Spyware, Trojan ou adware??

S

Sergiix

Membro
Oi, estou com um problema e nao consigo resolve-lo, talvez me possam dar uma maozinha
...
O meu avast esta a scannar mail q aparentemente estou a enviar continuamente mas nao faço ideia o porque nem como! Ja corri o AVG, o avast e o Ad-aware da Lavasoft (o antigo porque o novo manda o meu pc abaixo...) e nao encontrei nada...
Tambem ja corrigi as entradas do registo com o hijackthis como recomendado noutro post (muito util a informacao) e continuo na mesma...
Aqui vai o meu log de agora para melhor compreensao. Alguma ajuda era benvinda.

Obrigado desde ja.

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Compaq\Easy Access Button Support\StartEAK.exe
C:\Arquivos de programas\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Arquivos de programas\Avast4\aswUpdSv.exe
C:\COMPAQ\CPQINET\CPQInet.exe
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\ARQUIV~1\Avast4\ashDisp.exe
C:\ARQUIV~1\Compaq\EASYAC~1\BttnServ.exe
C:\Arquivos de programas\SpeedTouch USB\Dragdiag.exe
C:\Arquivos de programas\Java\jre1.6.0_01\bin\jusched.exe
C:\Arquivos de programas\Comodo\Firewall\CPF.exe
C:\Arquivos de programas\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Avast4\ashServ.exe
C:\Arquivos de programas\AVG Anti-Spyware 7.5\guard.exe
C:\Arquivos de programas\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Sérgio\Desktop\Malware\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer disponibilizado por TelecelOnline\Netc
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [CPQEASYACC] C:\Arquivos de programas\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Arquivos de programas\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Arquivos de programas\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Arquivos de programas\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyPoker\PartyPoker\RunApp.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1099503790248
O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon de cache de categorias de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Arquivos de programas\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Arquivos de programas\Comodo\Firewall\cmdagent.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Arquivos de programas\OpenVPN\bin\openvpnserv.exe
 
Viva.

Não entendi bem o teu problema.

Recomendo 'apenas' 1 antivirus no pc.
Dois, a correr não fazem sentido.

Ver também a 'cartada' online que por aí
se joga. Por vezes alguns 'casinos' deixam
lixo no pc.

Esse pc faz 'vpn' para algum destino?

Gu@rdian
 
Antes de mais queria tambem dizer, pois me tinha esquecido, que tinha corrido o VundoFix e q ele nao detectou nada d anormal tambem!

Agora,

lfernandes, obrigado pela dica do spybot. Nao o tinha ainda e ele detectou 'lixo' q depois removi. Mas mesmo dp do boot o problema parece manter-se...

Guardi@n, obrigado pelo teu post, mas tenho de te esclarecer entao:
Eu so tenho 1 antivirus - o Avast. O AVG que corri é o Anti-Spyware...
Em relacao á 'cartada', ja a uso ha imenso tempo e nunca tive problemas. So recentemente comecaram os problemas portanto deduzo q nao seja daí...
O vpn só é usado para me ligar á faculdade, e muito raramente, portanto esse tambem nao esta a ser o causador dos problemas.
Claro que isto sao apenas as minhas opinioes...

Em relacao ao meu problema:
O Avast Internet Mail a partir do momento que me conecto á net comeca a verificar mail... mail esse que esta a ser enviado atraves do meu PC suponho, o q é estranho visto eu nao estar a ver o meu mail!

Parece que o meu pc é um interposto de mail pois consigo ver os 'senders' e os 'receivers' dos mails e dá pra perceber que deve ser "spam mail" pelas moradas dos mails...

A questao é: Q posso fazer?!
Obrigado desde ja ;)

S
 
Última edição:
Sergiix

Entra em modo de segurança:
Renicia o computador;
Ao iniciar, carrega intermitente mente na tecla [F8]
Escolhe a opção "modo de segurança";

Abre o Hijackthis e clcia em "Do a System Scan Only"
Marca as entradas abaixo:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer disponibilizado por TelecelOnline\Netc

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyPoker\PartyPoker\RunApp.exe
Aqui está um problema no teu sistema.


Clcia em "Fix Cheked"
Renicia o computador!
 
Última edição:
Obrigado mais uma vez pelas respostas ;)

Agora, se esse antivirus é melhor entao vou experimenta-lo.
Mas é esse o melhor free antivirus disponivel?! Ha sempre duvidas em relacao a isso...

O gmer, depois de se fazer scan com ele, que fazer? :S
Need assistance!!!

O Skype nunca passou por aqui, pelo menos ate agora ;)

Evil Mota, parece que vou ter de apagar os registos que indicaste a ver o q acontece. Espero que nada de grave... :D

S
 
Update:

Ao usar o scanner do gmer o PC às tantas faz reboot...

Evil Mota, apaguei as entradas que referiste, mas com isso passei a ter um Windows nao original... o que me levou a ter de fazer um restauro do sistema de ha 2 dias atras... e refazer tudo excepto remover as entradas O16 do registo.

Entretanto ja tinha feito reboot 2x e parecia que estava tudo bem mas...

Afinal ainda estamos com o mesmo problema!!!!!! :(

Entretanto mantive o Avast, mas gostava que me dissessem se o AOL é melhor e porquê...

S
 
Última edição:
É baseado no melhor Antivirus existente: Kaspersky...

Normalmente, qd não dou conta do reacado ( raro ), não me chateio:

Format e +- 45 minutos e fica de novo fresco e operacional:lol:

Partições com a tralha do costume a instalar facilita tb imenso!


Cumps,
 
Sergiix disse:
Update:

Ao usar o scanner do gmer o PC às tantas faz reboot...

Evil Mota, apaguei as entradas que referiste, mas com isso passei a ter um Windows nao original... o que me levou a ter de fazer um restauro do sistema de ha 2 dias atras... e refazer tudo excepto remover as entradas O16 do registo.

Entretanto ja tinha feito reboot 2x e parecia que estava tudo bem mas...

Afinal ainda estamos com o mesmo problema!!!!!! :(

Entretanto mantive o Avast, mas gostava que me dissessem se o AOL é melhor e porquê...

S
Clicar para expandir...
Claro que ainda estás com o mesmo problema... fizeste um restauro de sistema!!
Antes de limpar seja o que fôr... desliga o restauro de sistema e entra em modo de segurança... e depois sim, passa o hijackthis, um antivirus, um antispyware, o que quiseres...
Já agora... faz isto: http://security.symantec.com/sscv6/home.asp?langid=br&venid=sym&plfid=23&pkj=IBHIWSBZHYZIFKWOZSD
 
Pois, formatar o disco nao é opcao, pelo menos para ja, porque se fosse nem tinha colocado aqui este post ;)

BladeRunner, o que eu disse foi que seguindo as instrucoes aqui dadas acabei por ter problemas, entao recorri ao restauro do sistema e depois voltei a fazer todos as correccoes e scans...
Nao entendo mesmo! Depois disso, como havia dito, tinha feito reboot 2x e o PC estava normal, mas á noite o problema surgiu de novo... :'(
Ja agora, estou online ha 47min e do problema.... NADA! Deve estar com medo... :004:

Estou mesmo ser perceber que se passa...
Em relacao ao link que me deste nao consigo executar a verificacao de virus apesar de ter os requisitos: IE e ActiveX activado, mas na verificacao de seguranca esta tudo bem!
 
Maduro disse:
Exprimenta usar o Ad-Aware.
Clicar para expandir...

O Ad-Ware é uma bela Merd"#$"

Usa o Prevx 2.0 !

Não sabem o que é programas bons, sim eu sei que não é pago, mas mais vale usa lo uma vez ou duas na vida do que estar constantemente a ter problemas por causa dos vírus.

E como Antivírus, o AVS é bastante bom, apesar de não ter componentes como o Kaspersky original, também é muito bom!
Enquanto o AVAST! detecta 10 o AVS detecta 20, e elimina com 100% de certezas os vírus encontrados no teu computador, enquanto que o AVAST! detecta mas não remove muitos deles tem de pro em quarentena.

É bom, porque é uma versão Free do Kasperksy, mas com menos tralha de segurança, e é tão ou pouco mais eficiente que o Kaspersky!
Não é por ser free que é bom, é por ser o que é no computador do utilizador.

Ficem bem!
 
Última edição:
"O Ad-Ware é uma bela Merd"#$""
Opiniões destas podes guardar para ti... podes pensar que tu é que sabes e que quem usa o dito software esta enganado... são opiniões... a tua frase não é reflexo de uma opinião, sim de comportamento "desviante", pelo menos aqui!
 
"O Ad-Ware é uma bela Merd"#$"
Clicar para expandir...

Não digo tanto, mas é pelo menos um "has been". Quando a história do adware/spyware começo (à tanto tempo que nem me lembro...) foi o meu melhor amigo pq os AV's se estavam a c****r para a coisa.

Depois tornou-se comercial e a partir dai foi sempre a descer, infelizmente... Uns free (spybot s&d) e outros pagos (ewido) faziam 10x mais trabalho.

Felizmente, atm os AV's e em especial o "especial K" tornam a coisa irrelevante. Ou é malware a sério e vai com os porcos "real time" ou é das variedades totil inofensivas e o "Add/Remove Programs" faz o serviço sem problemas.

Claro que ter o AW free e o Spybot S&D free não faz mal a ninguem. Desde que não liguem nenhuma das protecções tramposas "real time" eles só correm durante as limpezas mensais que ninguem se dá ao trabalho de fazer...

p.s. Quanto ao PrevX, se "O Ad-Ware é uma bela Merd"#$" então olha que não lhe fica atrás. Não te dou os resultados, mas "bela Merd"#$" é quase. Muito bom quando os apanha a correr, ou durante a tentativa de instalação, com o nome certo, com as reg keys todas no sitio. Muda um bocadito a coisa e fica aos papéis.

OTR: A verdade é que não apanhou nem 25% das minhas samples. E elas estavam em "modo congelado", eram só ficheiros no disco, nem se podiam proteger.
 
Última edição:
Inicie sessão ou registe-se para poder participar.
Back
Topo