1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Possível virus: processo 29A5EA88, CmdLineExt02.dll e ipread.com

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por Ragnarok, 1 de Janeiro de 2008. (Respostas: 8; Visualizações: 2045)

  1. Ragnarok

    Ragnarok Folding Member

    Boas pessoal.

    Desde há uns dias que tenho verificado algumas coisas estranhas com o meu Windows que podem estar relacionadas com um problema que estou a ter.

    A primeira coisa estranha foi um ficheiro na pasta dos ficheiros temporários do meu utilizador que não conseguia apagar por estar a ser utilizado. Utilizando uma aplicação para verificar os processos a serem executados (nomeadamente o Ad-Aware), verifiquei que esse .dll era utilizado pelo explorer.exe.
    Segundo alguns resultados obtidos no google, esse .dll é instalado por alguns jogos (por exemplo o Warcraft III, que instalei recentemente) e pode ser problemático.
    Solução: terminei o explorer.exe e eliminei o dito .dll.

    A segunda coisa estranha é que o explorer.exe está constantemente e querer aceder ao um endereço, nomeadamente o 12099.ipread.com, coisa que antes não se verificava. Fazendo um WHOIS, obtenho a seguinte informação:
    Código:
    OrgName:    Internet Assigned Numbers Authority 
    OrgID:      IANA
    Address:    4676 Admiralty Way, Suite 330
    City:       Marina del Rey
    StateProv:  CA
    PostalCode: 90292-6695
    Country:    US
    
    NetRange:   10.0.0.0 - 10.255.255.255 
    CIDR:       10.0.0.0/8 
    NetName:    RESERVED-10
    NetHandle:  NET-10-0-0-0-1
    Parent:     
    NetType:    IANA Special Use
    NameServer: BLACKHOLE-1.IANA.ORG
    NameServer: BLACKHOLE-2.IANA.ORG
    Comment:    This block is reserved for special purposes.
    Comment:    Please see RFC 1918 for additional information:
    Comment:    http://www.arin.net/reference/rfc/rfc1918.txt
    RegDate:    
    Updated:    2007-11-27
    
    OrgAbuseHandle: IANA-IP-ARIN
    OrgAbuseName:   Internet Corporation for Assigned Names and Number 
    OrgAbusePhone:  +1-310-301-5820
    OrgAbuseEmail:  [email protected]
    
    OrgTechHandle: IANA-IP-ARIN
    OrgTechName:   Internet Corporation for Assigned Names and Number 
    OrgTechPhone:  +1-310-301-5820
    OrgTechEmail:  [email protected]
    
    # ARIN WHOIS database, last updated 2007-12-31 19:10
    # Enter ? for additional hints on searching ARIN's WHOIS database.
    Parece-me ser perfeitamente normal mas é estranho, de um momento para o outro, o explorer.exe estar constantemente a querer aceder a esse endereço.
    Além disso, o explorer.exe parece-me estar demasiado "gordo" (cerca de 30 MB em memória).

    Passando para o problema em si, sempre que termino o Windows, ele fica pendurado à espera que um processo de nome 29A5EA88 termine.
    Fazendo um pesquisa rápida no google por "29A5EA88" obtenho 4 resultados, nenhum deles conclusivo.

    Já fiz scans com um Antivírus (Avast), dois antispyware (Ad-Aware e Spybot) e o problema persiste.

    Aqui fica o log do Hijackthis:
    Código:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:55:12, on 01-01-2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16574)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programas\Intel\Wireless\Bin\EvtEng.exe
    C:\Programas\Intel\Wireless\Bin\S24EvMon.exe
    C:\Programas\Sygate Personal Firewall\smc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programas\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programas\Alwil Software\Avast4\ashServ.exe
    C:\Programas\Intel\Wireless\Bin\ZcfgSvc.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\ATKKBService.exe
    C:\WINDOWS\ATK0100\HControl.exe
    C:\Programas\Intel\Wireless\Bin\OProtSvc.exe
    C:\Programas\ASUS\Power4 Gear\BatteryLife.exe
    C:\Programas\Intel\Wireless\Bin\RegSrvc.exe
    C:\Programas\ASUS\NB Probe\SPM\spmgr.exe
    C:\Programas\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Programas\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programas\Thunderbird-Tray\TBTray.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\Programas\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programas\Alwil Software\Avast4\ashWebSv.exe
    C:\Programas\Mozilla Thunderbird\thunderbird.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\System32\alg.exe
    C:\Programas\TortoiseSVN\bin\TSVNCache.exe
    C:\Programas\Pidgin\pidgin.exe
    C:\Programas\Last.fm\LastFM.exe
    C:\Programas\Winamp\winamp.exe
    C:\WINDOWS\system32\regsvr32.exe
    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\Programas\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programas\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programas\Free Download Manager\iefdmcks.dll
    O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Power_Gear] C:\Programas\ASUS\Power4 Gear\BatteryLife.exe 1
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
    O4 - HKLM\..\Run: [Wireless Console] C:\Programas\ASUS\Wireless Console\wcourier.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programas\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programas\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIÇO LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Serviço de rede')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: TB-Tray.lnk = C:\Programas\Thunderbird-Tray\TBTray.exe
    O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programas\Free Download Manager\dlall.htm
    O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programas\Free Download Manager\dlselected.htm
    O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programas\Free Download Manager\dllink.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163245188046
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHEI~1\Skype\SKYPE4~1.DLL
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programas\Ad-Aware 2007\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programas\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: EvtEng - Intel Corporation - C:\Programas\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programas\Intel\Wireless\Bin\OProtSvc.exe
    O23 - Service: RegSrvc - Intel Corporation - C:\Programas\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Programas\Intel\Wireless\Bin\S24EvMon.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Programas\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programas\Sygate Personal Firewall\smc.exe
    O23 - Service: spmgr - Unknown owner - C:\Programas\ASUS\NB Probe\SPM\spmgr.exe
    
    --
    End of file - 7973 bytes
    
    A análise do log efectuada através do http://www.hijackthis.de/ não revela nada de conclusivo.

    Sendo assim, não faço ideia o que se está a passar mas acho muito estranho aquele processo 29A5EA88 estar a ser executado e ficar pendurado e não encontrar nada sobre o mesmo no meu sistema.

    Agradeço qualquer ajuda!

    Cumprimentos.
     
  2. Ragnarok

    Ragnarok Folding Member

    Ninguém me sabe ajudar? :(
     
  3. Ragnarok

    Ragnarok Folding Member

    Novidades: O tal processo já não fica pendurado durante o shutdown e o meu antivirus está detectar um virus no ficheiro c:\Programas\Common Files\Microsoft Shared\Speech\wab64.dll. Ele é apagado mas é criado de novo durante o arranque. Já o apaguei do restauro do sistema. Reparo também que nessa mesma pasta está um svchost.exe (que me parece ser de confiança, segundo as propriedades do ficheiro).
     
    Última edição: 4 de Janeiro de 2008
  4. Cara, me ocorreu o MESMO efeito depois de instalar um Warcraft III que peguei por torrent. Além do que você citou do erro ao desligar o computador, meu TaskManager não abre (dá erro "read" de memória) e o MSN tá bugado. Qualquer novidade informe aqui ok? Se eu achar algo, entro em contato aqui.
     
  5. Ragnarok

    Ragnarok Folding Member

    Ok, neste momento já não me acontece nada do que descrevi.

    O que fiz foi:

    - Desactivar o restauro de sistema;
    - Fazer um scan intensivo:
    - Arrancar em modo de administrador;
    - Fazer um scan a todo o sistema com um anti-virus (usei o Avast) e um um anti-spyware (usei o Spybot);
    - Apagar todas as entradas encontradas (cuidado com o que apagas, não vás apagar um ficheiro de sistema importante que está infectado mas no meu caso isso não aconteceu).

    Encontrei uma série de ficheiros infectados em pontos de restauro do sistema.

    O problema que descrevi no meu último post mantêm-se.

    Obrigado.
     
  6. Jorge Candeias

    Jorge Candeias Power Member

    Apaga todos os svchost que encontrares excepto o svchost.exe da pasta System32 (limpa os que sejam pif/com/scr também, se existirem) ,ahh espera podes manter o $NTServicePackUninstall$, mas não precisas...

    abre o msconfig:

    Start->Run-> escreve msconfig e dá enter, vais ao arranque e diz o que tens lá listado :)


    Cumprimentos
     
    Última edição: 9 de Janeiro de 2008
  7. JomarB

    JomarB Power Member

    Tenta ver no regedit se nesta localização
    Shell "reg add hkcu\software\microsoft\windows\currentversion\policies\system existe uma variavel do tipo dword com este nome (disabletaskmgr) com o valor 1. Caso tenha altere o valor para zero ou apague o mesmo.

    Espero q ajude.:)
     
  8. Ragnarok

    Ragnarok Folding Member

    Tens a certeza que devo fazer isso? O único que encontro fora da System32 é o tal que descrevi. Encontra-se em C:\Programas\Common Files\Microsoft Shared\Speech, está definido como ficheiro de sistema (consequentemente, está escondido), tem 1.36 MB de dimensão e supostamente é da Microsoft. Digo isto porque:
    [​IMG]

    No entanto, acho estranho este svchost.exe ter uma dimensão tão grande em relação aos da pasta system32 (que tem 14 KB) e estar oculto.

    Obrigado!
     
  9. Ragnarok

    Ragnarok Folding Member

    Num acto de fé, apaguei o tal svchost.exe e parece estar tudo normal. Além disso, o tal Wab64.dll já não está a ser gerado após o boot! :)

    Obrigado!
     

Partilhar esta Página