Hello, como indiquei no titulo não consigo matar o processo iexplorer.exe. Para além de ter uns popups cujo titulo começa por "cid" ciclicamente a aparecerem e que só consegui evitar q aparecessem com um popup killer a correr constantemente. A maior consequência deste problema é não conseguir instalar software que necessito, pois não pode prosseguir a instalação sem que o firefox e o ie estejam mortos. Ando ainda com outro problema que tem a ver com o JRE do java, tenho um erro no launcher do mesmo. Após remoções, instalações e re-instalações do JRE o problema continua. De qualquer forma fica aqui o meu log do hijackthis na esperança que alguém o possa espreitar e aconselhar-me: Logfile of HijackThis v1.99.1 Scan saved at 12:10:27, on 25-06-2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.17184) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Program Files\VMware\VMware Workstation\vmware-authd.exe C:\WINDOWS\Explorer.EXE C:\Program Files\UltraMon\UltraMonTaskbar.exe C:\Program Files\GhostWall\ghostwall.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\VMware\VMware Workstation\vmware.exe D:\DOWNLOADS\BROWSER downloads\YODM\Yodm3D.exe C:\Program Files\VMware\VMware Workstation\bin\vmware-vmx.exe C:\PROGRA~1\FOXITS~1\FOXITR~1\FOXITR~1.EXE C:\PROGRA~1\FOXITS~1\FOXITR~1\FOXITR~1.EXE C:\Program Files\Xming\Xming.exe C:\Program Files\PuTTY\putty.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\PC Connectivity Solution\ServiceLayer.exe C:\Program Files\Notepad++\notepad++.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\WinRAR\WinRAR.exe C:\Program Files\PC Connectivity Solution\Transports\NclMSBTSrv.exe C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE C:\Program Files\YPOPs\ypops.exe C:\Program Files\WinRAR\WinRAR.exe D:\DOWNLOADS\BROWSER downloads\mobilePhone\Rar$EX00.344\HijackThis.exe O4 - HKLM\..\Run: [vmware-tray] C:\Program Files\VMware\VMware Workstation\vmware-tray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [GhostWall] "C:\Program Files\GhostWall\ghostwall.exe" -minimize O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray O4 - Startup: 12Ghosts Popup-Killer.lnk = C:\Program Files\12Ghosts\12popup.exe O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813 O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1208124102515 O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: LBTWlgn - c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Pro Home 2007\Win32\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Pro Home 2007\RpcSandraSrv.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe" -d "C:\Program Files\VMware\VMware Workstation\\" -s ufad-p2v.xml (file missing) O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe Agradeço a vossa ajuda, isto para que não passe 4 dias da minha vida a re-installar o meu sistema de raiz
Comece por descarregar e instalar a versão FREE do SUPERAntispyware: http://www.superantispyware.com/ Arranque o programa utilizando o ícone criado no ambiente de trabalho. Actualize as definições clicando no botão Check for Updates... Terminada a actualização clique em Preferences, depois no separador Scanning Control, em Scanner Options, assegure-se que selecciona - Close browsers before scanning. - Scan for tracking cookies. - Terminate memory threats before quarantining. E desmarque todos os outros. Agora clique em Close para sair deste menu. Clique em Scan your Computer..., seleccione Perform Complete Scan, clique em Next e aguarde pacientemente até lhe ser apresentado um relatório dos itens encontrados. Clique em OK e Next para confirmar a limpeza. Encerre o programa, reinicie o PC e teste. Diga-nos se resultou. Zee P.S.: Futuramente use a versão mais recente do HJT: http://www.trendsecure.com/portal/en...kthis/download
Boa tarde! Estou a ter alguns problemas no computador (worms detectados pelo clamwin portable) e costumo utilizar o super antispyware - portable edition. Para este caso, a versão free actualizada é mais indicada do que a portable ou para efeitos práticos tem o mesmo poder de detecção? Obrigado
Boas! Em teoria farão ambos a mesmíssima coisa. Podes também tentar uma verificação com o Malwarebytes Anti-Malware Free.
Obrigado! Neste momento estou a fazer um scan com o Sophos Virus Removal tool, mas depois farei com esse programa Foi uma pena não me ter sido possível registar em log file os worms detectados pelo clamwin...
Boas! O resultado do Malwarebytes Anti-Malware Free foi: Código: [/B]Registry Keys: 2PUP.Optional.SearchProtect.A, HKU\S-1-5-21-567493307-2656307993-4030537400-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}, , [a6ea80224e2d65d1c22b3f195ba72fd1], PUP.Optional.SearchProtect.A, HKLM\SOFTWARE\WOW6432NODE\SEARCHPROTECT, , [216f3171423931056b4c3f8b25dd619f], Registry Values: 1 PUP.Optional.SearchProtect.A, HKLM\SOFTWARE\WOW6432NODE\SEARCHPROTECT|InstallDir, C:\PROGRA~2\SearchProtect, , [216f3171423931056b4c3f8b25dd619f] Registry Data: 1 PUP.Optional.Conduit.A, HKU\S-1-5-21-567493307-2656307993-4030537400-1002-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV=, Good: (www.google.com), Bad: (http://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV=),,[fc942a78c3b8eb4b4b659212758f05fb] Folders: 0 (No malicious items detected) Files: 3 PUP.RiskwareTool.CK, C:\Users\Filipe\Downloads\AdobeCS6MasterCrack.zip, , [533d3f634f2c24124bcce12c57ab6c94], PUP.Optional.Conduit.A, C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Preferences, Good: (), Bad: ( "homepage": "http://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV=",), ,[5739a1016f0c93a3b9b35688857fc23e] PUP.Optional.Conduit.A, C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Preferences, Good: (), Bad: ( "startup_urls": [ "http://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV=" ],), ,[9df39d05d0ab67cf3a64b22cbc489d63][B] O programa não me permite eliminar os problemas e o ClamWin detectou mais problemas (dois deles, nomeadamente, com a designação de "worm.runonce") Será que ponho em quarentena? O que fazer em relação aos erros não detectados? Muito obrigado!
No MBAM basta limpar isso e eventualmente reiniciar para eliminar os restos. Corre o Hitman.PRO e coloca o relatório final.
Muito obrigado! Vou-o fazer, mas em relação aos resultados que me deu com o MalwareBytes? Não consigo eliminá-los, só por em quarentena. Ou esqueço e simplesmente corro o Hitman.PRO? EDIT: Depois de eu o executar uma vez (detectando 24 problemas) e reiniciar o pc, fiz outro scan com este resultado: Código: Potential Unwanted Programs _________________________________________________ homepage C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Preferences session/startup_urls[0] C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Preferences HKU\S-1-5-21-567493307-2656307993-4030537400-1002\Software\Microsoft\Internet Explorer\MAIN\Start Page (Conduit) HKU\S-1-5-21-567493307-2656307993-4030537400-1002\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}\ (Conduit) Vou reiniciar e fazer novo scan. Achas que estou a proceder correctamente? Muito obrigado por toda a ajuda!
Podes correr o AdwCleaner. Descarrega, arranca o programa, clica em Scan: Terminada a verificação clica em Clean: Reinicia o PC quando o programa pedir. Corre ainda o Junkware Removal Tool. Por fim corre o Shortcut Cleaner. Se quiseres uma análise aos problemas, colocas aqui os relatórios finais dos programas. Instala ainda o AdBlock Plus nos teus browsers.
Obrigado! Com todos executados, o log file do Hitman foi: Código: Potential Unwanted Programs _________________________________________________ homepage C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Preferences session/startup_urls[0] C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Preferences HKU\S-1-5-21-567493307-2656307993-4030537400-1002\Software\Microsoft\Internet Explorer\MAIN\Start Page (Conduit) HKU\S-1-5-21-567493307-2656307993-4030537400-1002\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}\ (Conduit) E o log file do Junkware Riemoval foi: Código: Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\Start Page Successfully repaired: [Registry Value] HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\\Start Page Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\\Start Page Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main\\Start Page Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main\\Start Page Successfully repaired: [Registry Value] HKEY_USERS\S-1-5-21-567493307-2656307993-4030537400-1002\Software\Microsoft\Internet Explorer\Main\\Start Page ~~~ Registry Keys Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} Muito obrigado por toda a ajuda!
Também usaste o AdwCleaner, certo? Qual é o ponto da situação nessa máquina? Essa peste pode ser complicada de limpar. Tens aqui um artigo completo e complexo que deve ajudar a limpar os restos disso: http://www.lavasoft.com/mylavasoft/company/blog/how-to-remove-search-protect-by-conduit-ltd
Sim, usei tudo. O ponto de situação? Tou agora a fazer um novo scan com o hitman, ja posto os resultados. Pode-ser complicada de limpar, o worm.runonce? Eu, esse, vi na net como o eliminar mesmo nos registos (regedit), mas as instruções eram para o Win7, e o caminho da chave não era o mesmo (quero dizer que apesar de ter esse worm, não o encontrei pelo caminho que dizia no site) Entretanto vou também ver o outro link que postaste. Isto tudo para não o formatar.... No CCleaner também tive a reparar na opção de registos (encontrou 155 falhas) mas pelos vistos não resolveu... [EDIT]: Depois de tudo o que ja fiz, o hitman ainda encontrou: Código: Potential Unwanted Programs _________________________________________________ homepage C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Preferences session/startup_urls[0] C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Preferences HKU\S-1-5-21-567493307-2656307993-4030537400-1002\Software\Microsoft\Internet Explorer\MAIN\Start Page (Conduit) HKU\S-1-5-21-567493307-2656307993-4030537400-1002\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9}\ (Conduit) Cookies _____________________________________________________________________ C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\Cookies:statse.webtrendslive.com É altura de seguir o tal link, certo? Muito obrigado por toda a tua disponibilidade em me ajudar!
Tem alguma coisa a ver com o envio de ficheiros para a cloud de pesquisa? Como o hitman está em português não sei bem de que item das configurações estás a falar. sorry :/
Referia-me aos programas instalados no Windows (onde podes desinstalar: Painel de Controlo > Programas e Funcionalidades). tens este ícone na barra de tarefas?
Aqui está: Código: ***** [ Registry ] ***** Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} Key Found : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} ***** [ Browsers ] ***** -\\ Internet Explorer v11.0.9600.17126 Setting Found : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV= -\\ Google Chrome v36.0.1985.125 [ File : C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\preferences ] Found [Startup_urls] : hxxp://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV= Found [Homepage] : hxxp://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV= ************************* AdwCleaner[R0].txt - [2466 octets] - [23/07/2014 00:55:51] AdwCleaner[R1].txt - [1417 octets] - [23/07/2014 16:51:51] AdwCleaner[S0].txt - [2306 octets] - [23/07/2014 00:57:41] Obrigado
Pós-reinicio: Código: Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} ***** [ Browsers ] ***** -\\ Internet Explorer v11.0.9600.17126 Setting Restored : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page] -\\ Google Chrome v36.0.1985.125 [ File : C:\Users\Filipe\AppData\Local\Google\Chrome\User Data\Default\preferences ] Deleted [Startup_urls] : hxxp://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV= Deleted [Homepage] : hxxp://search.conduit.com/?ctid=CT3314958&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SP16AB1F33-B321-4FDB-90BF-10190D91A4AC&SSPV=