Vinicius C Ferro Postado Julho 7, 2008 Denunciar Share Postado Julho 7, 2008 Logfile of Trend Micro HijackThis v2.0.2Scan saved at 17:59:01, on 7/7/2008Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Boot mode: Safe mode with network supportRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Arquivos de programas\Internet Explorer\IEXPLORE.EXEC:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.aspR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/O2 - BHO: {698b6666-90fb-c46a-6f34-320575653802} - {20835657-5023-43f6-a64c-bf096666b896} - C:\WINDOWS\system32\ynlmgw.dllO2 - BHO: (no name) - {500DBD6E-6D95-4106-B9A2-DDDCCB2B30D1} - (no file)O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dllO2 - BHO: (no name) - {6A4AB720-4B2B-4A1C-9529-ED16D23FED10} - (no file)O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dllO2 - BHO: (no name) - {7BD207B8-90A7-4087-8092-2D27318EDD67} - (no file)O2 - BHO: (no name) - {81CF4E76-42FD-487C-9E98-FA12094BA5CB} - C:\WINDOWS\system32\xxyvusSk.dllO2 - BHO: (no name) - {BFB61151-C7C6-48FA-AA1B-72BF065981ED} - (no file)O4 - HKLM\..\Run: [EPSON Stylus CX4100 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEL.EXE /P26 "EPSON Stylus CX4100 Series" /O6 "USB001" /M "Stylus CX4100"O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [uSS] "C:\Arquivos de programas\USS\USS.exe"O4 - HKLM\..\Run: [18f706ab] rundll32.exe "C:\WINDOWS\system32\kapfiosg.dll",bO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [AVP] "C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"O4 - HKLM\..\Run: [sDFix] C:\SDFix\RunThis.bat /secondO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O8 - Extra context menu item: Download with YouTube Video Converter - C:\Arquivos de programas\Xilisoft\YouTube Video Converter\upod_link.HTMO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dllO9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dllO9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyGaming\PartyPoker\RunApp.exe (file missing)O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyGaming\PartyPoker\RunApp.exe (file missing)O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dllO9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dllO14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.aspO16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.celartem.com/en/download/data/d...ntrol_en_US.cabO16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.MSN.com/binary/msgrchkr.cab56986.cabO16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://img2.orkut.com/activex/10035/photouploader.cabO16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.MSN.com/binary/Solit...wn.cab56986.cabO16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.MSN.com/PT-BR/a-UNO1/GAME_UNO1.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1171109100386O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab2.cabO16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cabO16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cabO16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - https://www14.bancobrasil.com.br/plugin/GbpDist.cabO16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.MSN.com/binary/MineS...er.cab56986.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{ECD28756-81A2-4D7E-B393-40DC4F3B8B50}: NameServer = 200.204.0.10,200.204.0.138O20 - Winlogon Notify: jkkIATMg - C:\WINDOWS\O20 - Winlogon Notify: vtsts - C:\WINDOWS\system32\vtsts.dll (file missing)O20 - Winlogon Notify: winrnt32 - winrnt32.dll (file missing)O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exeO23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exeO23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\EHttpSrv.exeO23 - Service: Eset Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1050\Intel 32\IDriverT.exeO23 - Service: iPod Service - Apple Computer, Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe--End of file - 6876 bytesQUal o problema??ele nem sequer abre o windows apos a tela de login do usuarioapenas abre em modo seguro Link para o comentário Compartilhar em outros sites More sharing options...
0 JackSSA Postado Julho 8, 2008 Denunciar Share Postado Julho 8, 2008 Baixe o ComboFix e salve no desktop.Nota: Por favor, NÃO utilize o ComboFix sozinho. É uma ferramenta poderosa criada pra lidar com infeções sofisticadas e caso não a utilize corretamente poderá danificar o seu computador. A ferramenta apenas deve ser utilizada sob supervisão de Assistentes de remoção de malware.Feche todas as janelas e programas.Dê um duplo-clique no combofix.exe e tecle "1" em seguida Enter para prosseguir o Fix. Vai durar uma média de 10 minutos.O ComboFix reiniciará o PC automaticamente para completar o processo de remoção.Quando acabar, será gerado um log, que vai estar em C:\ComboFix.txt.Atenção: Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, pois senão irá parar e seu desktop ficará em branco.Para parar ou sair do ComboFix, tecle "2" e Enter.Depois gere um novo log com o HijackThis e poste, juntamente com o ComboFix.txt. Link para o comentário Compartilhar em outros sites More sharing options...
0 Vinicius C Ferro Postado Julho 13, 2008 Autor Denunciar Share Postado Julho 13, 2008 Link para o comentário Compartilhar em outros sites More sharing options...
0 JackSSA Postado Julho 14, 2008 Denunciar Share Postado Julho 14, 2008 Acesse este site: http://www.virustotal.com/pt/Em Enviar arquivo coloque: C:\WINDOWS\system32\7C.exe Em seguida clique em Enviar arquivoCopie e poste o resultado deste exame.Repita o mesmo procedimento para os arquivos abaixo:C:\WINDOWS\system32\fhqxilnd.exeC:\Arquivos de programas\USS\USS.exe Link para o comentário Compartilhar em outros sites More sharing options...
0 Vinicius C Ferro Postado Julho 15, 2008 Autor Denunciar Share Postado Julho 15, 2008 Arquivo 7C.exe recebido em 2008.07.10 03:33:28 (CET)Andamento: terminadoResultado: 6/32 (18.75%)Modo compacto Modo compactoImprimir resultados Imprimir resultadosAntivírus Versão Última Atualização ResultadoAhnLab-V3 - - -AntiVir - - DR/FraudTool.ErrClean.A.7Authentium - - -Avast - - Win32:Trojan-gen {Other}AVG - - -BitDefender - - Application.Winfixer.BFCAT-QuickHeal - - -ClamAV - - -DrWeb - - -eSafe - - -eTrust-Vet - - -Ewido - - -F-Prot - - -F-Secure - - FraudTool.Win32.ErrClean.aFortinet - - -GData - - -Ikarus - - -Kaspersky - - not-a-virus:FraudTool.Win32.ErrClean.aMcAfee - - -Microsoft - - -NOD32v2 - - -Norman - - -Panda - - -Prevx1 - - -Rising - - -Sophos - - -Sunbelt - - -TheHacker - - -TrendMicro - - -VBA32 - - -VirusBuster - - -Webwasher-Gateway - - Trojan.Dropper.FraudTool.ErrClean.A.7Informações adicionaisMD5: 80d4005fea5ecfaf2e58a084fa2d3331SHA1: 89c2326d3b385754356069d70b4da701fc442045SHA256: d00cce287b2cd0e6739eecb32273464fe19179df8fc1d800081832d7155ac0daSHA512: b4b3473df8c0dd644ee936e474af428abc9780527cd88823cf7f32044723df11abfdb20184d033382825b4282b0f077ff8f7ce6bb469d067bc389866912aa18b Arquivo fhqxilnd.exe recebido em 2008.07.06 02:48:23 (CET)Andamento: terminadoResultado: 8/33 (24.24%)Modo compacto Modo compactoImprimir resultados Imprimir resultadosAntivírus Versão Última Atualização ResultadoAhnLab-V3 - - -AntiVir - - HEUR/MalwareAuthentium - - -Avast - - -AVG - - -BitDefender - - Generic.Malware.dld!!.4E7E5428CAT-QuickHeal - - -ClamAV - - Trojan.Downloader.Small-3221DrWeb - - DLOADER.TrojaneSafe - - -eTrust-Vet - - -Ewido - - -F-Prot - - -F-Secure - - -Fortinet - - -GData - - -Ikarus - - -Kaspersky - - -McAfee - - -Microsoft - - -NOD32v2 - - -Norman - - -Panda - - Suspicious filePrevx1 - - Cloaked MalwareRising - - -Sophos - - -Sunbelt - - -Symantec - - -TheHacker - - -TrendMicro - - Possible_DLDERVBA32 - - -VirusBuster - - -Webwasher-Gateway - - Heuristic.MalwareInformações adicionaisMD5: cf8d96235f3985fd36beb17834637fd9SHA1: 59c13a04c29f304c53798f5aaac8685781757c5cSHA256: e304ba9d55b077c05f49a928dddbcfbd232ce6b7bdc6650410bfb9710ec2cf2cSHA512: bbebaa41d17850c01e4d5796ec8db3b32867c9e50df0afdaba375fbaaf30374097cd7b0c28979a6e1df185b244edeb612c3f50a4072c143132b0434ee00c15d0 Arquivo USS.exe recebido em 2008.07.15 18:57:28 (CET)Andamento: Carregando ... na fila aguardando analisando terminado NÃO ENCONTRADO PARADOResultado: 0/33 (0%)Carregando informação do servidor...O seu arquivo está na posição: ___.Tempo estimado de início é entre ___ e ___ .Não feche a janela até que a análise esteja completa.O mecanismo que estava processando o arquivo parou, nós esperaremos alguns segundos para tentar recuperar o resultado.Se estiver esperando por mais de cinco minutos, você terá que reenviar o arquivo.O seu arquivo está sendo analisado por VirusTotal no momento,os resultados serão exibidos assim que forem gerados.Modo compacto Modo compactoImprimir resultados Imprimir resultadosO seu arquivo expirou ou não existe.O serviço está parado no momento, o seu arquivo está esperando para ser analisado (posição: ) por tempo indeterminado.Você pode aguardar por resposta na página (atualização automática) ou digite o seu email no campo abaixo e clique em "enviar" para que o sistema envie uma notificação quando a análise terminar.Email: Antivírus Versão Última Atualização ResultadoAhnLab-V3 2008.7.11.0 2008.07.15 -AntiVir 7.8.0.68 2008.07.15 -Authentium 5.1.0.4 2008.07.15 -Avast 4.8.1195.0 2008.07.15 -AVG 7.5.0.516 2008.07.15 -BitDefender 7.2 2008.07.15 -CAT-QuickHeal 9.50 2008.07.15 -ClamAV 0.93.1 2008.07.15 -DrWeb 4.44.0.09170 2008.07.15 -eSafe 7.0.17.0 2008.07.15 -eTrust-Vet 31.6.5956 2008.07.15 -Ewido 4.0 2008.07.15 -F-Prot 4.4.4.56 2008.07.14 -F-Secure 7.60.13501.0 2008.07.15 -Fortinet 3.14.0.0 2008.07.15 -GData 2.0.7306.1023 2008.07.15 -Ikarus T3.1.1.26.0 2008.07.15 -Kaspersky 7.0.0.125 2008.07.15 -McAfee 5338 2008.07.14 -Microsoft 1.3704 2008.07.15 -NOD32v2 3269 2008.07.15 -Norman 5.80.02 2008.07.15 -Panda 9.0.0.4 2008.07.14 -Prevx1 V2 2008.07.15 -Rising 20.53.12.00 2008.07.15 -Sophos 4.31.0 2008.07.15 -Sunbelt 3.1.1536.1 2008.07.15 -Symantec 10 2008.07.15 -TheHacker 6.2.96.379 2008.07.14 -TrendMicro 8.700.0.1004 2008.07.15 -VBA32 3.12.8.0 2008.07.15 -VirusBuster 4.5.11.0 2008.07.15 -Webwasher-Gateway 6.6.2 2008.07.15 -Informações adicionaisFile size: 143360 bytesMD5...: 2572a04fbeeacd6600e1613eaa1fc257SHA1..: 7a24edf9654eea5fdf30b9890eecde67ff028c53SHA256: d62445f7fe80ad96ef4ca6ba0a7cd5e51b6a3ce269ec269f2ad259526ede639aSHA512: f5e095c527dd1bb888b1ab66a77d7b3941579145f3ecc61b344fd77d79cc80474ee0df32fec7dde7ccfe5e7d3fe050af4e2276cb8304f6d709f0eb07b0005c47PEiD..: -PEInfo: PE Structure information( base data )entrypointaddress.: 0x41a3b0timedatestamp.....: 0x485a5048 (Thu Jun 19 12:25:44 2008)machinetype.......: 0x14c (I386)( 4 sections )name viradd virsiz rawdsiz ntrpy md5.text 0x1000 0x1a8c3 0x1b000 6.37 de87f3f5a640917acd96f48c7e44f473.rdata 0x1c000 0x46e6 0x5000 4.54 f62ff27fc3e26d7a22b5a31dc0150ba7.data 0x21000 0x63c 0x1000 0.82 c98485a3dfed1c987022ac67ae89cdec.rsrc 0x22000 0x6b8 0x1000 2.27 64495fde12f9627896056760bb127dab( 13 imports )> KERNEL32.dll: CreateMutexA, CloseHandle, Thread32Next, Thread32First, CreateToolhelp32Snapshot, GetCurrentThreadId, InterlockedIncrement, InterlockedDecrement, GetModuleHandleA, GetModuleFileNameA, LoadLibraryExA, lstrcpynA, IsDBCSLeadByte, OpenProcess, Process32Next, GetCurrentProcessId, Process32First, TerminateProcess, Sleep, CreateEventA, CreateWaitableTimerA, CancelWaitableTimer, WaitForMultipleObjectsEx, SetWaitableTimer, CreateProcessA, SetEvent, LocalFileTimeToFileTime, SystemTimeToFileTime, TerminateThread, ExitProcess, WaitForSingleObject, LoadLibraryA, GetProcAddress, FreeLibrary, lstrlenA, lstrcmpiA, GetVersion, lstrlenW, LeaveCriticalSection, EnterCriticalSection, FindResourceExA, FindResourceA, LoadResource, LockResource, SizeofResource, DeleteCriticalSection, InitializeCriticalSection, GetLastError, RaiseException, WideCharToMultiByte, MultiByteToWideChar, GetVersionExA, GetThreadLocale, GetLocaleInfoA, GetSystemTimeAsFileTime, GetTickCount, QueryPerformanceCounter, GetStartupInfoA, HeapSize, HeapReAlloc, HeapDestroy, GetPrivateProfileStringA, GetPrivateProfileSectionNamesA, ReadFile, GetPrivateProfileIntA, UnmapViewOfFile, GetFileSize, CreateFileMappingA, MapViewOfFileEx, GetACP, ResetEvent, CreateFileA, FindFirstFileA, MulDiv, GetSystemInfo, VirtualProtect, GetCurrentProcess, WriteProcessMemory, VirtualQuery, Module32Next, Module32First, HeapAlloc, GetProcessHeap, HeapFree, InterlockedExchange> USER32.dll: KillTimer, PostQuitMessage, SetTimer, DispatchMessageA, TranslateMessage, GetMessageA, GetPropA, SetWindowPos, SendMessageA, EnableScrollBar, GetScrollInfo, GetScrollPos, GetScrollRange, SetScrollPos, SetWindowLongA, ShowScrollBar, GetWindowLongA, RemovePropA, CreateWindowExA, SetPropA, GetClientRect, SetScrollInfo, SetScrollRange, FillRect, PeekMessageA, DrawFrameControl, SetRect, GetSystemMetrics, GetSysColorBrush, DrawEdge, GetWindowRect, GetParent, OffsetRect, FrameRect, InflateRect, WindowFromDC, GetWindowDC, ReleaseDC, CopyRect, MapWindowPoints, CallWindowProcA, PtInRect, SetCapture, ReleaseCapture, GetMessagePos, ScreenToClient, GetCursorPos, SetCursor, IsWindowVisible, DestroyWindow, CharNextA, PostThreadMessageA, DefWindowProcA, GetSysColor> ADVAPI32.dll: RegQueryInfoKeyA, RegOpenKeyExA, RegQueryValueExA, RegEnumValueA, RegDeleteKeyA, RegSetValueExA, RegEnumKeyExA, RegCloseKey, RegDeleteValueA, RegCreateKeyExA> SHELL32.dll: ShellExecuteA> ole32.dll: CoInitialize, CoTaskMemAlloc, CoTaskMemFree, CoCreateInstance, StringFromCLSID, CoUninitialize, CoTaskMemRealloc> OLEAUT32.dll: -, -, -, -, -, -, -> SHLWAPI.dll: PathFindFileNameA, PathAppendA, PathStripPathA> COMCTL32.dll: InitCommonControlsEx> WININET.dll: InternetCloseHandle, InternetGetCookieA, InternetReadFile, InternetOpenUrlA, InternetOpenA> MSVCR71.dll: __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _amsg_exit, _acmdln, exit, _cexit, _ismbblead, _XcptFilter, _exit, _mbsstr, _terminate@@YAXXZ, _onexit, __dllonexit, __1type_info@@UAE@XZ, __security_error_handler, memset, strtol, memchr, toupper, _mbsnbcpy, atoi, _mbsrchr, __0exception@@QAE@XZ, __1exception@@UAE@XZ, _beginthreadex, realloc, __0exception@@QAE@ABV0@@Z, _mbslwr, __2@YAPAXI@Z, _time64, _purecall, _localtime64, _mktime64, _mbsupr, __3@YAXPAX@Z, __CxxFrameHandler, ___V@YAXPAX@Z, ___U@YAPAXI@Z, _mbschr, _mbscmp, memmove, _ismbcspace, _mbsinc, _mbscspn, _mbsspn, _controlfp, malloc, free, _mbsicmp, _CxxThrowException, _except_handler3, _resetstkoflw, _c_exit> MSVCP71.dll: __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@ABV01@@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBD@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@ABV01@@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ> SHFOLDER.dll: SHGetFolderPathA> GDI32.dll: DeleteDC, DeleteObject, GetStockObject, SetTextColor, BitBlt, SetBkColor, CreateCompatibleBitmap, SelectObject, UnrealizeObject, CreateBitmap, CreateCompatibleDC, PatBlt, SetBrushOrgEx, CreatePatternBrush, ExtTextOutA, GetObjectA, PlayEnhMetaFile, SetWindowOrgEx, SelectClipRgn, IntersectClipRectOBS: Por questão de informação, o computador funciona normalmente no modo seguro porém não funciona no modo normal. Link para o comentário Compartilhar em outros sites More sharing options...
0 JackSSA Postado Julho 15, 2008 Denunciar Share Postado Julho 15, 2008 Sugiro que imprima ou salve os procedimentos abaixo, e não use a internet até terminado o procedimento.Selecione e copie o texto dentro do CODE (caixa cinza) abaixo. Abra o Bloco de notas e cole o que copiou. Salve então, na área de trabalho, com o nome de CFScript.txt.File:: C:\WINDOWS\system32\7C.exe C:\WINDOWS\system32\fhqxilnd.exe C:\WINDOWS\system32\7C.tmp Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtsts] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrnt32]Arraste agora o CFScript.txt para o ComboFix conforme a demonstração abaixo.O ComboFix irá rodar e reiniciará o PC automaticamente para completar o processo de remoção.IMPORTANTE: Não use o mouse nem o teclado quando o ComboFix estiver rodando.Quando acabar, será gerado um log, que estará em C:\ComboFix.txt.Poste o novo Log ComboFix.txt à sua resposta.Poste também um novo Log do Hijackthis. Link para o comentário Compartilhar em outros sites More sharing options...
0 Vinicius C Ferro Postado Julho 15, 2008 Autor Denunciar Share Postado Julho 15, 2008 Link para o comentário Compartilhar em outros sites More sharing options...
0 JackSSA Postado Julho 17, 2008 Denunciar Share Postado Julho 17, 2008 Versões antigas e desatualizadas, estão mais vulneráveis aos malwares.Faça o download da última versão do Java Runtime Environment (JRE) 6 Update 7 e salve no seu ambiente de trabalho (Desktop).Navegue até "Java Runtime Environment (JRE) 6 Update 7...allows end-users to run Java applications".Clique em "Download". (está do lado direito)Selecione a sua Plataforma: "Windows".Selecione a sua linguagem: "Português".Leia a Licença de uso e marque a caixa: "Accept License Agreement".Clique "Continue".Clique no link para download Windows Offline Installation e salve o arquivo no seu Ambiente de Trabalho.Feche todos os programas que esteja usar. Especialmente o seu Navegador (IE, Firefox, etc)Clique em Iniciar -> Configurações -> Painel de Controle, duplo clique em Adicionar/Remover Programas e remova todas as versões antigas de Java.Marque qualquer item , que tenha no nome: Java Runtime Environment (JRE ou J2SE). Deverá ter um icone como este Clique em Remover ou Modificar/Remover. Repita quantas vezes for necessário, até que tenha removido todas as versões antigas de Java que existam no seu PC.Reinicie o seu PC, após ter removido as versões antigas de Java.Dê agora o duplo-clique em jre-6u7-windows-i586-p (está no seu desktop), para instalar a nova e mais segura versão de Java.Clique em Iniciar -> Executar -> digite ComboFix /u -> Ok.Aguarde a deinstalação.Delete a pasta SDFix que está localizada em C:\.Seu Log está limpo. Link para o comentário Compartilhar em outros sites More sharing options...
0 Vinicius C Ferro Postado Julho 17, 2008 Autor Denunciar Share Postado Julho 17, 2008 Caro administrador do forum..Primeiramente já agradeco todo o tempo disposto a mim aqui no forum ainda + por ter problemas em 2 maquinas diferentes.Porem, mesmo estranhando ter recebido a ultima instrucao = para os 2 casos, q para mim são completamente diferentes, eu o realizei e não obtive sucesso na maquina normal(não notebook).Essa maquina q aqui escrevo.. continua a funcionar somente na modo de seguranca.. e ao iniciar normalmente ela trava.. E não sei se é o certo mas é impossivel remover programas pelo modo de seguranca.. pelo menos aqui não estou conseguindo.. alias .. pelo modo de seguranca tentei passar o anti-virus do kaspersky no decorrer da noite.. no entanto ele só leu 2% em praticamente 10horas de um HD de 120GB que nem esta cheio e mesma assim achou inumeros virus.. e eu não sei se eles foram excluidos pois acho q travou o antivirus tb...já o notebook era apenas um erro de navegador.. do qual você conseguiu com essa ultima instrucao resolve- lo!!!não entendo essa questo do log.. mas não há + nada o que eu possa fazer??????Realmente ele esta limpo??agradeco a atencao.. Vinicius Link para o comentário Compartilhar em outros sites More sharing options...
0 JackSSA Postado Julho 19, 2008 Denunciar Share Postado Julho 19, 2008 Primeiramente não sou Administrador, e sim Moderador.As instruções são iguais pra ambos os casos pelo fato dos mesmos já não constarem quaisquer problemas com malwares.Sobre seu problema de não conseguir iniciar em modo normal, siga as instruções abaixo:Sugiro que desinstale estes dois programas:PartyGamingNitroPCAbra o Hijackthis, clique em Do scan a system only, marque as entradas abaixo e clique no botão O4 - HKLM\..\Run: [uSS] "C:\Arquivos de programas\USS\USS.exe"O20 - Winlogon Notify: vtsts - C:\WINDOWS\O20 - Winlogon Notify: winrnt32 - C:\WINDOWS\Reinicie.Veja se resolve o problema. Caso contrário poste sobre o problema na área de Microsoft Windows. Link para o comentário Compartilhar em outros sites More sharing options...
0 JackSSA Postado Novembro 9, 2008 Denunciar Share Postado Novembro 9, 2008 Caso Resolvido. Caso o autor queira a reabertura do tópico, envie uma MP com o link para um moderador da seção. Link para o comentário Compartilhar em outros sites More sharing options...
Pergunta
Vinicius C Ferro
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:59:01, on 7/7/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/
O2 - BHO: {698b6666-90fb-c46a-6f34-320575653802} - {20835657-5023-43f6-a64c-bf096666b896} - C:\WINDOWS\system32\ynlmgw.dll
O2 - BHO: (no name) - {500DBD6E-6D95-4106-B9A2-DDDCCB2B30D1} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6A4AB720-4B2B-4A1C-9529-ED16D23FED10} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7BD207B8-90A7-4087-8092-2D27318EDD67} - (no file)
O2 - BHO: (no name) - {81CF4E76-42FD-487C-9E98-FA12094BA5CB} - C:\WINDOWS\system32\xxyvusSk.dll
O2 - BHO: (no name) - {BFB61151-C7C6-48FA-AA1B-72BF065981ED} - (no file)
O4 - HKLM\..\Run: [EPSON Stylus CX4100 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEL.EXE /P26 "EPSON Stylus CX4100 Series" /O6 "USB001" /M "Stylus CX4100"
O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [uSS] "C:\Arquivos de programas\USS\USS.exe"
O4 - HKLM\..\Run: [18f706ab] rundll32.exe "C:\WINDOWS\system32\kapfiosg.dll",b
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [sDFix] C:\SDFix\RunThis.bat /second
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download with YouTube Video Converter - C:\Arquivos de programas\Xilisoft\YouTube Video Converter\upod_link.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Arquivos de programas\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.celartem.com/en/download/data/d...ntrol_en_US.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.MSN.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://img2.orkut.com/activex/10035/photouploader.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.MSN.com/binary/Solit...wn.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.MSN.com/PT-BR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1171109100386
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.MSN.com/binary/Messe...nt.cab56907.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} - https://www14.bancobrasil.com.br/plugin/GbpDist.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.MSN.com/binary/MineS...er.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECD28756-81A2-4D7E-B393-40DC4F3B8B50}: NameServer = 200.204.0.10,200.204.0.138
O20 - Winlogon Notify: jkkIATMg - C:\WINDOWS\
O20 - Winlogon Notify: vtsts - C:\WINDOWS\system32\vtsts.dll (file missing)
O20 - Winlogon Notify: winrnt32 - winrnt32.dll (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Arquivos de programas\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Arquivos de programas\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 6876 bytes
QUal o problema??
ele nem sequer abre o windows apos a tela de login do usuario
apenas abre em modo seguro
Link para o comentário
Compartilhar em outros sites
10 respostass a esta questão
Posts Recomendados