Jump to content
Fórum Script Brasil
  • 0

[Resolvido]Erro: Generic Host Process For Win 32


kuroi
 Share

Question

não sei qual é secao mais indicada pra essa duvida, fiquei em duvida entre aqui e Outros Assuntos, mas acho que se encaxa melhor aqui.

é o seguinte, acho que esse erro é relacionado com o speedy. de tempos em tempos no meu pc aparece a seguinte janela de erro:

post-9195-1184634863_thumb.jpg

tem que vez que não aparece uma o dia intero. mas tem dia que eu saio de casa e quando volto tem mais de 10 dessas abertas.

o problema maior é que quando eu clico não enviar, a conexao com o speedy cai. tipo, o icone da conexao continua ativa e diz que esta conectado. mas ele não carrega mais nd, e se eu tentar desconectar e conectar de novo, ele não conecta, tenhjo que reiniciar o pc.

a solucao que eu arranjei é puxar a janelinha pro canto do monitor onde ela some, mas é um saco, ficam mais de 10 janelas abertas e não para de aparecer.

me falaram que isso acontece porque uso a conexao do speedy que vem do cd. tipo é um software que instalo que conecta na internet. e que eu deveria criar a conexao direto pelo windows no painel de controle e, conectando por ai, o problema seria resolvido.

fiz isso mas não resolveu, alguém sabe o que pode ser?

EDITADO:

talvez isso ajude, na janela anterior, se clico em "Clique Aqui" ele abre essa outra janela:

post-9195-1184635365_thumb.jpg

parece que esse problema esta relacionado com o processo svchost.exe, que alias também tem varios desses rodando no meu windows. o que ele faz??

EDITADO DE NOVO:

esquci de dizer, mas as vezes também aparece essa janelinha aqui:

post-9195-1184635606_thumb.jpg

apesar de ser muito mais rara que a primeira, também aparece bastante. e também se eu clico qualquer botao nela ou se clico pra fechar, ele abre uma janela do Visual Studio 2005 (que tenho insttalado no pc) pra eu debugar o erro. se fecho essa janela do vs, a conexao também cai exatamente como acima.

Edited by kuroi
Link to comment
Share on other sites

Recommended Posts

  • 0

a não quis postar aqui porque não achei que tivesse relacao. não achei que pudesse ser virus ou spyware também porque recentemente fiz uma gde limpeza no meu pc com o avast e o spybot. mas o log é esse:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:47:59, on 17/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Punk\ScreenMates\MULTISP.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Programas\Wamp\wampmanager.exe

C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

c:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_10245647.exe

C:\WINDOWS\System32\svchost.exe

C:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_10245647_0.dir\wcg_hpf2_rosetta.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\winmds.exe

C:\WINDOWS\system32\winmds.exe

C:\WINDOWS\system32\dwwin.exe

C:\WINDOWS\system32\dwwin.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!]C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\LXCCtime.dll,[email protected]

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [bitTorrent] "C:\Arquivos de programas\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MULTISP.lnk = C:\Punk\ScreenMates\MULTISP.EXE

O4 - Startup: Speedy.lnk = ?

O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe

O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

O17 - HKLM\System\CCS\Services\Tcpip\..\{BB982D37-D66C-4BA0-B2A2-22020FE311D7}: NameServer = 85.255.116.121,85.255.112.69

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.121 85.255.112.69

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.121 85.255.112.69

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.121 85.255.112.69

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--

End of file - 7203 bytes

Link to comment
Share on other sites

  • 0

Ok...

Baixe o FixWareout.exe e salve na área de trabalho.

Dê um duplo-clique em FixWareout.exe para proceder à instalação. Clique no botão Next e depois em Install.

Verifique se a caixa Run fixit está marcada e depois clique em Finish.

Siga as instruções do programa e quando perguntar se quer reiniciar (restart), dê o Sim.

Vai demorar um pouco para reiniciar e carregar completamente, aguarde. Verifique se há em C:\ um report.txt. Veja o caminho: C:\fixwareout\report.txt.

Reinicie.

Poste um novo Log do Hijackthis e poste a sua resposta o log report.txt.

Acesse este site: http://virusscan.jotti.org/

Em File to upload coloque: C:\WINDOWS\system32\winmds.exe

Em seguida clique em Submit

Copie e poste o resultado deste exame.

Link to comment
Share on other sites

  • 0

Ok...

Baixe o Pocket KillBox

Salve em uma pasta em C:\

Abra o Bloco de Notas, copie estas linhas e salve.

C:\WINDOWS\system32\winmds.exe

Abra o KillBox e marque a função Delete on Reboot. Abra o Bloco de notas, selecione e copie as linhas salvas. No KillBox, clique em File, depois em Paste from Clipboard, Clique no botão All Files e clique no botão killbox.png . Depois clique em Não.

Abra o Hijackthis, clique em Do scan a system only, marque as entradas abaixo e clique no botão Fix Checked.

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

Reinicie e poste um novo Log do Hijackthis feito em Modo Normal.

Conhece este programa:

C:\Punk\ScreenMates\MULTISP.EXE

Link to comment
Share on other sites

  • 0

valeu, não to em casa agora, quando chegar vo fazer tdo isso.

mas esse killbox vai apagar o arquivo winmds.exe, não?? não tem problema apagar?? não é um arquivo de sistema do windows??

Conhece este programa:

C:\Punk\ScreenMates\MULTISP.EXE

conheco, é um bonequinho que eu instalei que aparece em cima das minhas janelas pra me faze compania. senao me sinto sozinho... zuera, mas é um screenmate, é mesmo um bonequinho que aparece nas janelas. acredito ser inofensivo, pois screenmates são bem comuns. pelo menos sei que com esse problema ele não ta relacionado.

Link to comment
Share on other sites

  • 0

a linha do 017 continua la igualzinha. sera que fiz alguma coisa errada?? o que é modo normal??

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:19:41, on 19/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Punk\ScreenMates\MULTISP.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Programas\Wamp\wampmanager.exe

C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

C:\WINDOWS\System32\svchost.exe

c:\Programas\Wamp\apache2\bin\httpd.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401.exe

C:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401_0.dir\WCGrid_AutoDock.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!]C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\LXCCtime.dll,[email protected]

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [bitTorrent] "C:\Arquivos de programas\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MULTISP.lnk = C:\Punk\ScreenMates\MULTISP.EXE

O4 - Startup: Speedy.lnk = ?

O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe

O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--

End of file - 6773 bytes

EDITADO:

alias, o problema da janelinha ainda continua

Edited by kuroi
Link to comment
Share on other sites

  • 0

Modo Normal é aquele que você executa normalmente, você tem várias opções:

Modo Normal

Modo Seguro

Modo Seguro com rede

Modo seguro com prompt

Reinicie em Modo de Segurança (Pressione intermitentemente F8 durante a inicialização, no menu que aparecer escolha através da seta de navegação, Modo Seguro).

Abra o Hijackthis, clique em Do scan a system only, marque as entradas abaixo e clique no botão Fix Checked.

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

Reinicie e poste um novo Log do Hijackthis feito em Modo Normal.

Link to comment
Share on other sites

  • 0

não consigo entrar em modo de seguranca, alias, nunca consegui, tanto que achei que nem tivesse isso pra xp. se aperto f8 ele pede pra escolher a unidade que vai bootar. se é disquete, cd ou hd.

tem outro jeito?? sera que isso varia de placa pra placa?? apesar de que olhei no meu manual e não achei nd

EDITADO:

renato, não sei se é coincidencia, mas parece que quando eu ponho fix no 017 e faco outro scan, o 017 some e a janelinha para de aparecer. não da pra ter certeza que teja relacionado com o 017, ainda é cedo pra falar, já que as janelinhas não seguem um padrão, normalmente tem vez que aparecem direto e tem vez que quase não aparecem o dia inteiro. mas parece quando eu ponho fix no 017 elas somem mesmo. mas toda vez que abro o windows o 017 volta a aprecer (apesar que quando eu ponho pra ver o info do 017, ele diz "Registry value is deleted"). porque sera??

Edited by kuroi
Link to comment
Share on other sites

  • 0

novo log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:12:28, on 22/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\Arquivos de programas\eMule\emule.exe
C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Punk\ScreenMates\MULTISP.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
c:\Programas\Wamp\mysql\bin\mysqld-nt.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\Programas\Wamp\wampmanager.exe
C:\Arquivos de programas\WorldCommunityGrid\UD.EXE
c:\Programas\Wamp\apache2\bin\httpd.exe
C:\Arquivos de programas\WorldCommunityGrid\ud_8401401.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\WorldCommunityGrid\ud_8401401_0.dir\WCGrid_AutoDock.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Programas\Wamp\apache2\bin\httpd.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/
R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\LXCCtime.dll,[email protected]
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BitTorrent] "C:\Arquivos de programas\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MULTISP.lnk = C:\Punk\ScreenMates\MULTISP.EXE
O4 - Startup: Speedy.lnk = ?
O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe
O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69
O20 - AppInit_DLLs:  
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--
End of file - 6773 bytes[/code]

isso devia resolver o problema ou devo fazer mais alguma coisa??

de qualquer forma, ainda é cedo pra falar se deu certo. precisaria de uns dois ou tres dias pra ter certeza

Link to comment
Share on other sites

  • 0
isso devia resolver o problema ou devo fazer mais alguma coisa??

de qualquer forma, ainda é cedo pra falar se deu certo. precisaria de uns dois ou tres dias pra ter certeza

é, não resolveu... a janelinha ainda aparece. o que fazer??

Link to comment
Share on other sites

  • 0

Faça o download do Wareout.reg

http://linhadefensiva.uol.com.br/files/reg/wareout.reg

Faça o download do Brute Force Uninstaller

http://linhadefensiva.uol.com.br/dl/bfu

Talvez você queira imprimir essas instruções ou salvá-las em um arquivo texto para fácil acesso.

Extraia o arquivo BFU.zip. Mova o arquivo BFU.exe para seguinte pasta: C:\Fixwareout\Sub

Abra a pasta C:\Fixwareout e dê um duplo clique em FixIt.bat para iniciar a ferramenta.

Siga as instruções do programa e quando perguntar se quer reiniciar (restart), clique em Sim.

Reinicie o computador no Modo de Segurança apertando F8 logo que iniciar até aparecer um menu onde você pode selecionar a opção Modo Seguro ou Modo de Segurança.

Abra o Hijackthis, clique em Do scan a system only, marque a entrada abaixo e clique no botão Fix Checked.

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

Feche o Hijackthis.

Dê dois cliques no arquivo wareout.reg. Ao ser perguntado se gostaria de inserir as informações no registro, clique em Sim, em seguida Ok.

Reinicie e poste um novo Log do Hijackthis.

Link to comment
Share on other sites

  • 0

então, quando reinicio em modo de seguranca, a chave do 017 não aparece mais no hijackthis.

então fiz td como você falou, menos clicar em Fix Checked.

novo log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:03:08, on 23/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Punk\ScreenMates\MULTISP.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Programas\Wamp\wampmanager.exe

C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

c:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401_0.dir\WCGrid_AutoDock.exe

C:\WINDOWS\System32\svchost.exe

C:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!]C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\LXCCtime.dll,[email protected]

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [bitTorrent] "C:\Arquivos de programas\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MULTISP.lnk = C:\Punk\ScreenMates\MULTISP.EXE

O4 - Startup: Speedy.lnk = ?

O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe

O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--

End of file - 6773 bytes

EDITADO:

problema não resolvido

Edited by kuroi
Link to comment
Share on other sites

  • 0

o 017 não some mesmo

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:30:39, on 24/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Punk\ScreenMates\MULTISP.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Programas\Wamp\wampmanager.exe

C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

c:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401_0.dir\WCGrid_AutoDock.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!]C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\LXCCtime.dll,[email protected]

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [bitTorrent] "C:\Arquivos de programas\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MULTISP.lnk = C:\Punk\ScreenMates\MULTISP.EXE

O4 - Startup: Speedy.lnk = ?

O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe

O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--

End of file - 6773 bytes

EDITADO:

tava reparando agora, como eu disse, quando eu clico em fixchecked no 017, ele some ate que eu reinicie o pc. e quando ele some a janelinha para de aparecer. mas eu reparei que quando ele some depois de um tempo, a conexao cai. tipo o emule continua funcionando, mas aos pocos não consigo mais acessar os sites tanto no ie quanto no ff.

outra coisa, quando vocês me mandarem fazer qualquer coisa, tem como explicar o que eu to fazendo?? tipo o que é cada coisa, porque eu to fazendo aquilo?? sei que eu não vo entender nd, mas queria pelo menos tentar. por exemplo:

- o que é o 017??

- porque você acha que o problema ta la??

- pra que serve o fixwareout??

- porque copiei o BFU pra pasta sub??

- pra que serve clicar no fixchecked??

- o 017 é uma chave de registro do windows certo?? relacionada com que??

- quando clico em fixchecked o que acontece com o 017?? ela devia sumir??

- porque não some??

- o que faz o wareout.reg??

valeu pela ajuda

EDITADO DE NOVO:

alias, problema não resolvido

Edited by kuroi
Link to comment
Share on other sites

  • 0
EDITADO:

tava reparando agora, como eu disse, quando eu clico em fixchecked no 017, ele some ate que eu reinicie o pc. e quando ele some a janelinha para de aparecer. mas eu reparei que quando ele some depois de um tempo, a conexao cai. tipo o emule continua funcionando, mas aos pocos não consigo mais acessar os sites tanto no ie quanto no ff.

outra coisa, quando vocês me mandarem fazer qualquer coisa, tem como explicar o que eu to fazendo?? tipo o que é cada coisa, porque eu to fazendo aquilo?? sei que eu não vo entender nd, mas queria pelo menos tentar. por exemplo:

- o que é o 017??

- porque você acha que o problema ta la??

- pra que serve o fixwareout??

- porque copiei o BFU pra pasta sub??

- pra que serve clicar no fixchecked??

- o 017 é uma chave de registro do windows certo?? relacionada com que??

- quando clico em fixchecked o que acontece com o 017?? ela devia sumir??

- porque não some??

- o que faz o wareout.reg??

Vamos as suas perguntas, geralmente não explicamos o que cada coisa faz porque geralmente exige-se um conhecimento técnico no assunto para entender.

- o que é o 017??

A entrada O17 lista diversas configurações de rede/Internet do Windows.

- porque você acha que o problema ta la??

Porque estamos no Brasil, não temos configurações começando por 85, isso é de um malware conhecido como Wareout ele instala aplicativos de segurança que não funcionam de forma correta. Apesar do objetivo ser o mesmo (convencer o usuário a gastar dinheiro com um software que não funciona).

- pra que serve o fixwareout??

Corretor do Wareout.

- porque copiei o BFU pra pasta sub??

Procedimento padrão quando há uma entrada persistente como é o seu caso.

- pra que serve clicar no fixchecked??

Você elimina a chave no registro dela.

- o 017 é uma chave de registro do windows certo?? relacionada com que??

Relacionada com suas configurações de rede/internet.

- quando clico em fixchecked o que acontece com o 017?? ela devia sumir??

Sim, deveria ser apagada.

- porque não some??

É o que estou tentando descobrir.

- o que faz o wareout.reg??

Ele zera a chave "System" na WinlogonNotify.

-----------------------

Agora vamos a análise.

Baixe o WinSock XP Fix

Reinicie em Modo de Segurança (Pressione intermitentemente F8 durante a inicialização, no menu que aparecer escolha através da seta de navegação, Modo Seguro).

Execute o WinSock XP Fix

Reinicie e poste um novo Log do Hijackthis feito em Modo Normal.

Link to comment
Share on other sites

  • 0

a valeu, agora sim. não entendi mta coisa mesmo mas é estranho ce fazer um mte de coisa, baxar uma porrada de programa sem ter a minima ideia do que é td isso.

bom, a chave do 017 continua la, mesmo depois do winsockfix, mas descobri uma coisa, assim que ligo meu pc, se executo o scan no hijackthis, a chave 017 não aparece. ela so aparece depois que eu conecto no speedy na internet. o que acontece é que eu tinha posto a conexao pro speedy no menu Programas -> Inicializar, assim sempre que eu ligava o windows ele já conectava, assim sempre que eu executava o scan, ele me mostrava o 017. mas como ele não aparecia no modo de seguranca, achei que pudesse ser algum programa que, depois de aberto, pusesse a chave la.

então fiz o teste com a conexao do speedy e era ela mesma. a chave so aparece depois de conectado.

sera que sabendo disso fica mais facil??

ou sera que você já sabia e só eu que não....

mas o novo log é esse (depois de conectado):

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:53:16, on 26/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Programas\Wamp\wampmanager.exe

C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401_0.dir\WCGrid_AutoDock.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

c:\Programas\Wamp\apache2\bin\httpd.exe

C:\Programas\Wamp\apache2\bin\httpd.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!]C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\LXCCtime.dll,[email protected]

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [bitTorrent] "C:\Arquivos de programas\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe

O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--

End of file - 6718 bytes

Link to comment
Share on other sites

  • 0

Muito estranho, vamos ver uma análise com o ComboFix:

Faça o download do ComboFix

É importante que o salve no seu desktop (ambiente de trabalho)

  • Feche todas as janelas e programas.
  • Dê um duplo-clique no combofix.exe, marque 1 e dê o enter.
  • É um pouco demorado, por favor seja paciente.
  • Quando a ferramenta terminar de rodar, gerará um log. Poste o arquivo C:\ComboFix.txt
  • Faça também um novo log do HijackThis para colocar na sua resposta.
Atenção: Não clique com o mouse enquanto a ferramenta estiver rodando, isso pode fazer com que o PC pare.
Link to comment
Share on other sites

  • 0

Clique em Iniciar, depois em Executar e escreva: regedit e dê o OK.

  • Em cima à esquerda, clique em Meu Computador (fica selecionado com a côr azul).
  • Clique em Arquivo, depois em Exportar
  • Escolha "Salvar como"... Arquivos de Registro
  • Coloque o nome: RegBackup
  • Salve-o em C:\
  • Saia do Editor de registro.
Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está dentro do "Quote":

File::

C:\WINDOWS\system32\mst.exe

C:\WINDOWS\system32\lsasss.exe

C:\Arquivos de programas\Flash.exe

C:\winstall.exe

Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flash][-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Flash.exe]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark_X79-55]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mst]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows installer]

  • Salve este arquivo como: CFScript.txt

    cfscriptuq2.gif

  • Tal como exemplificado na foto acima, arraste o arquivo CFScript.txt para o ComboFix.exe

  • Baixe o ATF-Cleaner

  • Rode o ATF-Cleaner.

    Marque Select All. Depois clique em Empty Selected. Na janela Done Cleaning dê o OK e Exit.

  • Baixe o move-zonebac.vbs

  • Rode o move-zonebac.vbs e irá aparecer um prompt "Mover arquivos detectados genericamente?" [sim/Não]

    Dê o Não. A ferramenta começerá o exame do PC. Aguarde, pois isso pode demorar.

  • Ao final abrirá um relatório. Salve, copie e cole o conteúdo na sua próxima resposta, juntamente com um novo log do HijackThis feito em modo normal e o log do ComboFix.
Link to comment
Share on other sites

  • 0

1 - Reinicie o PC e aperte F8 intermitentemente. No menu escolha: modo seguro.

2 - Rode o move-zonebac.vbs e irá aparecer um prompt "Mover arquivos detectados genericamente?" [sim/Não]

Dê o Sim e aparecerá o prompt "Filtro para arquivos que não serão movidos: (separe por ';')"

Coloque: bittorrent.exe

Depois dê o OK.

3 - Reinicie o PC normalmente. Rode o move-zonebac.vbs e irá aparecer um prompt "Mover arquivos detectados genericamente?" [sim/Não]

Dê o Não. A ferramenta começerá o exame do PC. Aguarde, pois isso pode demorar.

- Ao final abrirá um relatório. Salve, copie e cole o conteúdo na sua próxima resposta, juntamente com um novo log do HijackThis.

Link to comment
Share on other sites

 Share

  • Forum Statistics

    • Total Topics
      149.8k
    • Total Posts
      646.6k
×
×
  • Create New...