemsgr.exe
    O4 - HKLM\..\RunServices: [Server Runtime Process] G:\WINDOWS\system32\wbem\wbemstest.exe
    O4 - HKLM\..\RunServices: [Universal Plug & Play devices] WinUPPD.exe
    O4 - HKCU\..\Run: [Universal Plug & Play devices] WinUPPD.exe
    O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "G:\Programas\DAEMON Tools Pro\DTProAgent.exe"
    O4 - HKCU\..\Run: [SUPERAntiSpyware] G:\Programas\SUPERAntiSpyware\SUPERAntiSpyware.exe
    O4 - HKCU\..\RunServices: [Server Runtime Process] G:\WINDOWS\system32\wbem\wbemstest.exe
    O4 - HKUS\S-1-5-18\..\Run: [Live Messanger] livemsgr.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Universal Plug & Play devices] WinUPPD.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunServices: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [Live Messanger] livemsgr.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunServices: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'Default user')
    O4 - Global Startup: DSLMON.lnk = G:\Programas\SAGEM\SAGEM [email protected] 800-840 E4\dslmon.exe
    O8 - Extra context menu item: &Transfere tudo pelo FlashGet - G:\Programas\FlashGet\jc_all.htm
    O8 - Extra context menu item: &Transfere usando FlashGet - G:\Programas\FlashGet\jc_link.htm
    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://G:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: Publicar em Blogue - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - G:\Programas\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Publicar no Blogue no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - G:\Programas\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\Programas\FlashGet\FlashGet.exe
    O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\Programas\FlashGet\FlashGet.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/wuweb_site.cab?1210101300296
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1210101250274
    O17 - HKLM\System\CCS\Services\Tcpip\..\{15783F0D-51D3-4E1A-AA37-D099B4BFDBDF}: NameServer = 212.55.154.174 212.55.154.190
    O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - G:\Programas\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - G:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O20 - Winlogon Notify: !SASWinLogon - G:\Programas\SUPERAntiSpyware\SASWINLO.DLL
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - G:\Programas\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - G:\Programas\Ficheiros comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programas\Ficheiros comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - g:\programas\ficheiros comuns\logishrd\lvmvfm\LVPrcSrv.exe
    O23 - Service: LVSrvLauncher - Logitech Inc. - G:\Programas\Ficheiros comuns\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: Ms-java - Unknown owner - G:\WINDOWS\Driver\i386\ms-java.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - G:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - G:\Programas\Spyware Terminator\sp_rsser.exe

    --
    End of file - 8712 bytes
     
    Última edição: 14 de Setembro de 2008
  19. Ruimofernandes

    Ruimofernandes Power Member

    passa ai o bankerfix e o smitfraudfix se ele encontrar algo ele elimina se nao encontrar ja foste :D abraço!
     
  20. Blue Zee

    Blue Zee Power Member

    Vamos lá ver...

    Reinicie em Modo de Segurança depois de pressionar F8 ao arrancar o sistema, faça um scan com o HJT e seleccione as seguintes entradas para limpar com o HJT (clique no quadradinho à esquerda de cada uma):

    O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
    O2 - BHO: (no name) - {1A062961-B59C-40B5-A641-2002ED353E4E} - G:\WINDOWS\system32\ADADIX2.dll

    O2 - BHO: VirtualNetwork Class - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O4 - HKLM\..\Run: [Universal Plug & Play devices] WinUPPD.exe
    O4 - HKLM\..\RunServices: [Live Messanger] livemsgr.exe
    O4 - HKLM\..\RunServices: [Server Runtime Process] G:\WINDOWS\system32\wbem\wbemstest.exe
    O4 - HKLM\..\RunServices: [Universal Plug & Play devices] WinUPPD.exe
    O4 - HKCU\..\Run: [Universal Plug & Play devices] WinUPPD.exe
    O4 - HKCU\..\RunServices: [Server Runtime Process] G:\WINDOWS\system32\wbem\wbemstest.exe
    O4 - HKUS\S-1-5-18\..\Run: [Live Messanger] livemsgr.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Universal Plug & Play devices] WinUPPD.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunServices: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [Live Messanger] livemsgr.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunServices: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'Default user')
    O23 - Service: Ms-java - Unknown owner - G:\WINDOWS\Driver\i386\ms-java.exe


    Faça a limpeza e reinicie o sistema de novo em Modo de Segurança.

    Assegure-se que pode ver todas as pastas e ficheiros, e apague a pasta:

    G:\WINDOWS\system32\wbem

    Arranque com o CCleaner usando o ícone no ambiente de trabalho, seleccione todas as entradas nos separadores Windows e Applications e clique no botão Run cleaner.

    Terminada a limpeza reinicie o sistema em Modo Normal.

    Arranque o SUPERAntiSpyware utilizando o ícone criado no ambiente de trabalho.

    Actualize as definições clicando no botão Check for Updates...

    Terminada a actualização clique em Preferences, depois no separador Scanning Control, em Scanner Options, assegure-se que selecciona

    - Close browsers before scanning.
    - Scan for tracking cookies.
    - Terminate memory threats before quarantining.

    E desmarque todos os outros. Agora clique em Close para sair deste menu.

    Clique em Scan your Computer..., seleccione Perform Complete Scan, clique em Next e aguarde pacientemente até lhe ser apresentado um relatório dos itens encontrados. Clique em OK e Next para confirmar a limpeza.

    Encerre o programa, reinicie o PC e teste.

    Diga-nos o resultado, com novo log do HJT.

    Zee
     

Partilhar esta Página