"autorun.inf" - virus desconhecido

edusantos

edusantos

Power Member
Viva!

Recentemente fiquei com o PC infectado por mais um daqueles malditos virus de inicialização que se espalham através de pendrives... :(

Já tive alguns destes "bichos", aqui no PC, como o tel.xls.exe (Trojan.Win32.VB.atg | Win32/Dzan | Worm_vb.bnr), que consegui remover sem problemas com a seguinte ferramenta:
http://www.hgcomo.org/Site/index.php?option=com_content&task=view&id=18&Itemid=1&date=2007-11-01

-------

O primeiro problema, está no facto de existirem centenas de virus destes. E ainda não encontrei o nome deste. O que tem dificultado a pesquisa.

O autorun.inf está alojado em todas as unidades do computador e teima em não desaparecer. Juntamente com ele encontra-se um ficheiro executável (.exe) que a cada vez que o computador é reiniciado gera um nome/caracteres diferentes. Se o ficheiro .exe tivesse um nome específico ajudava e muito... arrr >(

Exemplo de nome do .exe:
zecldyntl.exe
ertmytra.exe
etc...
A pendrive formatei sem problemas, e está limpinha. :004:

Já editei o registo do windows e apaguei chaves suspeitas, já eliminei processos, já apaguei entradas do arranque do windows, inclusive através do registo, atraves do crap cleaner, e através do comando msconfig, e NADA!

Os ficheiros teimam em reaparecer. >(

Experimentei utilizar a ferramenta PenCleaner, e aquilo só removeu o autorun.inf, no relatório final diz que o nome de código do virus é: W32.Resik.A (Small.i)

Mas pelas pesquisas que vi os sintomas são totalmente diferentes. (a pencleaner detectou o autorun.inf e deduziu que o virus alojado no meu pc se tratava do W32.Resik.A (Small.i), visto ser a unica coisa em comum, terem um ficheiro chamado autorun.inf deve ter "confundido")... :p Mas o W32.Resik.A não é o virus que tenho no meu PC isso tenho eu certeza absoluta.

Aqui está o log do hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:39:04, on 13-09-2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programas\Unlocker\UnlockerAssistant.exe
D:\Programas\SAGEM\SAGEM F@st 800-840 E4\dslmon.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\explorer.exe
D:\WINDOWS\System32\autorunez.exe
D:\Programas\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sapo.pt
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sapo.pt/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
F2 - REG:system.ini: Shell=explorer.exe "D:\WINDOWS\Fonts\wmsncs.exe"
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Wmsncs Service] D:\WINDOWS\Fonts\wmsncs.exe
O4 - HKLM\..\Run: [NvidMediaCenter] D:\Programas\Ficheiros comuns\System\wmsncs.exe
O4 - HKLM\..\Run: [Spool Driver Service] D:\WINDOWS\System32\spool\drivers\wmsncs.exe
O4 - HKLM\..\Run: [Wins Service] D:\WINDOWS\System32\wins\wmsncs.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Programas\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\Run: [Autorun233] autorunez.exe
O4 - HKLM\..\RunServices: [Autorun233] autorunez.exe
O4 - HKLM\..\RunOnce: [Autorun233] autorunez.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [Spool Driver Service] D:\WINDOWS\System32\spool\drivers\wmsncs.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [Wins Service] D:\WINDOWS\System32\wins\wmsncs.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [ttool] D:\WINDOWS\9129837.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [Autorun233] autorunez.exe (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [Autorun233] autorunez.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Autorun233] autorunez.exe (User 'Default user')
O4 - Global Startup: DSLMON.lnk = D:\Programas\SAGEM\SAGEM F@st 800-840 E4\dslmon.exe
O4 - Global Startup: wmsncs.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{3092C0C8-B9AD-4D10-95FF-709D56F445A4}: NameServer = 212.55.154.174 212.55.154.190
O17 - HKLM\System\CS1\Services\Tcpip\..\{3092C0C8-B9AD-4D10-95FF-709D56F445A4}: NameServer = 212.55.154.174 212.55.154.190

--
End of file - 3613 bytes

Lembrar que tenho duas instalações do Windows XP. Ambas infectadas com o mesmo virus.

As informações que dei possivelmente não devem ser muito uteis para resolver o problema mas é uma luz... :P

Vou googlar mais um pouco para ver se encontro algo.

Cumprimentos
 
edumicro disse:
Viva!

Recentemente fiquei com o PC infectado...
Clicar para expandir...
Sinceramente não me admira a infecção, ainda tem o XP apenas com o SP1 e o IE6 com uma versão fora de prazo.

O SP3 do XP e o IE7 são actualizações obrigatórias, mas antes disso vamos ao log do HJT.

Descarregue e instale os seguintes programas:

A versão Slim do CCleaner (sem toolbar, em Inglês):
http://www.ccleaner.com/download/builds.aspx

SUPERAntiSpyware FREE

Depois de instalados os programas acima, reinicie em Modo de Segurança depois de pressionar F8 ao arrancar o sistema e seleccione as seguintes entradas para limpar com o HJT (clique no quadradinho à esquerda de cada uma):

F2 - REG:system.ini: Shell=explorer.exe "D:\WINDOWS\Fonts\wmsncs.exe"
O4 - HKLM\..\Run: [Wmsncs Service] D:\WINDOWS\Fonts\wmsncs.exe
O4 - HKLM\..\Run: [Wins Service] D:\WINDOWS\System32\wins\wmsncs.exe
O4 - HKLM\..\Run: [Autorun233] autorunez.exe
O4 - HKLM\..\RunServices: [Autorun233] autorunez.exe
O4 - HKLM\..\RunOnce: [Autorun233] autorunez.exe
O4 - HKUS\S-1-5-18\..\Run: [Wins Service] D:\WINDOWS\System32\wins\wmsncs.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [ttool] D:\WINDOWS\9129837.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [Autorun233] autorunez.exe (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [Autorun233] autorunez.exe (User '?')
O4 - HKUS\.DEFAULT\..\RunOnce: [Autorun233] autorunez.exe (User 'Default user')
O4 - Global Startup: wmsncs.exe

Faça a limpeza clicando em Fix checked e reinicie o sistema de novo em Modo de Segurança.

Assegure-se que pode ver todas as pastas e ficheiros, e apague os seguintes ficheiros:

D:\WINDOWS\Fonts\wmsncs.exe
D:\WINDOWS\System32\wins\wmsncs.exe
D:\WINDOWS\9129837.exe
D:\WINDOWS\System32\autorunez.exe

Arranque com o CCleaner usando o ícone no ambiente de trabalho, seleccione todas as entradas nos separadores Windows e Applications e clique no botão Run cleaner.

Terminada a limpeza reinicie o sistema em Modo Normal.

Arranque o SUPERAntiSpyware utilizando o ícone criado no ambiente de trabalho.

Actualize as definições clicando no botão Check for Updates...

Terminada a actualização clique em Preferences, depois no separador Scanning Control, em Scanner Options, assegure-se que selecciona

- Close browsers before scanning.
- Scan for tracking cookies.
- Terminate memory threats before quarantining.

E desmarque todos os outros. Agora clique em Close para sair deste menu.

Clique em Scan your Computer..., seleccione Perform Complete Scan, clique em Next e aguarde pacientemente até lhe ser apresentado um relatório dos itens encontrados. Clique em OK e Next para confirmar a limpeza.

Encerre o programa, reinicie o PC e teste.

Diga-nos se resultou.

Zee
 
Existe também um processo que quando eu o apago ele reinicia.

Chama-se:
ncwoqgiout.exe

Pesquisei na net e nada, fiz busca no registo do windows e não encontrei resultados, e no windows o mesmo.

Tenho as pastas ocultas visíveis.

---

Blue Zee, aqui esta o log da partição onde o virus surgiu, a que tinha mostrado é uma instalação recente, não a utilizo para navegar.

Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:35:51, on 13-09-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
g:\programas\ficheiros comuns\logishrd\lvmvfm\LVPrcSrv.exe
G:\Programas\Bonjour\mDNSResponder.exe
G:\Programas\Ficheiros comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
G:\WINDOWS\Driver\i386\ms-java.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\IoctlSvc.exe
G:\WINDOWS\system32\PnkBstrA.exe
G:\Programas\Microsoft Office\Office12\GrooveMonitor.exe
G:\Programas\Java\jre1.6.0_01\bin\jusched.exe
G:\Programas\Unlocker\UnlockerAssistant.exe
G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\Communications_Helper.exe
G:\WINDOWS\system32\drivers\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\Programas\SAGEM\SAGEM F@st 800-840 E4\dslmon.exe
G:\WINDOWS\system32\ncwoqgiof.exe
G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\LVComSX.exe
G:\Programas\Ficheiros comuns\Logishrd\LQCVFX\COCIManager.exe
G:\WINDOWS\system32\wuauclt.exe
G:\Programas\Trend Micro\HijackThis\HijackThis.exe
G:\WINDOWS\explorer.exe
G:\Programas\Mozilla Firefox\2\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1A062961-B59C-40B5-A641-2002ED353E4E} - G:\WINDOWS\system32\ADADIX2.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - G:\Programas\FlashGet\jccatch.dll
O2 - BHO: VirtualNetwork Class - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Skype Control Class - {9018F6A8-2495-45DF-9F16-C738F8F3C8FF} - G:\WINDOWS\system32\SkypeComm.dll
O2 - BHO: Programa Auxiliar de Início de Sessão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - G:\Programas\FlashGet\getflash.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [Universal Plug & Play devices] WinUPPD.exe
O4 - HKLM\..\Run: [GrooveMonitor] "G:\Programas\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programas\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "G:\Programas\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "G:\Programas\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [Win32 SDK] G:\WINDOWS\system32\ncwoqgiof.exe
O4 - HKLM\..\RunServices: [Live Messanger] livemsgr.exe
O4 - HKLM\..\RunServices: [Server Runtime Process] G:\WINDOWS\system32\wbem\wbemstest.exe
O4 - HKLM\..\RunServices: [Universal Plug & Play devices] WinUPPD.exe
O4 - HKCU\..\Run: [Universal Plug & Play devices] WinUPPD.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "G:\Programas\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [SVCHOST.EXE] G:\WINDOWS\system32\drivers\svchost.exe
O4 - HKCU\..\RunServices: [Server Runtime Process] G:\WINDOWS\system32\wbem\wbemstest.exe
O4 - HKUS\S-1-5-18\..\Run: [Live Messanger] livemsgr.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Universal Plug & Play devices] WinUPPD.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ttool] G:\WINDOWS\9129837.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Live Messanger] livemsgr.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'Default user')
O4 - Global Startup: DSLMON.lnk = G:\Programas\SAGEM\SAGEM F@st 800-840 E4\dslmon.exe
O8 - Extra context menu item: &Transfere tudo pelo FlashGet - G:\Programas\FlashGet\jc_all.htm
O8 - Extra context menu item: &Transfere usando FlashGet - G:\Programas\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://G:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Publicar em Blogue - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - G:\Programas\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Publicar no Blogue no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - G:\Programas\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

Isto já está a precisar de uma formatação há algum tempo. Mas vou esperar mais 1 mês, nessa altura vou fazer um upgrade à máquina. Mas para já quero resolver o problema do vírus.

Vou apagar a segunda partição (SP1).

E vou experimentar as dicas.

Desde já obrigado pela ajuda.
Cumprimentos :D
 
Novo Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:27:43, on 14-09-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
g:\programas\ficheiros comuns\logishrd\lvmvfm\LVPrcSrv.exe
G:\Programas\Bonjour\mDNSResponder.exe
G:\WINDOWS\Explorer.EXE
G:\Programas\Ficheiros comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
G:\WINDOWS\Driver\i386\ms-java.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\IoctlSvc.exe
G:\WINDOWS\system32\PnkBstrA.exe
G:\WINDOWS\System32\svchost.exe
G:\Programas\Microsoft Office\Office12\GrooveMonitor.exe
G:\Programas\Java\jre1.6.0_01\bin\jusched.exe
G:\Programas\Unlocker\UnlockerAssistant.exe
G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\Communications_Helper.exe
G:\WINDOWS\system32\drivers\svchost.exe
G:\Programas\SUPERAntiSpyware\SUPERAntiSpyware.exe
G:\Programas\SAGEM\SAGEM F@st 800-840 E4\dslmon.exe
G:\WINDOWS\system32\ncwoqgiof.exe
G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\LVComSX.exe
G:\Programas\Ficheiros comuns\Logishrd\LQCVFX\COCIManager.exe
G:\WINDOWS\system32\wuauclt.exe
G:\WINDOWS\system32\wuauclt.exe
G:\Programas\Trend Micro\HijackThis\HijackThis.exe
G:\Programas\Mozilla Firefox\2\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1A062961-B59C-40B5-A641-2002ED353E4E} - G:\WINDOWS\system32\ADADIX2.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - G:\Programas\FlashGet\jccatch.dll
O2 - BHO: VirtualNetwork Class - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Skype Control Class - {9018F6A8-2495-45DF-9F16-C738F8F3C8FF} - G:\WINDOWS\SYSTEM32\SKYPECOMM.DLL
O2 - BHO: Programa Auxiliar de Início de Sessão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - G:\Programas\FlashGet\getflash.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [Universal Plug & Play devices] WinUPPD.exe
O4 - HKLM\..\Run: [GrooveMonitor] "G:\Programas\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programas\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "G:\Programas\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "G:\Programas\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [Win32 SDK] G:\WINDOWS\system32\ncwoqgiof.exe
O4 - HKLM\..\RunServices: [Live Messanger] livemsgr.exe
O4 - HKLM\..\RunServices: [Server Runtime Process] G:\WINDOWS\system32\wbem\wbemstest.exe
O4 - HKLM\..\RunServices: [Universal Plug & Play devices] WinUPPD.exe
O4 - HKCU\..\Run: [Universal Plug & Play devices] WinUPPD.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "G:\Programas\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [SVCHOST.EXE] G:\WINDOWS\system32\drivers\svchost.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] G:\Programas\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\RunServices: [Server Runtime Process] G:\WINDOWS\system32\wbem\wbemstest.exe
O4 - HKUS\S-1-5-18\..\Run: [Live Messanger] livemsgr.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Universal Plug & Play devices] WinUPPD.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ttool] G:\WINDOWS\9129837.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Live Messanger] livemsgr.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'Default user')
O4 - Global Startup: DSLMON.lnk = G:\Programas\SAGEM\SAGEM F@st 800-840 E4\dslmon.exe
O8 - Extra context menu item: &Transfere tudo pelo FlashGet - G:\Programas\FlashGet\jc_all.htm
O8 - Extra context menu item: &Transfere usando FlashGet - G:\Programas\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://G:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Publicar em Blogue - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - G:\Programas\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Publicar no Blogue no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - G:\Programas\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\Programas\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\Programas\FlashGet\FlashGet.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - G:\WINDOWS\System32\shdocvw.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - G:\Programas\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/wuweb_site.cab?1210101300296
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1210101250274
O17 - HKLM\System\CCS\Services\Tcpip\..\{15783F0D-51D3-4E1A-AA37-D099B4BFDBDF}: NameServer = 212.55.154.174 212.55.154.190
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - G:\Programas\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - G:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - G:\Programas\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - G:\Programas\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - G:\Programas\Ficheiros comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programas\Ficheiros comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - g:\programas\ficheiros comuns\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - G:\Programas\Ficheiros comuns\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Ms-java - Unknown owner - G:\WINDOWS\Driver\i386\ms-java.exe
O23 - Service: Nero BackItUp Scheduler 3 - Unknown owner - G:\Programas\Nero\Nero8\Nero BackItUp\NBService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - G:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - G:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: wampapache - Unknown owner - c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe (file missing)

--
End of file - 9600 bytes


Já apaguei a partição. Os programas já estão instalados, e o Crap Cleaner já estava.
 
edumicro disse:
Novo Log:
Clicar para expandir...
Isso está muito mau.
Pense seriamente numa formatação e reinstalação do Windows.

Vamos antes começar com este procedimento e depois um novo log do HJT.

Isto se não resolver formatar já!

Dentro de momentos estou offline e certamente não verei o novo log e os seus comentários nos próximos minutos.

Se eu não responder rapidamente, pela manhã estou de volta.

Zee
 
Blue Zee disse:
Isso está muito mau.
Pense seriamente numa formatação e reinstalação do Windows.

Vamos antes começar com este procedimento e depois um novo log do HJT.

Isto se não resolver formatar já!

Dentro de momentos estou offline e certamente não verei o novo log e os seus comentários nos próximos minutos.

Se eu não responder rapidamente, pela manhã estou de volta.

Zee
Clicar para expandir...
Vou postar o log o mais rápido possível.

É como eu digo, para quem formatava o PC de 4 em 4 meses, já é muito bom, visto ter aguentado 1 ano e tal... :D

Ah, o PC não é o do "My System"... :p

Cumps

:EDIT: Vou mesmo Formatar a máquina. Isto está cheio de virozes. Perco mais tempo a limpar do que a formatar e reinstalar tudo.

Novamente o meu obrigado.
 
Última edição:
Boas, andava com o mesmo problema e já estava a pensar formatá-lo mas com o SUPERAntiSpyware e o Malwarebytes' Anti-Malware consegui resolver o problema ;)

Depois instalei também o Anti Vírus NOD32 e já há uma semana que está tudo bem..


Cmps
 
Isto está bonito está, agora descobri que fiquei sem o command prompt do windows (cmd.exe).

Vou sacar um software alternativo para desenrascar.

Por enquanto não vou formatar, vou esperar até final do mês. Nessa altura vem as peças novas e ai instalo o Windows Vista, e talvez o Ubuntu como alternativa. Estou farto de Windows.

Já consegui remover o vírus que esta em cima com o HJT. Mas descobri que o sistema está pejado de trojans e spyware. >(
 
Ainda não é desta...

Tentei correr o SDFix com o TCC LE 9.0. Mas não resultou. Reporta erro. Tenho de o correr obrigatoriamente com o command prompt do windows.

O cmd.exe foi removido ou renomeado por alguma virose... portanto se alguém aqui tem instalado o SP2 pedia que me envia-se a aplicação. :p Pode parecer estúpido mas talvez resulte.

Façam upload para um host, 4shared, box.net, rapidshare...

Cumps
 
Blue Zee, obrigado pela disponibilidade.

O command prompt já funciona...

O SDFix corre às mil maravilhas no modo normal. Mas quando entro no modo de segurança, ao iniciar o RunThis.bat, este abre mas fecha automaticamente, nem chega a mostrar os caracteres brancos. Apenas o fundo azul escuro.

Já reinstalei o SDFix, mas o problema continua.

Lembrar que estava ligado com uma conta com privilégios de administração.

Sugestões? Além da formatação e reinstalação completa do OS?

Estará algo no registo do windows a causar isto? Serviços desactivados?

Cumps
 
Hehe :D Claro que não escapa apenas quero fazê-lo durar mais 1 mês... preciso apenas desse espaço de tempo.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:03:27, on 14-09-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
g:\programas\ficheiros comuns\logishrd\lvmvfm\LVPrcSrv.exe
G:\Programas\Bonjour\mDNSResponder.exe
G:\WINDOWS\Explorer.EXE
G:\Programas\Ficheiros comuns\Microsoft Shared\VS7DEBUG\MDM.EXE
G:\WINDOWS\Driver\i386\ms-java.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\PnkBstrA.exe
G:\Programas\Spyware Terminator\sp_rsser.exe
G:\Programas\Microsoft Office\Office12\GrooveMonitor.exe
G:\Programas\Java\jre1.6.0_01\bin\jusched.exe
G:\Programas\Unlocker\UnlockerAssistant.exe
G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\Communications_Helper.exe
G:\Programas\DAEMON Tools Pro\DTProAgent.exe
G:\Programas\SUPERAntiSpyware\SUPERAntiSpyware.exe
G:\Programas\SAGEM\SAGEM F@st 800-840 E4\dslmon.exe
G:\WINDOWS\System32\svchost.exe
G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\LVComSX.exe
G:\Programas\Ficheiros comuns\Logishrd\LQCVFX\COCIManager.exe
G:\Programas\Mozilla Firefox\2\firefox.exe
G:\WINDOWS\system32\wuauclt.exe
G:\Programas\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1A062961-B59C-40B5-A641-2002ED353E4E} - G:\WINDOWS\system32\ADADIX2.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - G:\Programas\FlashGet\jccatch.dll
O2 - BHO: VirtualNetwork Class - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - G:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programa Auxiliar de Início de Sessão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Programas\Ficheiros comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - G:\Programas\FlashGet\getflash.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [Universal Plug & Play devices] WinUPPD.exe
O4 - HKLM\..\Run: [GrooveMonitor] "G:\Programas\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programas\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "G:\Programas\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "G:\Programas\Ficheiros comuns\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "G:\Programas\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\RunServices: [Live Messanger] livemsgr.exe
O4 - HKLM\..\RunServices: [Server Runtime Process] G:\WINDOWS\system32\wbem\wbemstest.exe
O4 - HKLM\..\RunServices: [Universal Plug & Play devices] WinUPPD.exe
O4 - HKCU\..\Run: [Universal Plug & Play devices] WinUPPD.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "G:\Programas\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] G:\Programas\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\RunServices: [Server Runtime Process] G:\WINDOWS\system32\wbem\wbemstest.exe
O4 - HKUS\S-1-5-18\..\Run: [Live Messanger] livemsgr.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Universal Plug & Play devices] WinUPPD.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Live Messanger] livemsgr.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'Default user')
O4 - Global Startup: DSLMON.lnk = G:\Programas\SAGEM\SAGEM F@st 800-840 E4\dslmon.exe
O8 - Extra context menu item: &Transfere tudo pelo FlashGet - G:\Programas\FlashGet\jc_all.htm
O8 - Extra context menu item: &Transfere usando FlashGet - G:\Programas\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://G:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programas\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Publicar em Blogue - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - G:\Programas\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Publicar no Blogue no Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - G:\Programas\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar para o OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\Programas\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - G:\Programas\FlashGet\FlashGet.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/wuweb_site.cab?1210101300296
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1210101250274
O17 - HKLM\System\CCS\Services\Tcpip\..\{15783F0D-51D3-4E1A-AA37-D099B4BFDBDF}: NameServer = 212.55.154.174 212.55.154.190
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - G:\Programas\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - G:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - G:\Programas\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - G:\Programas\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - G:\Programas\Ficheiros comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programas\Ficheiros comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - g:\programas\ficheiros comuns\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - G:\Programas\Ficheiros comuns\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Ms-java - Unknown owner - G:\WINDOWS\Driver\i386\ms-java.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - G:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - G:\Programas\Spyware Terminator\sp_rsser.exe

--
End of file - 8712 bytes
 
Última edição:
edumicro disse:
Hehe :D Claro que não escapa apenas quero fazê-lo durar mais 1 mês... preciso apenas desse espaço de tempo.
...
Clicar para expandir...
Vamos lá ver...

Reinicie em Modo de Segurança depois de pressionar F8 ao arrancar o sistema, faça um scan com o HJT e seleccione as seguintes entradas para limpar com o HJT (clique no quadradinho à esquerda de cada uma):

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {1A062961-B59C-40B5-A641-2002ED353E4E} - G:\WINDOWS\system32\ADADIX2.dll
O2 - BHO: VirtualNetwork Class - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [Universal Plug & Play devices] WinUPPD.exe
O4 - HKLM\..\RunServices: [Live Messanger] livemsgr.exe
O4 - HKLM\..\RunServices: [Server Runtime Process] G:\WINDOWS\system32\wbem\wbemstest.exe
O4 - HKLM\..\RunServices: [Universal Plug & Play devices] WinUPPD.exe
O4 - HKCU\..\Run: [Universal Plug & Play devices] WinUPPD.exe
O4 - HKCU\..\RunServices: [Server Runtime Process] G:\WINDOWS\system32\wbem\wbemstest.exe
O4 - HKUS\S-1-5-18\..\Run: [Live Messanger] livemsgr.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Universal Plug & Play devices] WinUPPD.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Live Messanger] livemsgr.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Server Runtime Process] G:\WINDOWS\System32\wbem\wbemstest.exe (User 'Default user')
O23 - Service: Ms-java - Unknown owner - G:\WINDOWS\Driver\i386\ms-java.exe


Faça a limpeza e reinicie o sistema de novo em Modo de Segurança.

Assegure-se que pode ver todas as pastas e ficheiros, e apague a pasta:

G:\WINDOWS\system32\wbem

Arranque com o CCleaner usando o ícone no ambiente de trabalho, seleccione todas as entradas nos separadores Windows e Applications e clique no botão Run cleaner.

Terminada a limpeza reinicie o sistema em Modo Normal.

Arranque o SUPERAntiSpyware utilizando o ícone criado no ambiente de trabalho.

Actualize as definições clicando no botão Check for Updates...

Terminada a actualização clique em Preferences, depois no separador Scanning Control, em Scanner Options, assegure-se que selecciona

- Close browsers before scanning.
- Scan for tracking cookies.
- Terminate memory threats before quarantining.

E desmarque todos os outros. Agora clique em Close para sair deste menu.

Clique em Scan your Computer..., seleccione Perform Complete Scan, clique em Next e aguarde pacientemente até lhe ser apresentado um relatório dos itens encontrados. Clique em OK e Next para confirmar a limpeza.

Encerre o programa, reinicie o PC e teste.

Diga-nos o resultado, com novo log do HJT.

Zee
 
Inicie sessão ou registe-se para poder participar.
Back
Topo