Yahoo Messenger / outros

**Warrenisit** · #1 9 de janeiro de 2008, 11:36

Quando eu clique duplo sobre um contacto meu computador é reiniciado. Além disso, quando o meu computador inicia-se "Meus Documentos" já está aberto. Eu só tentei abrir poder dvd e também reiniciado o meu computador. O que está causando esse e como posso corrigir isso? Muito obrigado a todos a vossa ajuda.

Logfile da Trend Micro HijackThis v2.0.2
Scan guardado em 12:35:07, em 1/9/2008
Plataforma: Windows XP SP2 (WinNT 5/01/2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Executando processos:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ Csrss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Program Files \ Ahead \ InCD \ InCDsrv.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ WINDOWS \ Explorer.EXE
C: \ Program Files \ Spyware Doctor \ pctsTray.exe
C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
C: \ Program Files \ Spyware Doctor \ pctsAuxs.exe
C: \ Program Files \ Spyware Doctor \ pctsSvc.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe
C: \ WINDOWS \ System32 \ alg.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe
C: \ WINDOWS \ system32 \ wbem \ wmiprvse.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = about: em branco
R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files \ Yahoo! \ Companion \ installs \ CPN \ yt.dll
F2 - REG: system.ini: UserInit = C: \ WINDOWS \ system32 \ userinit.exe, userinit. Exe
O2 - BHO: e404 helper - (F10587E9-0E47-4CBE-84AE-7DD20B8684BB) - C: \ Program Files \ Helper \ superfindout.dll
O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files \ Yahoo! \ Companion \ installs \ CPN \ yt.dll
O4 - HKLM \ .. \ Run: [ISTray] "C: \ Program Files \ Spyware Doctor \ pctsTray.exe"
O4 - HKLM \ .. \ Run: [avast!] C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
O4 - HKLM \ .. \ Run: [KernelFaultCheck]% systemroot% \ system32 \ dumprep 0-k
O8 - Extra context menu item: E & xportar para o Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ MICROS ~ 4 \ Office12 \ EXCEL.EXE/3000
O9 - Extra button: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra button: Yahoo! Serviços - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Program Files \ Yahoo! \ Common \ yiesrvc.dll
O9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 4 \ Office12 \ REFIEBAR.DLL
O9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O12 - Plugin for. Spop: C: \ Arquivos de Programas \ Internet Explorer \ Plugins \ NPDocBox.dll
O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (Installation Support) - C: \ Program Files \ Yahoo! \ Common \ Yinsthelper.dll
O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
O21 - SSODL: bklgvsf - (91B4E850-CB64-4E58-A6D7-CB77098ABE11) - (no arquivo)
O21 - SSODL: ampkfst - (DE891973-DFFB-4992-8CFE-7C98636EE248) - C: \ WINDOWS \ ampkfst.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C: \ Program Files \ Ahead \ InCD \ InCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C: \ WINDOWS \ system32 \ drivers \ KodakCCS.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C: \ Program Files \ Spyware Doctor \ pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C: \ Program Files \ Spyware Doctor \ pctsSvc.exe

--
Fim do processo - 4226 bytes

**evilfantasy** · #2 9 de janeiro de 2008, 12:23

Bem-vindo ao TCF.

Estou movendo esta discussão para o vírus e spyware segurança fórum.

Permite controlar a Smitfraud vírus reais rápido.

Baixar SmitfraudFix (by S! Ri) para o seu desktop.

Extrair todos os arquivos para o seu Destop. Uma pasta chamada SmitfraudFix será criado em seu desktop.

SmitfraudFix Abra a pasta e dê um duplo clique smitfraudfix.cmd
Selecione a opção # 1 - Procurar por escrever 1 e pressione Digite
Este programa fará a varredura de grandes quantidades de arquivos em seu computador para os padrões conhecidos por isso, seja paciente enquanto ela trabalha. Quando isso for feito, os resultados da verificação serão exibidos e que irá criar um registro denominado rapport.txt na raiz de sua unidade, por exemplo: Disco Local C: ou partição onde seu sistema operacional está instalado. Anexe o log na sua próxima resposta.

Nota: process.exe (Que é utilizado por SmitFraudFIx) é detectado por alguns programas antivírus (AntiVir, Dr.Web, Kaspersky) como um "RiskTool"; não é um vírus, Mas um programa usado para parar processos sistema. Os programas antivírus não pode distinguir entre "bons" e "mal" da utilização de tais programas, pois eles podem alertar o usuário.
http://www.beyondlogic.org/consultin...rocessutil.htm

**Warrenisit** · #3 9. De janeiro de 2008, 18:55

Aqui você vai. Obrigado pela ajuda.

Scan feito a 19:34:34.71, Wed 01/09/2008
Executar a partir do C: \ Documents and Settings \ Proprietário \ Desktop \ SmitfraudFix
SO: Microsoft Windows XP [Versão 5/1/2600] - Windows_NT
O tipo de ficheiros é NTFS
Fix executado no modo normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ Csrss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Program Files \ Ahead \ InCD \ InCDsrv.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ WINDOWS \ Explorer.EXE
C: \ Program Files \ Spyware Doctor \ pctsAuxs.exe
C: \ Program Files \ Spyware Doctor \ pctsSvc.exe
C: \ Program Files \ Spyware Doctor \ pctsTray.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe
C: \ WINDOWS \ System32 \ alg.exe
C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ Program Files \ Spyware Doctor \ pctsGui.exe
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ WINDOWS \ system32 \ cmd.exe
C: \ WINDOWS \ system32 \ wbem \ wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» Hosts

»»»»»»»»»»»»»»»»»»»»»»»» C: \

»»»»»»»»»»»»»»»»»»»»»»»» C: \ WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C: \ WINDOWS \ system

»»»»»»»»»»»»»»»»»»»»»»»» C: \ WINDOWS \ Web

»»»»»»»»»»»»»»»»»»»»»»»» C: \ WINDOWS \ system32

»»»»»»»»»»»»»»»»»»»»»»»» C: \ WINDOWS \ system32 \ LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C: \ Documents and Settings \ Proprietário

»»»»»»»»»»»»»»»»»»»»»»»» C: \ Documents and Settings \ Proprietário \ Dados de Aplicativos

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C: \ DOCUME ~ 1 \ Owner \ favori ~ 1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C: \ Program Files

C: \ Program Files \ Helper \ FOUND!

»»»»»»»»»»»»»»»»»»»»»»»» Corrompidas chaves

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Desktop \ Components \ 0]
"Source" = "Sobre: Página Principal "
"SubscribedURL" = "Sobre: Página Principal "
"FriendlyName" = "My Current Home Page"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
! Atenção, seguindo as chaves não estão necessariamente infectados!

IEDFix.exe pela S! Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
! Atenção, seguindo as chaves não estão necessariamente infectados!

SrchSTS.exe pela S! Ri
Search SharedTaskScheduler's. Dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
! Atenção, seguindo as chaves não estão necessariamente infectados!

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows]
"AppInit_DLLs" = ""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
! Atenção, seguindo as chaves não estão necessariamente infectados!

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
"System" = ""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Descrição: VIA Compatible Fast Ethernet Adapter - Packet Scheduler Miniport
DNS Server Search Order: 24.117.109.232
DNS Server Search Order: 24.116.2.34

HKLM \ SYSTEM \ CCS \ Services \ Tcpip \ .. \ (01A68D67-4FD7-4EF9-88A6-5AA96325A443): DhcpNameServer = 24.117.109.232 24.116.2.34
HKLM \ SYSTEM \ CS1 \ Services \ Tcpip \ .. \ (01A68D67-4FD7-4EF9-88A6-5AA96325A443): DhcpNameServer = 24.117.109.232 24.116.2.34
HKLM \ SYSTEM \ CCS \ Services \ Tcpip \ Parameters: DhcpNameServer = 24.117.109.232 24.116.2.34
HKLM \ SYSTEM \ CS1 \ Services \ Tcpip \ Parameters: DhcpNameServer = 24.117.109.232 24.116.2.34

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll para infecção

»»»»»»»»»»»»»»»»»»»»»»»» End

**evilfantasy** · #4 9 de janeiro de 2008, 19:18

Você pode querer imprimir estas instruções ou copie e cole-os a notepad e salvá-lo para a área de trabalho que você não será capaz de ver esta página no modo de segurança

Por favor reinicie o computador no Modo de Segurança tocando a tecla F8 antes do Windows só começa a carregar e escolha Modo de Segurança.

Abra a pasta SmitfraudFix no seu desktop, então dê um duplo clique smitfraudfix.cmd arquivo para iniciar a ferramenta.

Selecione a opção # 2 - Limpar, digitando 2 e pressione Digite.
O programa vai começar a limpar o seu computador e passar por uma série de processos de limpeza. Esperar para que a ferramenta completa e disco limpeza para concluir. Este processo pode demorar algum tempo dependendo do seu computador, por isso, seja paciente. Quando for concluída, ela será fechada automaticamente e você deve continuar com o próximo passo.

Você será solicitado: "Registro limpeza - Você deseja limpar o registro? "Resposta Sim escrevendo Y e teclar Digite.

A ferramenta também irá verificar se wininet.dll está infectada. Se ela está infectada e uma versão limpa for encontrado, você será solicitado a substituir os infectados wininet.dll com o arquivo limpo. Resposta Sim à pergunta "Substituir arquivo infectado?", Escrevendo Y e teclar Digite.

verdana] Uma reinicialização poderá ser necessária para concluir o processo de limpeza. O relatório pode ser encontrado na raiz da unidade do sistema, normalmente na C: \ rapport.txt

verdana]Passo sugerido:
Para restaurar confiáveis e sites restritos zona, seleccione 3 e teclar Digite.
Você será solicitado: Restaurar Trusted Zone? resposta Y (sim) e teclar Digite para apagar zona confiável.

Agora, reinicie em modo normal e adicionar este novo rapport.txt no próximo post.

ATENÇÃO Executando esta opção em um computador infectado não irá remover o fundo desktop. Portanto, apenas executá-lo uma vez!

Próximo post adicione
Smitfraudfix log

**Warrenisit** · #5 10 jan 2008, 14:51

Muito bem então eu fiz tudo o que durante o meu almoço e agora estou no trabalho. Vou postar a smitfraudfix log quando eu voltar casa. Tudo o que posso fazer direito quando eu voltar para além destacamento que log?

**evilfantasy** · #6 10 de janeiro de 2008, 14:54

Não haverá mais a fazer, temos que matar este particular uma primeira embora de forma que não interfira com as outras correções.

Você pode postar um novo log HijackThis também para que eu possa ver qual caminho a percorrer a partir daí.

**Warrenisit** · #7 10 de janeiro de 2008, 16:28

Aqui estão os novos logs homem. Trabalhe sua magia. BTW ..... My fundo desktop foi removido. Não sei se isso é bom ou ruim.

SmitFraudFix v2.274

Scan feito a 12:51:54.35, Qui 01/10/2008
Executar a partir do C: \ Documents and Settings \ Proprietário \ Desktop \ SmitfraudFix
SO: Microsoft Windows XP [Versão 5/1/2600] - Windows_NT
O tipo de ficheiros é NTFS
Fix executado no modo de segurança

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Antes SmitFraudFix
! Atenção, seguindo as chaves não estão necessariamente infectados!

SrchSTS.exe pela S! Ri
Search SharedTaskScheduler's. Dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing processo

»»»»»»»»»»»»»»»»»»»»»»»» Hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S! Ri's WS2Fix: LSP não encontrado.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix pela S! Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting ficheiros infectados

C: \ Program Files \ Helper \ Apagado

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe pela S! Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
! Atenção, seguindo as chaves não estão necessariamente infectados!

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
"System" = ""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Secretaria Limpeza feito.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Após SmitFraudFix
! Atenção, seguindo as chaves não estão necessariamente infectados!

SrchSTS.exe pela S! Ri
Search SharedTaskScheduler's. Dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Logfile da Trend Micro HijackThis v2.0.2
Scan guardado em 5:25:05, em 1/10/2008
Plataforma: Windows XP SP2 (WinNT 5/01/2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Executando processos:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ Csrss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ PC Tools Firewall Plus \ FWService.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Program Files \ Ahead \ InCD \ InCDsrv.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ WINDOWS \ Explorer.EXE
C: \ Program Files \ Spyware Doctor \ pctsTray.exe
C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
C: \ Program Files \ ThreatFire \ TFTray.exe
C: \ Program Files \ PC Tools Firewall Plus \ FirewallGUI.exe
C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
C: \ Program Files \ Spyware Doctor \ pctsAuxs.exe
C: \ Program Files \ Spyware Doctor \ pctsSvc.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ ThreatFire \ TFService.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe
C: \ WINDOWS \ System32 \ alg.exe
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ WINDOWS \ system32 \ wbem \ wmiprvse.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ Program Files \ Alwil Software \ Avast4 \ setup \ avast.setup
C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe
C: \ WINDOWS \ system32 \ NOTEPAD.EXE

R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files \ Yahoo! \ Companion \ installs \ CPN \ yt.dll
F2 - REG: system.ini: UserInit = C: \ WINDOWS \ system32 \ userinit.exe, userinit. Exe
O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files \ Yahoo! \ Companion \ installs \ CPN \ yt.dll
O4 - HKLM \ .. \ Run: [ISTray] "C: \ Program Files \ Spyware Doctor \ pctsTray.exe"
O4 - HKLM \ .. \ Run: [avast!] C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
O4 - HKLM \ .. \ Run: [ThreatFire] C: \ Program Files \ ThreatFire \ TFTray.exe
O4 - HKLM \ .. \ Run: [00PCTFW] "C: \ Program Files \ PC Tools Firewall Plus \ FirewallGUI.exe"-s
O4 - HKCU \ .. \ Run: [SUPERAntiSpyware] C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
O8 - Extra context menu item: E & xportar para o Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ MICROS ~ 4 \ Office12 \ EXCEL.EXE/3000
O9 - Extra button: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra button: Yahoo! Serviços - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Program Files \ Yahoo! \ Common \ yiesrvc.dll
O9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 4 \ Office12 \ REFIEBAR.DLL
O9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O12 - Plugin for. Spop: C: \ Arquivos de Programas \ Internet Explorer \ Plugins \ NPDocBox.dll
O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (Installation Support) - C: \ Program Files \ Yahoo! \ Common \ Yinsthelper.dll
O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
O21 - SSODL: bklgvsf - (91B4E850-CB64-4E58-A6D7-CB77098ABE11) - (no arquivo)
O21 - SSODL: ampkfst - (DE891973-DFFB-4992-8CFE-7C98636EE248) - C: \ WINDOWS \ ampkfst.dll (arquivo ausente)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C: \ Program Files \ Ahead \ InCD \ InCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C: \ WINDOWS \ system32 \ drivers \ KodakCCS.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C: \ Program Files \ PC Tools Firewall Plus \ FWService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C: \ Program Files \ Spyware Doctor \ pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C: \ Program Files \ Spyware Doctor \ pctsSvc.exe
O23 - Service: ThreatFire - PC Tools - C: \ Program Files \ ThreatFire \ TFService.exe

--
Fim do processo - 4822 bytes

**evilfantasy** · #8 10 de janeiro de 2008, 17:22

Citação:

O meu fundo desktop foi removido. Não sei se isso é bom ou ruim.

Isso acontece às vezes quando removendo smitfraud. É hijacks o browser e desktop de modo a perder o ambiente de trabalho é realmente uma coisa boa.

Isso tem a maior parte dela, mas há ainda algumas coisas no HijackThis log para tratar. Então vamos correr outro exame para ver se está escondendo alguma coisa.

Abrir HijackThis e escolha Faça um sistema de verificação só em seguida, colocar uma marca de verificação ao lado:

O21 - SSODL: bklgvsf - (91B4E850-CB64-4E58-A6D7-CB77098ABE11) - (no arquivo)
O21 - SSODL: ampkfst - (DE891973-DFFB-4992-8CFE-7C98636EE248) - C: \ WINDOWS \ ampkfst.dll (arquivo ausente)

Feche todas as janelas excepto no HijackThis e clique em Fix controlados

Sair HijackThis.

---------------

Faça o download DrWeb CureIt E salve-o em seu desktop.

Digitalizar com o DrWeb-CureIt como segue:

Dê um duplo clique sobre drweb-cureit.exe e, em seguida, clique em Iniciar.
Uma Express Scan do seu PC anúncio será exibido.
Sob Inicie o Express Scan Now Clique OK para começar.
- Este é um breve exame que fará a varredura dos arquivos atualmente em execução na memória
- Se, ou quando algo for encontrado, clique no Sim botão quando ele pergunta se você deseja curar-lo.
Após ter terminado a curto scan, clique em Opções> Alterar definições
Escolha o Scan guia e Desmarque Análise heurística e clique em OK
Voltar à janela principal, selecione o Varredura completa botão.
Em seguida, clique em Green Arrow Iniciar Digitalizando botão da direita e irá iniciar o scan.
- Clique Sim para todos se ele pergunta se você quer curar / mover qualquer arquivo (s).
Quando o exame é feito.
Dr.Web CureIt No menu na parte superior esquerda, clique em Arquivo e escolha Salvar relatório lista.
Salve o DrWeb.csv relatório para o seu Desktop.
Sair Dr.Web Cureit.

Importante! Reinicie o computador, pois poderá ser possível que os arquivos em uso serão movidos / apagados durante a reinicialização.

Após a reinicialização, Botão direito do mouse Dr.Web o log na área de trabalho e escolha Abrir com> Bloco de notas
Copie e cole esse log na próxima resposta

---------------

Após executar o Dr. Web é concluído um novo scan com HijackThis e postar o log.

Próximo post adicione
Dr. Web log
Nova HijackThis log

**Warrenisit** · #9 10 de janeiro de 2008, 19:11

Eu guardo destacamento e ele não aparecer. Há muita informação para ser colocada nesta página?

**Warrenisit** · #10 10 de janeiro de 2008, 19:31

Oi lá, eu estava trabalhando com evilfantasy e as coisas estavam indo bem, mas eu continuo a tentar postar minha próxima logs e eles não vão ficar assim estou continuando aqui com uma nova discussão. Obrigado novamente por toda a ajuda.

DrWeb Log:

Process.exe; C: \ Documents and Settings \ Proprietário \ Desktop \ SmitfraudFix; Tool.Prockill; Incurable.Deleted.;
restart.exe; C: \ Documents and Settings \ Proprietário \ Desktop \ SmitfraudFix; Tool.ShutDown. 11; Incurable.Deleted.;
A0010067.exe; C: \ System Volume Information \ _restore (95153BD2-996B-4F5E-85AE-D02B24510357) \ RP46; Adware.ClickSpring; Incurable.De leted.;
Process.exe; C: \ WINDOWS \ system32; Tool.Prockill; Incu rable.Deleted.;

Logfile da Trend Micro HijackThis v2.0.2
Scan guardado em 8:30:50, em 1/10/2008
Plataforma: Windows XP SP2 (WinNT 5/01/2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Executando processos:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ Csrss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ PC Tools Firewall Plus \ FWService.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Program Files \ Ahead \ InCD \ InCDsrv.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ WINDOWS \ Explorer.EXE
C: \ Program Files \ Spyware Doctor \ pctsTray.exe
C: \ Program Files \ ThreatFire \ TFTray.exe
C: \ Program Files \ PC Tools Firewall Plus \ FirewallGUI.exe
C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
C: \ Program Files \ Spyware Doctor \ pctsAuxs.exe
C: \ Program Files \ Spyware Doctor \ pctsSvc.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ ThreatFire \ TFService.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe
C: \ WINDOWS \ System32 \ alg.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ WINDOWS \ system32 \ NOTEPAD.EXE
C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe
C: \ WINDOWS \ system32 \ wbem \ wmiprvse.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.myspace.com
R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ installs \ cpn0 \ yt.dll
F2 - REG: system.ini: UserInit = C: \ WINDOWS \ system32 \ userinit.exe, userinit. Exe
O2 - BHO: & Yahoo! Toolbar Helper - (02478D38-C3F9-4efb-9B51-7695ECA05670) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ installs \ cpn0 \ yt.dll
O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ installs \ cpn0 \ yt.dll
O4 - HKLM \ .. \ Run: [ISTray] "C: \ Program Files \ Spyware Doctor \ pctsTray.exe"
O4 - HKLM \ .. \ Run: [ThreatFire] C: \ Program Files \ ThreatFire \ TFTray.exe
O4 - HKLM \ .. \ Run: [00PCTFW] "C: \ Program Files \ PC Tools Firewall Plus \ FirewallGUI.exe"-s
O4 - HKLM \ .. \ Run: [KernelFaultCheck]% systemroot% \ system32 \ dumprep 0-k
O4 - HKCU \ .. \ Run: [SUPERAntiSpyware] C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
O4 - HKCU \ .. \ Run: [Yahoo! Pager] "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe"-quiet
O8 - Extra context menu item: E & xportar para o Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ MICROS ~ 4 \ Office12 \ EXCEL.EXE/3000
O9 - Extra button: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra button: Yahoo! Serviços - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Program Files \ Yahoo! \ Common \ yiesrvc.dll
O9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 4 \ Office12 \ REFIEBAR.DLL
O9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O12 - Plugin for. Spop: C: \ Arquivos de Programas \ Internet Explorer \ Plugins \ NPDocBox.dll
O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (Installation Support) - C: \ Program Files \ Yahoo! \ Common \ Yinsthelper.dll
O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C: \ Program Files \ Ahead \ InCD \ InCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C: \ WINDOWS \ system32 \ drivers \ KodakCCS.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C: \ Program Files \ PC Tools Firewall Plus \ FWService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C: \ Program Files \ Spyware Doctor \ pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C: \ Program Files \ Spyware Doctor \ pctsSvc.exe
O23 - Service: ThreatFire - PC Tools - C: \ Program Files \ ThreatFire \ TFService.exe

--
Fim do processo - 4716 bytes