1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.
  2. A secção Microsoft/Windows encontra-se actualmente em processo de reestruturação.
    Remover anúncio

taskmand.exe ao iniciar windows

Discussão em 'Windows 7 e anteriores' iniciada por Tchacka, 30 de Abril de 2008. (Respostas: 13; Visualizações: 859)

  1. Tchacka

    Tchacka Power Member

    Viva!

    Tou com um pequeno problema, sempre que inicializo o windows xp, quando chega ao ambiente de trabalho abre uma janela de DOS a correr c:\taskmand.exe

    Não aparece nada, apenas o cursor a piscar em diversos pontos do ecra da consola do windows...

    Forço a aplicação para encerrar, apago o ficheiro mas quando inicializo o pc volta a aparecer a mesma situação e o ficheiro la esta de novo no c:

    Cheira-me a virose, ja corri o hijackthis e tou com o SUPERAntiSpyware a ver o que ele diz...

    Já agora, existe o ficheiro taskman.exe, mas esse parece ser mesmo um processo do windows agora o que eu tenho taskmand.exe só me leva a crer que será mesmo um virus manhoso

    Se alguém tiver ideias de como dar a volta sem passar por acções mais radicais (formatar a maquina) agradeço!

    Abraço
     
  2. DekkeR

    DekkeR Power Member

  3. Tchacka

    Tchacka Power Member

    Pois, mas isso ja eu tinha feito, aparece-me duas entradas Unknown service:

    C:\WINDOWS\system32\wnms.exe

    O23 - Service: Windows Network Management Service (WNMS) - Unknown owner - C:\WINDOWS\system32\wnms.exe

    Fiz fix e ele continuar la...

    Daí ter recorrido aqui pois já não sei o que fazer...
     
  4. DekkeR

    DekkeR Power Member

    Desligaste o System Restore?
     
  5. Tchacka

    Tchacka Power Member

    Yep, tenho o restauro desactivado
     
  6. DekkeR

    DekkeR Power Member

    Então tenta em modo de segurança
     
  7. Pretender

    Pretender Power Member

    Esse vírus deve ser variante daquele que mete os ficheiros ocultos mesmo que vás às opções do explorer e coloques para ver ficheiros ocultos.
    Se for,deves ter um autorun.inf em modo read-only na raíz do disco C

    Umas das soluções é utilizares o cmd, vais para a raíz, cd\
    comando attrib +A - H C:\autorunf.inf e attrib +A - H c:\taskmand.exe para mudar para modo archive
    depois del autorun.inf e del taskmand.exe

    Depois diz se funcionou.
    Já fiz curas assim a alguns pcs que o ppl teima em instalar toda a porcaria que aparece à frente!
     
  8. Tchacka

    Tchacka Power Member

    Nada, nem o autorun.inf existe
     
  9. Pretender

    Pretender Power Member

    mas o taskmand.exe encontras no disco?
    Podes instalar o Process Explorer da sysinternals (comprada pela MS) que permite ter um maior controlo sobre quais os processos que estão a correr e sobretudo de que pasta estão a ser executados.

    Esse pode ser daqueles que faz uma mutação no nome.

    Depois de o encontrares, fechas o processo, apagas o ficheiro e removes do registro a chave (vê este link com os locais onde procurar ou através do msconfig
     
  10. Tchacka

    Tchacka Power Member

    Ontem depois de correr algumas aplicações de anti spayware, antivirus, que la me detectou um trojan...

    O ficheiro deixou de aparecer, porém tenho um outro, que penso que ja tinha, que aparece sempre pouco tempo depois de me ligar à net, denominado de winmanr.exe e mais uma vez aparece no C:\

    Estive a analisar os processos que o Process Explorer me apresenta, nada de estranho, tudo processos de aplicações reconhecidas, porém, ha la um que ja o hijackthis nao reconhece que é o wnms.exe, na pasta C:\Windows\System32

    Tentei mandar a baixo pelo Process Explorer mas logo de seguida ele é inicializado. Andei a ver pelo google e ha quem diga que é trojan, outros que dizem que se trata do Windows Network Management System...

    Sugestões?

    Desde já obrigado pela ajuda que me tem sido dada
     
  11. Pretender

    Pretender Power Member

    Isso é malware...
    E mais podes verificar que é o autor do exe (pelas propriedades)
    Para ser logo reiniciado é porque provavelmente está outro processo a ser executado que o reinicia...
    Estou-me a lembrar de dll lançadas pelo rundll32.exe
    Quase de certeza tens alguma dll dessas.
    Vê qual é o dll associado (Atenção que a nvidia também faz uso do rundll para arrancar com o seu painel de controlo).
    Vai a pasta onde o dll está, verificas quem é o autor do dll (não deverá ser da microsoft ou empresas afins), e fechas esse rundll32.
    Apagas o dll (se não der renomeia-o para um nome facil).
    Fechas o outro processo (winmanr.exe)
    Vais a pasta do mesmo e apagas-lo. Se não der renomeia-o.
    Reboot. Já deves conseguir apagar os ficheiros renomeados.

    Já deve estar tudo bem agora ;)
     
  12. Tchacka

    Tchacka Power Member

    Problema é que o exe não possuí informação alguma...

    O que me tem ajudado é a Comodo, onde corto o processo e uma connection out que ele me faz para um servidor todo manhoso...
     
  13. Pretender

    Pretender Power Member

    Se não tem info nas propriedades mais um motivo para ver que não é de confiança...
    Faz o que acima referi ;)
     
  14. Tchacka

    Tchacka Power Member

    Mas o problema é que não faço ideia qual a dll que está a ser utilizado, senão tentava mandar ao ar...
     

Partilhar esta Página