1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.
  2. A secção Microsoft/Windows encontra-se actualmente em processo de reestruturação.
    Remover anúncio

Trojan mais que chato...

Discussão em 'Windows 7 e anteriores' iniciada por Hellseeker, 5 de Julho de 2007. (Respostas: 24; Visualizações: 1402)

  1. Hellseeker

    Hellseeker Power Member

    Boas eu não sei se este é o sitio indicado para expor esta dúvida, mas aqui vai...
    Na loja dos meu pais eles têm lá um pc windows sp2 e ligação á net por telepac 4Mb Professional, tem o firefox, avast e trojan remover, mas o que aconteceu é que apesar da protecção o pc apanhou 1 ou mais trojan's, uma coisa que o trojan faz é enviar e-mails, o avast detecta actividade mas não pode fazer nada, a outra coisa é que o trojan desliga o computador, eu tive de fazer este post em casa, mal ele se apercebia do que eu estava a fazer lá ia o pc abaixo, conhecem algum anti-trojan daqueles bem fortes, é que isto está a dar cabo de mim....
    Se poderem responder rápido agradecia, pois como o computador está numa loja não pode andar no liga/desliga o dia todo, desde já obrigado.....
     
  2. Pedrocas

    Pedrocas Banido

    Mete aqui o logfile do Hijackthis...

    Mas desde já te aviso, se já correste o Spybot, o anti-virus e mesmo assim não consegues apagar isso, o melhor mesmo é Format C:
     
  3. Hellseeker

    Hellseeker Power Member

    Aqui onde? E obrigado na mesma...
     
  4. Hellseeker

    Hellseeker Power Member

    Aqui vai:
    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 15:44:04, on 05-07-2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\savedump.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programas\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programas\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programas\Alwil Software\Avast4\setup\avast.setup
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programas\HP\HP Software Update\HPWuSchd.exe
    C:\Programas\HP\Digital Imaging\Promotions\HPpromo.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Programas\Java\jre1.6.0_01\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programas\HP\Digital Imaging\bin\hpqtra08.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programas\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programas\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\HPZipm12.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Serafinauto\Ambiente de trabalho\HiJackThis_v2.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pt/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hiperligações
    F3 - REG:win.ini: run=
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programas\Ficheiros comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\lcmfjhad.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programas\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: (no name) - {930D35D2-094D-41B9-8E89-D1B76F2C6E97} - (no file)
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [HP Software Update] "C:\Programas\HP\HP Software Update\HPWuSchd.exe"
    O4 - HKLM\..\Run: [HPpromo psc 2400 series] "C:\Programas\HP\Digital Imaging\Promotions\HPpromo.exe" /N "psc 2400 series" -r
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programas\Java\jre1.6.0_01\bin\jusched.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIÇO LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Serviço de rede')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programas\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.triudus.pt
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1181236349890
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1181239401234
    O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{03057B91-BCC1-4127-9CB0-BFEB96A68864}: NameServer = 212.55.154.174
    O17 - HKLM\System\CS1\Services\Tcpip\..\{03057B91-BCC1-4127-9CB0-BFEB96A68864}: NameServer = 212.55.154.174
    O17 - HKLM\System\CS2\Services\Tcpip\..\{03057B91-BCC1-4127-9CB0-BFEB96A68864}: NameServer = 212.55.154.174
    O20 - Winlogon Notify: winkve32 - C:\WINDOWS\SYSTEM32\winkve32.dll
    O20 - Winlogon Notify: Xnlptqf - C:\WINDOWS\SYSTEM32\xnlptqf.dll
    O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
    O22 - SharedTaskScheduler: Daemon da cache de categorias dos componentes - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programas\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programas\Ficheiros comuns\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: PCTEL Speaker Phone (Pctspk) - Unknown owner - C:\WINDOWS\system32\pctspk.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

    --
    End of file - 6249 bytes
     
  5. Hellseeker

    Hellseeker Power Member

    Então que dizem????
     
  6. Hellseeker

    Hellseeker Power Member

    Então, ninguem....
     
  7. DekkeR

    DekkeR Power Member

  8. Hellseeker

    Hellseeker Power Member

    Obrigado pela ajuda de todos, acho que já conssegui resolver os problemas, pelo menos parou de enviar e-mails:), mas foi através do spybot, novamente obrigado pela ajuda...
     
  9. Make.Love

    Make.Love Banido

    utiliza a versao free ware da ad-aware da lavasoft. É muito bom tambem, atrevo-me a dizer que melhor que o Spybot S&D! Mas aconselho a teres os 2 instalados e fazeres um scan regular!
     
  10. Hellseeker

    Hellseeker Power Member

    Novo problema.....
    o spybot encontra e apaga, mas depois do boot ele aparece outra vez, o que posso fazer???
     
  11. DekkeR

    DekkeR Power Member

    Desligaste o restauro de sistema ?
     
  12. Hellseeker

    Hellseeker Power Member

    Agora já e já não apareceu, normalmente é por causa disso certo?
     
  13. DekkeR

    DekkeR Power Member

    O restauro de sistema tem essa mania :D

    É sempre aconselhável desligá-lo antes de começar com os 'tratamentos'
     
  14. Hellseeker

    Hellseeker Power Member

    ok afinal não resoveu, aparece depois do boot e depois de entrar no firefox, cria uma chave no registry em hkey_current_user/software/microsoft/windows/windowsops<--cria isto e depois de apagado e com o system restore desligado volta a aparecer...

    -edit-
    No registry basta alterar um valor para o script não correr, certo?
    se sim descobri uma manha, alterei o valor de uma das chaves e depois fiz o teste e o pc pensou que a chave já estava criada e não a alterou....
    a minha pergunta o valor diferente impede o programa de correr???
     
    Última edição: 5 de Julho de 2007
  15. DekkeR

    DekkeR Power Member

    Apagaste estas linhas no hijackthis ?

    F3 - REG:win.ini: run=
    O20 - Winlogon Notify: winkve32 - C:\WINDOWS\SYSTEM32\winkve32.dll
    O20 - Winlogon Notify: Xnlptqf - C:\WINDOWS\SYSTEM32\xnlptqf.dll
     
  16. Hellseeker

    Hellseeker Power Member

    o 1º sim, os outros dois não tenho a certeza, mas quanto á minha pergunta anterior impede ou nem por isso??
    -edit-
    estive a confirmar este depois de corrigido volta a aparecer: O20 - Winlogon Notify: Xnlptqf - C:\WINDOWS\SYSTEM32\xnlptqf.dll[/quote]
    os outros não aparecem...
     
    Última edição: 5 de Julho de 2007
  17. DekkeR

    DekkeR Power Member

    Não sei, mas nunca fiando, apaga isso masé :D

    Aproveita e corre depois o CCleaner para limpar o lixo e o registo
     
  18. Hellseeker

    Hellseeker Power Member

    já me estou a passar com esta porra, agora começou a reiniciar...Alguém sabe do que pode ser??
     
  19. Hellseeker

    Hellseeker Power Member

    novo hijackthis:
    user')
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programas\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programas\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programas\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.triudus.pt
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programas\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1181236349890
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1181239401234
    O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{03057B91-BCC1-4127-9CB0-BFEB96A68864}: NameServer = 212.55.154.174
    O17 - HKLM\System\CS1\Services\Tcpip\..\{03057B91-BCC1-4127-9CB0-BFEB96A68864}: NameServer = 212.55.154.174
    O17 - HKLM\System\CS2\Services\Tcpip\..\{03057B91-BCC1-4127-9CB0-BFEB96A68864}: NameServer = 212.55.154.174
    O22 - SharedTaskScheduler: Pré-carregador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
    O22 - SharedTaskScheduler: Daemon da cache de categorias dos componentes - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programas\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programas\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programas\Ficheiros comuns\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: PCTEL Speaker Phone (Pctspk) - Unknown owner - C:\WINDOWS\system32\pctspk.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

    --
    End of file - 6783 bytes


    Algúm vê alguma coisa?
     
  20. [GT]FARC

    [GT]FARC Power Member

    Boas, o meu pc ontem tambem apanhou um trojan, o avast detectou-o e eu exclui-u...
    Só que hoje deparei-me que nas assinaturas que o pessoal costuma usar da danasoft... dizia o meu ip e tal como é habitual e tambem, dizia "Your System is infected wich trojan", que significa, que o meu pc esteve infectado ou ainda está? Ou não tem nada a haver?
    :) se alguem souber...
    Cumps
     

Partilhar esta Página