1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

winlogon.exe

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por Fred77, 10 de Agosto de 2006. (Respostas: 9; Visualizações: 23921)

  1. Já fazem alguns dias desde que descobri que meu sistema está infectado por alguma coisa (virus, trojan?).

    No task manager, notei a existência de dois processos com o nome "winlogon.exe", e no decorrer dessa semana prestei atenção no comportamento de um deles.

    O winlogon.exe problemático começa (quando o computador acaba de ser iniciado) consumindo por volta de 12000 K de RAM, e lentamente vai aumentando seu consumo, tornando o funcionamento do computador cada vez mais lento, quando não impraticável (na última vez que reiniciei o computador, estava consumindo mais de 300000K. Ele também impossibilita que eu faça logoff do usuário, reinicie, ou mesmo desligue o computador, de forma que quando mencionei a ultima vez que reiniciei o computador, estava falando de um boot frio, dedo no botão, o que não é muito bom para a saúde do HD, penso eu.

    Alguém sabe do que se trata e como eu poderia remover esta peste?

    Agradecido
     
  2. astrisko

    astrisko 1st Folding then Sex

    Em primeiro lugar precisas de verificar se esse winlogon é de facto um trojan, o winlogon real está no system32 do windows, normalmente a vertente trojan está ou na pasta windows ou na pasta system32, mas com um nome ligeiramente diferente. Para o remover penso que basta correres uma qualquer aplicação anti spyware actualizada, ad-aware, spybot, xoftspy, etc, se não funcionar, tens este tutorial para o remover manualmente, se tiveres qualquer dúvida cá estamos.
     
  3. astrisko

    astrisko 1st Folding then Sex

    experimenta também a versão trial do Kaspersky 6
     
  4. help

    fiz uma procura no meu computador por winiogon.exe (o "i" maiúsculo se parece com um L minúsculo), já que vi ser um dos disfarces desta peste em outros casos, mas não encontrei nada.

    Fazendo uma pesquisa por "winlogon.exe", no entanto, encontro três instâncias dele no meu computador, em:

    C:\WINDOWS\system32
    C:\WINDOWS\system32\config
    C:\WINDOWS\system32\dllcache

    Passei hoje o Ewido, que ouvi falar por aqui. Ele encontrou 111 coisas que mandei deletar, mas continuo com dois winlogon.exe no Task Manager, e um deles começa usando 12mb de memoria, e vai aumentando até o computador ficar inutilizável.

    Não creio que anti-spywares vão resolver, pelo menos pelo que andei lendo. Já rodei o Spybot, e hoje o Ewido, sem sucesso para este problema específico (e o pior).

    Aquele manual para remoção se dá no caso desse winlogon.exe falso ser criado no diretorio c:\windows, mas diz-se que no diretorio de sistema (no meu caso, no win xp: c:\windows\system32) está o verdadeiro, o qual não se pode deletar.

    Bem, a pesquisa retornou 3 winlogon.exe, nos caminhos que coloquei acima, todos estão sob system32, um na raiz do system32, outro na subpasta config, e outro na dllcache.

    Não sei como identificar se algum deles é o malfeitor. Alguém sabe como posso curar isso?

    Posso colocar o log do HiJackThis aqui, se alguém achar que ajuda.

    Obrigado pela dica astrisk, vou procurar por esse Kaspersky 6, mas minha intuição diz que esse não vai ser removido tão facilmente assim com softwares de remoção. Talvez necessite edição manual do registro?
     
  5. Lee

    Lee Power Member

    Já tive o mm problema e utilizei a ultima versão do Viruscan da Mcafee e ficou a bombar.
     
  6. DavidJamez

    DavidJamez Power Member

    fazes download do hijackthis neste link http://www.merijn.org/files/hijackthis.zip

    descomprimes o zip para uma pasta genero c:\hijackthis
    abres o ficheiro hijackthis.exe
    escolhes a 1ª opçao "Do a system scan and save a logfile"
    vai aparecer uma janela do notepad com o log do scan e dps postas aki esse log todo
     
  7. DavidJamez,

    Descobri hoje no Ewido, o botão de "Analysis", e sob a aba "Processes", encontrei todos os processos que estão rodando.

    Há um winlogon.exe em "c:\windows\system 32\winlogon.exe
    e há um outro, que aparece com um ícone diferente e que está sob "c:\windows\system32\config\winlogon.exe

    Esse segundo tem um PID consideravelmente mais alto (embora eu não saiba ao certo do que se tratam os PIDs). Através dessa aba de processos do Ewido, deletei esse segundo winlogon (o que está alocado em system32/config), e de fato, voltei a poder desligar/reiniciar/fazer logoff do computador, etc.

    Esse winlogon problemático também sumiu do Task Manager.

    No entanto me vejo tendo que deletá-lo através do Ewido, toda vez que reinicio a máquina, pois ele é criado novamente a cada boot.

    Na dúvida, portanto, vou postar o logfile do HijackThis antes e depois da remoção manual do winlogon.exe dos processos.

    ***** ***** *****

    Este primeiro log foi feito com o winlogon problemático rodando:


    Logfile of HijackThis v1.99.1
    Scan saved at 12:14:25, on 14/8/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.exe
    C:\Arquivos de programas\Winamp\winampa.exe
    C:\Arquivos de programas\QuickTime\qttask.exe
    C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe
    C:\Arquivos de programas\DAEMON Tools\daemon.exe
    C:\Arquivos de programas\Picasa2\PicasaMediaDetector.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\Config\winlogon.exe
    C:\Arquivos de programas\Swift To-Do List\Swift To-Do List Lite.exe
    C:\Arquivos de programas\Camfrog\Camfrog Video Chat 3.72\CamfrogNet.exe
    C:\Arquivos de programas\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
    C:\Arquivos de programas\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
    C:\Arquivos de programas\DigitalPeers\CamTrack\camtrack.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Arquivos de programas\ewido anti-spyware 4.0\ewido.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\_shared\software\metapad.exe
    C:\Documents and Settings\Fred\Desktop\HijackThis.exe

    F2 - REG:system.ini: Shell=Explorer.exe fake.exe
    O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Arquivos de programas\TechSmith\SnagIt 8\SnagItBHO.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Arquivos de programas\GetRight\xx2gr.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
    O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Arquivos de programas\TechSmith\SnagIt 8\SnagItIEAddin.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Smapp] C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Arquivos de programas\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Arquivos de programas\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [win] C:\WINDOWS\system32\Config\winlogon.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [win] C:\WINDOWS\system32\Config\winlogon.exe
    O4 - HKCU\..\Run: [Camfrog] "C:\Arquivos de programas\Camfrog\Camfrog Video Chat 3.72\CamfrogNet.exe" 0 C:\Arquivos de programas\Camfrog\Camfrog Video Chat 3.72\Camfrog Video Chat.exe
    O4 - HKCU\..\Run: [SwiftToDoListLite] C:\Arquivos de programas\Swift To-Do List\Swift To-Do List Lite.exe minimized
    O4 - Startup: CamTrack.lnk = C:\Arquivos de programas\DigitalPeers\CamTrack\camtrack.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Picture Package Menu.lnk = C:\Arquivos de programas\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
    O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Arquivos de programas\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
    O8 - Extra context menu item: Download with GetRight - C:\Arquivos de programas\GetRight\GRdownload.htm
    O8 - Extra context menu item: Open with GetRight Browser - C:\Arquivos de programas\GetRight\GRbrowse.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: Adobe LM Service - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe


    ***** ***** *****


    Este segundo logfile foi feito após remover o winlogon que estava sob system32\config (algo que só pude fazer através da arvore de processos do Ewido, pois ao tentar matar o processo pelo Task Manager ele diz estar sendo usado.


    Logfile of HijackThis v1.99.1
    Scan saved at 12:19:54, on 14/8/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.exe
    C:\Arquivos de programas\Winamp\winampa.exe
    C:\Arquivos de programas\QuickTime\qttask.exe
    C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe
    C:\Arquivos de programas\DAEMON Tools\daemon.exe
    C:\Arquivos de programas\Picasa2\PicasaMediaDetector.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Arquivos de programas\Swift To-Do List\Swift To-Do List Lite.exe
    C:\Arquivos de programas\Camfrog\Camfrog Video Chat 3.72\CamfrogNet.exe
    C:\Arquivos de programas\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
    C:\Arquivos de programas\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
    C:\Arquivos de programas\DigitalPeers\CamTrack\camtrack.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Arquivos de programas\ewido anti-spyware 4.0\ewido.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\_shared\software\metapad.exe
    C:\Documents and Settings\Fred\Desktop\HijackThis.exe

    F2 - REG:system.ini: Shell=Explorer.exe fake.exe
    O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Arquivos de programas\TechSmith\SnagIt 8\SnagItBHO.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Arquivos de programas\GetRight\xx2gr.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
    O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Arquivos de programas\TechSmith\SnagIt 8\SnagItIEAddin.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Smapp] C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Arquivos de programas\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Arquivos de programas\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [win] C:\WINDOWS\system32\Config\winlogon.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [win] C:\WINDOWS\system32\Config\winlogon.exe
    O4 - HKCU\..\Run: [Camfrog] "C:\Arquivos de programas\Camfrog\Camfrog Video Chat 3.72\CamfrogNet.exe" 0 C:\Arquivos de programas\Camfrog\Camfrog Video Chat 3.72\Camfrog Video Chat.exe
    O4 - HKCU\..\Run: [SwiftToDoListLite] C:\Arquivos de programas\Swift To-Do List\Swift To-Do List Lite.exe minimized
    O4 - Startup: CamTrack.lnk = C:\Arquivos de programas\DigitalPeers\CamTrack\camtrack.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Picture Package Menu.lnk = C:\Arquivos de programas\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
    O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Arquivos de programas\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
    O8 - Extra context menu item: Download with GetRight - C:\Arquivos de programas\GetRight\GRdownload.htm
    O8 - Extra context menu item: Open with GetRight Browser - C:\Arquivos de programas\GetRight\GRbrowse.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: Adobe LM Service - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
     
  8. DavidJamez

    DavidJamez Power Member

    seleciona esses na lista e carrega em Fix Selected
    reinicia o pc e volta a postar novo log aqui.
     
  9. Enfim!

    Muito obrigado, DavidJamez.
    Não encontro mais o winlogon.exe malicioso.

    Aqui vai o log atual do HJT, após o reboot. Se enxergar alguma coisa estranha, por favor avise.

    ***

    Logfile of HijackThis v1.99.1
    Scan saved at 22:17:28, on 14/8/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Arquivos de programas\Winamp\winampa.exe
    C:\Arquivos de programas\QuickTime\qttask.exe
    C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe
    C:\Arquivos de programas\DAEMON Tools\daemon.exe
    C:\Arquivos de programas\Picasa2\PicasaMediaDetector.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Arquivos de programas\Camfrog\Camfrog Video Chat 3.72\CamfrogNet.exe
    C:\Arquivos de programas\Swift To-Do List\Swift To-Do List Lite.exe
    C:\Arquivos de programas\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
    C:\Arquivos de programas\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
    C:\Arquivos de programas\DigitalPeers\CamTrack\camtrack.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Documents and Settings\Fred\Desktop\HijackThis.exe

    O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Arquivos de programas\TechSmith\SnagIt 8\SnagItBHO.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Arquivos de programas\GetRight\xx2gr.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
    O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Arquivos de programas\TechSmith\SnagIt 8\SnagItIEAddin.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Smapp] C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exe
    O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Arquivos de programas\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Arquivos de programas\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Camfrog] "C:\Arquivos de programas\Camfrog\Camfrog Video Chat 3.72\CamfrogNet.exe" 0 C:\Arquivos de programas\Camfrog\Camfrog Video Chat 3.72\Camfrog Video Chat.exe
    O4 - HKCU\..\Run: [SwiftToDoListLite] C:\Arquivos de programas\Swift To-Do List\Swift To-Do List Lite.exe minimized
    O4 - Startup: CamTrack.lnk = C:\Arquivos de programas\DigitalPeers\CamTrack\camtrack.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Picture Package Menu.lnk = C:\Arquivos de programas\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
    O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Arquivos de programas\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
    O8 - Extra context menu item: Download with GetRight - C:\Arquivos de programas\GetRight\GRdownload.htm
    O8 - Extra context menu item: Open with GetRight Browser - C:\Arquivos de programas\GetRight\GRbrowse.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
    O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: Adobe LM Service - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

    ***

    abraço
     
  10. Iv0

    Iv0

    Boas pessoal. Eu estou com o mesmo problema que o Fred77 mas já apaguei o winlogon problemático e também já consigo encerrar o pc e isso, mas agora quando ligo o pc, mesmo sem dar erro, o ambiente de trabalho continua a reiniciar. Podem-me ajudar? Obrigado.
     

Partilhar esta Página