Ir para conteúdo
Fórum Script Brasil
  • 0

[Resolvido]Erro: Generic Host Process For Win 32


kuroi

Pergunta

não sei qual é secao mais indicada pra essa duvida, fiquei em duvida entre aqui e Outros Assuntos, mas acho que se encaxa melhor aqui.

é o seguinte, acho que esse erro é relacionado com o speedy. de tempos em tempos no meu pc aparece a seguinte janela de erro:

post-9195-1184634863_thumb.jpg

tem que vez que não aparece uma o dia intero. mas tem dia que eu saio de casa e quando volto tem mais de 10 dessas abertas.

o problema maior é que quando eu clico não enviar, a conexao com o speedy cai. tipo, o icone da conexao continua ativa e diz que esta conectado. mas ele não carrega mais nd, e se eu tentar desconectar e conectar de novo, ele não conecta, tenhjo que reiniciar o pc.

a solucao que eu arranjei é puxar a janelinha pro canto do monitor onde ela some, mas é um saco, ficam mais de 10 janelas abertas e não para de aparecer.

me falaram que isso acontece porque uso a conexao do speedy que vem do cd. tipo é um software que instalo que conecta na internet. e que eu deveria criar a conexao direto pelo windows no painel de controle e, conectando por ai, o problema seria resolvido.

fiz isso mas não resolveu, alguém sabe o que pode ser?

EDITADO:

talvez isso ajude, na janela anterior, se clico em "Clique Aqui" ele abre essa outra janela:

post-9195-1184635365_thumb.jpg

parece que esse problema esta relacionado com o processo svchost.exe, que alias também tem varios desses rodando no meu windows. o que ele faz??

EDITADO DE NOVO:

esquci de dizer, mas as vezes também aparece essa janelinha aqui:

post-9195-1184635606_thumb.jpg

apesar de ser muito mais rara que a primeira, também aparece bastante. e também se eu clico qualquer botao nela ou se clico pra fechar, ele abre uma janela do Visual Studio 2005 (que tenho insttalado no pc) pra eu debugar o erro. se fecho essa janela do vs, a conexao também cai exatamente como acima.

Editado por kuroi
Link para o comentário
Compartilhar em outros sites

Posts Recomendados

  • 0

a não quis postar aqui porque não achei que tivesse relacao. não achei que pudesse ser virus ou spyware também porque recentemente fiz uma gde limpeza no meu pc com o avast e o spybot. mas o log é esse:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:47:59, on 17/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Punk\ScreenMates\MULTISP.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Programas\Wamp\wampmanager.exe

C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

c:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_10245647.exe

C:\WINDOWS\System32\svchost.exe

C:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_10245647_0.dir\wcg_hpf2_rosetta.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\winmds.exe

C:\WINDOWS\system32\winmds.exe

C:\WINDOWS\system32\dwwin.exe

C:\WINDOWS\system32\dwwin.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!]C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [bitTorrent] "C:\Arquivos de programas\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MULTISP.lnk = C:\Punk\ScreenMates\MULTISP.EXE

O4 - Startup: Speedy.lnk = ?

O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe

O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

O17 - HKLM\System\CCS\Services\Tcpip\..\{BB982D37-D66C-4BA0-B2A2-22020FE311D7}: NameServer = 85.255.116.121,85.255.112.69

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.121 85.255.112.69

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.121 85.255.112.69

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.121 85.255.112.69

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--

End of file - 7203 bytes

Link para o comentário
Compartilhar em outros sites

  • 0

Ok...

Baixe o FixWareout.exe e salve na área de trabalho.

Dê um duplo-clique em FixWareout.exe para proceder à instalação. Clique no botão Next e depois em Install.

Verifique se a caixa Run fixit está marcada e depois clique em Finish.

Siga as instruções do programa e quando perguntar se quer reiniciar (restart), dê o Sim.

Vai demorar um pouco para reiniciar e carregar completamente, aguarde. Verifique se há em C:\ um report.txt. Veja o caminho: C:\fixwareout\report.txt.

Reinicie.

Poste um novo Log do Hijackthis e poste a sua resposta o log report.txt.

Acesse este site: http://virusscan.jotti.org/

Em File to upload coloque: C:\WINDOWS\system32\winmds.exe

Em seguida clique em Submit

Copie e poste o resultado deste exame.

Link para o comentário
Compartilhar em outros sites

  • 0

Ok...

Baixe o Pocket KillBox

Salve em uma pasta em C:\

Abra o Bloco de Notas, copie estas linhas e salve.

C:\WINDOWS\system32\winmds.exe

Abra o KillBox e marque a função Delete on Reboot. Abra o Bloco de notas, selecione e copie as linhas salvas. No KillBox, clique em File, depois em Paste from Clipboard, Clique no botão All Files e clique no botão killbox.png . Depois clique em Não.

Abra o Hijackthis, clique em Do scan a system only, marque as entradas abaixo e clique no botão Fix Checked.

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

Reinicie e poste um novo Log do Hijackthis feito em Modo Normal.

Conhece este programa:

C:\Punk\ScreenMates\MULTISP.EXE

Link para o comentário
Compartilhar em outros sites

  • 0

valeu, não to em casa agora, quando chegar vo fazer tdo isso.

mas esse killbox vai apagar o arquivo winmds.exe, não?? não tem problema apagar?? não é um arquivo de sistema do windows??

Conhece este programa:

C:\Punk\ScreenMates\MULTISP.EXE

conheco, é um bonequinho que eu instalei que aparece em cima das minhas janelas pra me faze compania. senao me sinto sozinho... zuera, mas é um screenmate, é mesmo um bonequinho que aparece nas janelas. acredito ser inofensivo, pois screenmates são bem comuns. pelo menos sei que com esse problema ele não ta relacionado.

Link para o comentário
Compartilhar em outros sites

  • 0

a linha do 017 continua la igualzinha. sera que fiz alguma coisa errada?? o que é modo normal??

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:19:41, on 19/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Punk\ScreenMates\MULTISP.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Programas\Wamp\wampmanager.exe

C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

C:\WINDOWS\System32\svchost.exe

c:\Programas\Wamp\apache2\bin\httpd.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401.exe

C:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401_0.dir\WCGrid_AutoDock.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!]C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [bitTorrent] "C:\Arquivos de programas\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MULTISP.lnk = C:\Punk\ScreenMates\MULTISP.EXE

O4 - Startup: Speedy.lnk = ?

O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe

O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--

End of file - 6773 bytes

EDITADO:

alias, o problema da janelinha ainda continua

Editado por kuroi
Link para o comentário
Compartilhar em outros sites

  • 0

Modo Normal é aquele que você executa normalmente, você tem várias opções:

Modo Normal

Modo Seguro

Modo Seguro com rede

Modo seguro com prompt

Reinicie em Modo de Segurança (Pressione intermitentemente F8 durante a inicialização, no menu que aparecer escolha através da seta de navegação, Modo Seguro).

Abra o Hijackthis, clique em Do scan a system only, marque as entradas abaixo e clique no botão Fix Checked.

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

Reinicie e poste um novo Log do Hijackthis feito em Modo Normal.

Link para o comentário
Compartilhar em outros sites

  • 0

não consigo entrar em modo de seguranca, alias, nunca consegui, tanto que achei que nem tivesse isso pra xp. se aperto f8 ele pede pra escolher a unidade que vai bootar. se é disquete, cd ou hd.

tem outro jeito?? sera que isso varia de placa pra placa?? apesar de que olhei no meu manual e não achei nd

EDITADO:

renato, não sei se é coincidencia, mas parece que quando eu ponho fix no 017 e faco outro scan, o 017 some e a janelinha para de aparecer. não da pra ter certeza que teja relacionado com o 017, ainda é cedo pra falar, já que as janelinhas não seguem um padrão, normalmente tem vez que aparecem direto e tem vez que quase não aparecem o dia inteiro. mas parece quando eu ponho fix no 017 elas somem mesmo. mas toda vez que abro o windows o 017 volta a aprecer (apesar que quando eu ponho pra ver o info do 017, ele diz "Registry value is deleted"). porque sera??

Editado por kuroi
Link para o comentário
Compartilhar em outros sites

  • 0

novo log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:12:28, on 22/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Arquivos de programas\Messenger\msmsgs.exe
C:\Arquivos de programas\eMule\emule.exe
C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Punk\ScreenMates\MULTISP.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
c:\Programas\Wamp\mysql\bin\mysqld-nt.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\Programas\Wamp\wampmanager.exe
C:\Arquivos de programas\WorldCommunityGrid\UD.EXE
c:\Programas\Wamp\apache2\bin\httpd.exe
C:\Arquivos de programas\WorldCommunityGrid\ud_8401401.exe
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\WorldCommunityGrid\ud_8401401_0.dir\WCGrid_AutoDock.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Programas\Wamp\apache2\bin\httpd.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/
R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [BitTorrent] "C:\Arquivos de programas\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MULTISP.lnk = C:\Punk\ScreenMates\MULTISP.EXE
O4 - Startup: Speedy.lnk = ?
O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe
O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69
O20 - AppInit_DLLs:  
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--
End of file - 6773 bytes[/code]

isso devia resolver o problema ou devo fazer mais alguma coisa??

de qualquer forma, ainda é cedo pra falar se deu certo. precisaria de uns dois ou tres dias pra ter certeza

Link para o comentário
Compartilhar em outros sites

  • 0
isso devia resolver o problema ou devo fazer mais alguma coisa??

de qualquer forma, ainda é cedo pra falar se deu certo. precisaria de uns dois ou tres dias pra ter certeza

é, não resolveu... a janelinha ainda aparece. o que fazer??

Link para o comentário
Compartilhar em outros sites

  • 0

Faça o download do Wareout.reg

http://linhadefensiva.uol.com.br/files/reg/wareout.reg

Faça o download do Brute Force Uninstaller

http://linhadefensiva.uol.com.br/dl/bfu

Talvez você queira imprimir essas instruções ou salvá-las em um arquivo texto para fácil acesso.

Extraia o arquivo BFU.zip. Mova o arquivo BFU.exe para seguinte pasta: C:\Fixwareout\Sub

Abra a pasta C:\Fixwareout e dê um duplo clique em FixIt.bat para iniciar a ferramenta.

Siga as instruções do programa e quando perguntar se quer reiniciar (restart), clique em Sim.

Reinicie o computador no Modo de Segurança apertando F8 logo que iniciar até aparecer um menu onde você pode selecionar a opção Modo Seguro ou Modo de Segurança.

Abra o Hijackthis, clique em Do scan a system only, marque a entrada abaixo e clique no botão Fix Checked.

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

Feche o Hijackthis.

Dê dois cliques no arquivo wareout.reg. Ao ser perguntado se gostaria de inserir as informações no registro, clique em Sim, em seguida Ok.

Reinicie e poste um novo Log do Hijackthis.

Link para o comentário
Compartilhar em outros sites

  • 0

então, quando reinicio em modo de seguranca, a chave do 017 não aparece mais no hijackthis.

então fiz td como você falou, menos clicar em Fix Checked.

novo log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:03:08, on 23/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Punk\ScreenMates\MULTISP.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Programas\Wamp\wampmanager.exe

C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

c:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401_0.dir\WCGrid_AutoDock.exe

C:\WINDOWS\System32\svchost.exe

C:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!]C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [bitTorrent] "C:\Arquivos de programas\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MULTISP.lnk = C:\Punk\ScreenMates\MULTISP.EXE

O4 - Startup: Speedy.lnk = ?

O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe

O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--

End of file - 6773 bytes

EDITADO:

problema não resolvido

Editado por kuroi
Link para o comentário
Compartilhar em outros sites

  • 0

o 017 não some mesmo

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:30:39, on 24/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Punk\ScreenMates\MULTISP.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Programas\Wamp\wampmanager.exe

C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

c:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programas\Wamp\apache2\bin\httpd.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401_0.dir\WCGrid_AutoDock.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!]C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [bitTorrent] "C:\Arquivos de programas\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MULTISP.lnk = C:\Punk\ScreenMates\MULTISP.EXE

O4 - Startup: Speedy.lnk = ?

O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe

O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--

End of file - 6773 bytes

EDITADO:

tava reparando agora, como eu disse, quando eu clico em fixchecked no 017, ele some ate que eu reinicie o pc. e quando ele some a janelinha para de aparecer. mas eu reparei que quando ele some depois de um tempo, a conexao cai. tipo o emule continua funcionando, mas aos pocos não consigo mais acessar os sites tanto no ie quanto no ff.

outra coisa, quando vocês me mandarem fazer qualquer coisa, tem como explicar o que eu to fazendo?? tipo o que é cada coisa, porque eu to fazendo aquilo?? sei que eu não vo entender nd, mas queria pelo menos tentar. por exemplo:

- o que é o 017??

- porque você acha que o problema ta la??

- pra que serve o fixwareout??

- porque copiei o BFU pra pasta sub??

- pra que serve clicar no fixchecked??

- o 017 é uma chave de registro do windows certo?? relacionada com que??

- quando clico em fixchecked o que acontece com o 017?? ela devia sumir??

- porque não some??

- o que faz o wareout.reg??

valeu pela ajuda

EDITADO DE NOVO:

alias, problema não resolvido

Editado por kuroi
Link para o comentário
Compartilhar em outros sites

  • 0
EDITADO:

tava reparando agora, como eu disse, quando eu clico em fixchecked no 017, ele some ate que eu reinicie o pc. e quando ele some a janelinha para de aparecer. mas eu reparei que quando ele some depois de um tempo, a conexao cai. tipo o emule continua funcionando, mas aos pocos não consigo mais acessar os sites tanto no ie quanto no ff.

outra coisa, quando vocês me mandarem fazer qualquer coisa, tem como explicar o que eu to fazendo?? tipo o que é cada coisa, porque eu to fazendo aquilo?? sei que eu não vo entender nd, mas queria pelo menos tentar. por exemplo:

- o que é o 017??

- porque você acha que o problema ta la??

- pra que serve o fixwareout??

- porque copiei o BFU pra pasta sub??

- pra que serve clicar no fixchecked??

- o 017 é uma chave de registro do windows certo?? relacionada com que??

- quando clico em fixchecked o que acontece com o 017?? ela devia sumir??

- porque não some??

- o que faz o wareout.reg??

Vamos as suas perguntas, geralmente não explicamos o que cada coisa faz porque geralmente exige-se um conhecimento técnico no assunto para entender.

- o que é o 017??

A entrada O17 lista diversas configurações de rede/Internet do Windows.

- porque você acha que o problema ta la??

Porque estamos no Brasil, não temos configurações começando por 85, isso é de um malware conhecido como Wareout ele instala aplicativos de segurança que não funcionam de forma correta. Apesar do objetivo ser o mesmo (convencer o usuário a gastar dinheiro com um software que não funciona).

- pra que serve o fixwareout??

Corretor do Wareout.

- porque copiei o BFU pra pasta sub??

Procedimento padrão quando há uma entrada persistente como é o seu caso.

- pra que serve clicar no fixchecked??

Você elimina a chave no registro dela.

- o 017 é uma chave de registro do windows certo?? relacionada com que??

Relacionada com suas configurações de rede/internet.

- quando clico em fixchecked o que acontece com o 017?? ela devia sumir??

Sim, deveria ser apagada.

- porque não some??

É o que estou tentando descobrir.

- o que faz o wareout.reg??

Ele zera a chave "System" na WinlogonNotify.

-----------------------

Agora vamos a análise.

Baixe o WinSock XP Fix

Reinicie em Modo de Segurança (Pressione intermitentemente F8 durante a inicialização, no menu que aparecer escolha através da seta de navegação, Modo Seguro).

Execute o WinSock XP Fix

Reinicie e poste um novo Log do Hijackthis feito em Modo Normal.

Link para o comentário
Compartilhar em outros sites

  • 0

a valeu, agora sim. não entendi mta coisa mesmo mas é estranho ce fazer um mte de coisa, baxar uma porrada de programa sem ter a minima ideia do que é td isso.

bom, a chave do 017 continua la, mesmo depois do winsockfix, mas descobri uma coisa, assim que ligo meu pc, se executo o scan no hijackthis, a chave 017 não aparece. ela so aparece depois que eu conecto no speedy na internet. o que acontece é que eu tinha posto a conexao pro speedy no menu Programas -> Inicializar, assim sempre que eu ligava o windows ele já conectava, assim sempre que eu executava o scan, ele me mostrava o 017. mas como ele não aparecia no modo de seguranca, achei que pudesse ser algum programa que, depois de aberto, pusesse a chave la.

então fiz o teste com a conexao do speedy e era ela mesma. a chave so aparece depois de conectado.

sera que sabendo disso fica mais facil??

ou sera que você já sabia e só eu que não....

mas o novo log é esse (depois de conectado):

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:53:16, on 26/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Arquivos de programas\eMule\emule.exe

C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Programas\Wamp\wampmanager.exe

C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401.exe

C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

C:\Arquivos de programas\WorldCommunityGrid\ud_8401401_0.dir\WCGrid_AutoDock.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

c:\Programas\Wamp\apache2\bin\httpd.exe

C:\Programas\Wamp\apache2\bin\httpd.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://plyrics.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://farejador.ig.com.br

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://farejador.ig.com.br/ie/

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - C:\Arquivos de programas\Arquivos comuns\uol\urlsearch\UOLSearchHook.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [avast!]C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [LXCCCATS] rundll32 C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [bitTorrent] "C:\Arquivos de programas\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Arquivos de programas\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: WampServer.lnk = C:\Programas\Wamp\wampmanager.exe

O4 - Startup: World Community Grid Agent.lnk = C:\Arquivos de programas\WorldCommunityGrid\UD.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Arquivos de programas\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{75A911B0-4E04-4FF4-8B24-74AEAD63DBA2}: NameServer = 85.255.116.121 85.255.112.69

O20 - AppInit_DLLs:

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: wampapache - Apache Software Foundation - c:\Programas\Wamp\apache2\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\Programas\Wamp\mysql\bin\mysqld-nt.exe

--

End of file - 6718 bytes

Link para o comentário
Compartilhar em outros sites

  • 0

Muito estranho, vamos ver uma análise com o ComboFix:

Faça o download do ComboFix

É importante que o salve no seu desktop (ambiente de trabalho)

  • Feche todas as janelas e programas.
  • Dê um duplo-clique no combofix.exe, marque 1 e dê o enter.
  • É um pouco demorado, por favor seja paciente.
  • Quando a ferramenta terminar de rodar, gerará um log. Poste o arquivo C:\ComboFix.txt
  • Faça também um novo log do HijackThis para colocar na sua resposta.
Atenção: Não clique com o mouse enquanto a ferramenta estiver rodando, isso pode fazer com que o PC pare.
Link para o comentário
Compartilhar em outros sites

  • 0

Clique em Iniciar, depois em Executar e escreva: regedit e dê o OK.

  • Em cima à esquerda, clique em Meu Computador (fica selecionado com a côr azul).
  • Clique em Arquivo, depois em Exportar
  • Escolha "Salvar como"... Arquivos de Registro
  • Coloque o nome: RegBackup
  • Salve-o em C:\
  • Saia do Editor de registro.
Abra o seu Bloco de Notas, copie (control + c) e cole (control + v) todo o texto que está dentro do "Quote":

File::

C:\WINDOWS\system32\mst.exe

C:\WINDOWS\system32\lsasss.exe

C:\Arquivos de programas\Flash.exe

C:\winstall.exe

Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flash][-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Iniciar^Programas^Inicializar^Flash.exe]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark_X79-55]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mst]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows installer]

  • Salve este arquivo como: CFScript.txt

    cfscriptuq2.gif

  • Tal como exemplificado na foto acima, arraste o arquivo CFScript.txt para o ComboFix.exe

  • Baixe o ATF-Cleaner

  • Rode o ATF-Cleaner.

    Marque Select All. Depois clique em Empty Selected. Na janela Done Cleaning dê o OK e Exit.

  • Baixe o move-zonebac.vbs

  • Rode o move-zonebac.vbs e irá aparecer um prompt "Mover arquivos detectados genericamente?" [sim/Não]

    Dê o Não. A ferramenta começerá o exame do PC. Aguarde, pois isso pode demorar.

  • Ao final abrirá um relatório. Salve, copie e cole o conteúdo na sua próxima resposta, juntamente com um novo log do HijackThis feito em modo normal e o log do ComboFix.
Link para o comentário
Compartilhar em outros sites

  • 0

1 - Reinicie o PC e aperte F8 intermitentemente. No menu escolha: modo seguro.

2 - Rode o move-zonebac.vbs e irá aparecer um prompt "Mover arquivos detectados genericamente?" [sim/Não]

Dê o Sim e aparecerá o prompt "Filtro para arquivos que não serão movidos: (separe por ';')"

Coloque: bittorrent.exe

Depois dê o OK.

3 - Reinicie o PC normalmente. Rode o move-zonebac.vbs e irá aparecer um prompt "Mover arquivos detectados genericamente?" [sim/Não]

Dê o Não. A ferramenta começerá o exame do PC. Aguarde, pois isso pode demorar.

- Ao final abrirá um relatório. Salve, copie e cole o conteúdo na sua próxima resposta, juntamente com um novo log do HijackThis.

Link para o comentário
Compartilhar em outros sites



  • Estatísticas dos Fóruns

    • Tópicos
      152k
    • Posts
      651,7k
×
×
  • Criar Novo...