Logo Hardware.com.br
Vitorjls
Vitorjls Membro Senior Registrado
210 Mensagens 6 Curtidas

Os Famosos Vírus e Antivírus descarados e Inúteis!

#1 Por Vitorjls 26/06/2008 - 17:51
Só é Necessario Lêr o Primeiro paragrafo abaixo, o resto é enrrolação
Pow olha só: Meu amigo numa dessas de clicar e clicar nesses Popup que surgem do nada dizendo "Você ganhou", "Você tem uma mensagem", "Seu computador está infectado", etc, Pegou um desses malditos Vírus que automaticamente Instala varios vírus e uns ANTIVÍRUS dizendo pra você adiquirir uma Licença pra remover esse Vírus.

O Vírus em si faz o sequinte: desabilita a Internet, o gerenciador de tarefas, o firewall do windows, bloqueia inicialização de programas, Opções de Pasta, opção de Mudar o Papel de Parede, resumindo inutiliza tudo

Aparece uma Mensagem como Papel de Parede dizendo algo assim em Inglês " Seu computador foi infectado - instale um Antivírus e um Anti-Spyware"

Nessa suge um Antivirus com o nome tipo esse"Antivirus Windows Xp 2008" e um Anti-spyware, que eu não lembro o nome, Eles dizem localizar os Vírus mas pra remover é necessario adiquirir uma Licença, que nesse caso nem dá porque o Computador não tem acesso a internet.

Tentativas De remoção: Abri o Msconfig(que felizmente abriu) fui lá e desabilitei todos os Programas que Iniciam com o Windows e alguns Serviços Desconhecidos,
Depois Fui na pasta do Windows e System32, e renomeei uns arquivos suspeitos, mas como não era possivel ver os Arquivos ocultos faltou muito arquivo

Mas Todos esses passos Foram Inúteis

Quem conhece esse Vírus ou Pode Me ajudar de Alguma Maneira?

Agradeço a Atenção!

EDIT: O Vírus altera o Sistema, Aparece uma tela Antes da tela de boas vindas do windows com uma Mensagem de que o Computador foi Inctado
dizendo antivirus necessario virus clicar famosos voc rus descarados
Vitorjls
Vitorjls Membro Senior Registrado
210 Mensagens 6 Curtidas
#5 Por Vitorjls
27/06/2008 - 17:43
Ai vai o Log com HijackThis, só que eu dei um Mole porque eu sai excluindo um monte de entrada e perdi o primeiro Log que tava todo infectado sobrando apenas esse que já ta com tudo removido

Mas o Vírus continua Intacto:

Logfile of HijackThis v1.99.1
Scan saved at 17:02:16, on 27/6/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Arquivos de programas\Alwil Software\Avast4\setup\avast.setup
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS.0\ctfmon.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\slserv.exe
C:\WINDOWS.0\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS.0\system32\wuauclt.exe
E:\achei.exe
C:\Arquivos de programas\Windows NT\Acessórios\WORDPAD.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll
O20 - Winlogon Notify: winctrl32 - C:\WINDOWS.0\SYSTEM32\WinCtrl32.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (antivirscheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (antivirservice) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswupdsv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus (avast! antivirus) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner (avast! mail scanner) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner (avast! web scanner) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ccevtsvc - Unknown owner - C:\WINDOWS.0\System32\CcEvtSvc.exe (file missing)
O23 - Service: COMSysApp COMSysAppRemoteRegistry (comsysappremoteregistry) - Unknown owner - C:\WINDOWS.0\system32\accessq.exe (file missing)
O23 - Service: LPTRDC server (lptrdcsrv) - Unknown owner - C:\WINDOWS.0\ctfmon.exe
O23 - Service: Plug and Play PlugPlaySCardSvr (plugplayscardsvr) - Unknown owner - C:\WINDOWS.0\system32\1041e.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS.0\SYSTEM32\slserv.exe
O23 - Service: Serviço de Número de Série de Mídia Portátil WmdmPmSNTapiSrv (wmdmpmsntapisrv) - Unknown owner - C:\WINDOWS.0\system32\a3do.exe


Instalei também o AVIRA e não removeu o Vírus.
Continua sem acesso a internet, pra fazer um Scan online!

EDIT: Se ajuda, ai estão as entradas que eu havia Removido pelo Hijakthis e recuperei atraves do Backup:

O2 - BHO: C:\WINDOWS.0\system32\hdxjd4g.dll - {b5ac49a2-94f2-42bd-f434-2604812c897d} - C:\WINDOWS.0\system32\hdxjd4g.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,userinit.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\LocalService.AUTORIDADE NT\Local Settings\Application Data\cftmon.exe

O4 - HKLM\..\Run: [Hhjg5jfd93dftdf] C:\Temp\winlagon.exe

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS.0\system32\drivers\spools.exe

O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\Temp\csrssc.exe

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O4 - HKCU\..\Run: [Hhjg5jfd93dftdf] C:\Temp\winlagon.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1212032005890

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: winctrl32 - C:\WINDOWS.0\SYSTEM32\WinCtrl32.dll

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

O21 - SSODL: yhEAyAqZbyN - {589200DE-F238-AA74-9BDA-721C75DF0341} - C:\WINDOWS.0\system32\osu.dll (file missing)

O23 - Service: browserwinmgmt - Unknown owner - C:\WINDOWS.0\system32\accesst.exe

O23 - Service: cisvchelpsvc - Unknown owner - C:\WINDOWS.0\system32\accessda.exe

O23 - Service: CiSvc - Unknown owner - C:\Temp\1.EXE (file missing)

O23 - Service: clr_optimization_v2.0.50727_32 - Unknown owner - C:\Temp\1.EXE (file missing)

O23 - Service: COMSysApp COMSysAppRemoteRegistry (comsysappremoteregistry) - Unknown owner - C:\WINDOWS.0\system32\accessq.exe

O23 - Service: Dhcp - Unknown owner - C:\Temp\1.EXE (file missing)

O23 - Service: HTTPFilter - Unknown owner - C:\Temp\1.EXE (file missing)

O23 - Service: fci - Unknown owner - C:\WINDOWS.0\system32\svchost.exe:ext.exe (file missing)

O23 - Service: Google Online Services - Unknown owner - C:\Temp\1.EXE (file missing)

O23 - Service: lanmanserver - Unknown owner - C:\Temp\1.EXE (file missing)

O23 - Service: icf - Unknown owner - C:\Temp\1.EXE (file missing)

O23 - Service: LPTRDC server (lptrdcsrv) - Unknown owner - C:\WINDOWS.0\ctfmon.exe

O23 - Service: ImapiService - Unknown owner - C:\Temp\1.EXE (file missing)

O23 - Service: MSIServer - Unknown owner - C:\Temp\1.EXE (file missing)

O23 - Service: NtLmSsp - Unknown owner - C:\Temp\1.EXE (file missing)

O23 - Service: ose - Unknown owner - C:\Temp\1.EXE (file missing)

O23 - Service: Plug and Play PlugPlaySCardSvr (plugplayscardsvr) - Unknown owner - C:\WINDOWS.0\system32\1041e.exe

O23 - Service: PolicyAgent - Unknown owner - C:\Temp\1.EXE (file missing)

O23 - Service: RDSessMgr - Unknown owner - C:\Temp\1.EXE (file missing)

O23 - Service: RSVP - Unknown owner - C:\WINDOWS.0\system32\rsvp.exe (file missing)

O23 - Service: Alocador Remote Procedure Call (RPC) (RpcLocator) - Unknown owner - C:\WINDOWS.0\system32\locator.exe

O23 - Service: Schedule - Unknown owner - C:\WINDOWS.0\system32\drivers\spools.exe

O23 - Service: Serviço de Número de Série de Mídia Portátil WmdmPmSNTapiSrv (wmdmpmsntapisrv) - Unknown owner - C:\WINDOWS.0\system32\a3do.exe

O23 - Service: ccevtsvc - Unknown owner - C:\WINDOWS.0\System32\CcEvtSvc.exe (file missing)

O23 - Service: LPTRDC server (lptrdcsrv) - Unknown owner - C:\WINDOWS.0\ctfmon.exe

O23 - Service: COMSysApp COMSysAppRemoteRegistry (comsysappremoteregistry) - Unknown owner - C:\WINDOWS.0\system32\accessq.exe (file missing)

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS.0\SYSTEM32\slserv.exe

O23 - Service: Plug and Play PlugPlaySCardSvr (plugplayscardsvr) - Unknown owner - C:\WINDOWS.0\system32\1041e.exe

O23 - Service: Serviço de Número de Série de Mídia Portátil WmdmPmSNTapiSrv (wmdmpmsntapisrv) - Unknown owner - C:\WINDOWS.0\system32\a3do.exe
Wings
Wings Cyber Highlander Registrado
20.3K Mensagens 1.2K Curtidas
#6 Por Wings
27/06/2008 - 19:51
Bom, como eu não sei o que você fez para eliminar estes arquivos, iremos por um caminho as escuras...

1. Desinstale um dos antivírus...decida: Avast ou Avira.

2.
*Acesse o link abaixo, clique com o botão direito do mouse na página e selecione "Salvar como.."
*Salve no desktop
http://www.internetinspiration.co.uk/downloads/roguefix_2.178.bat
*Baixe o programa do link e salve-o no desktop
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
*Duplo clique em SDFix.exe e a ferramenta será instalada geralmente em C:\SDFix
*Anote ou imprima o procedimento
*Desative temporariamente seu antivírus e anti-spyware
*Reinicie o PC em Modo de Segurança (Pressione intermitentemente F8 durante a inicialização, no menu que aparecer escolha Modo Seguro).

3. Em Modo de Segurança
*Duplo clique em Roguefix.bat...tecle ENTER para continuar e aguarde o término do processo
*Na pasta C:\SDFix localize e execute o arquivo RunThis.bat
*Tecle Y para iniciar o processo
*Ao término, surgirá um aviso dizendo para apertar qualquer tecla para continuar.
*O PC será reiniciado automaticamente
*Ao reiniciar, a ferramenta novamente será executada
*Ao surgir "The FixTool has finished", pressione qualquer tecla

4.
*Cole os resultados criados em C:\SDFix\Report.txt, roguefix.txt (estará no desktop) e novo log do hijack
miley_cyrus_15
miley_cyrus_... Novo Membro Registrado
26 Mensagens 1 Curtida
#7 Por miley_cyrus_...
30/06/2008 - 01:27
se for o Xp antivírus que vc tem e quer remover faz issu aki:

1. Vá até ao menu Start (Iniciar) -> Run (Executar), escreva cmd e clique em Open (Abrir)
2. Na janela de comandos digite a seguinte linha regsvr32 /u shlwapi.dll e pressione a tecla Enter
3. Agora escreve regsvr32 /u wininet.dll e pressione (novamente) a tecla Enter
4. Agora pressione Ctrl + Shift + ESC para abrir a janela com os processos activos.
5. Procure o ficheiro XPAntivirus.exe na lista de processos e clique com o botão direito sobre ele e escolha a opção para finalizar o processo (End Process)
6. Procure o ficheiro XPAntivirusUpdate.exe from na lista de processos e clique com o botão direito sobre ele e escolha a opção para finalizar o processo (End Process)
7. Agora vá até ao menú Start (Iniciar) -> Search (Procurar), clique em Files and Folders (Ficheiros e Pastas) e procure (e depois apague) os seguintes ficheiros do seu sistema :
1. XPAntivirus.exe
2. XPAntivirusUpdate.exe
3. shlwapi.dll
4. wininet.dll
5. XP Antivirus 2008.lnk
6. Uninstall XP Antivirus 2008.lnk
7. XP antivirus
8. XPAntivirus.lnk
9. Uninstall XPAntivirus.lnk
10. XPAntivirus on the Web.lnk
11. XPAntivirus.url
8. Vá novamente até ao menú Start (Iniciar) -> Run (Executar) e digite agora Regedit e clique em Open (Abrir)
9. Apague a referência XP Antivirus na entrada: HKEY_USERS\Software\
10. Reinicie o seu computador para que (finalmente) o seu sistema esteja de volta ao normal.
E da próxima vez, mais atenção! Imagem

_______________________________________________________________
Uma nova ameaça está a circular na Internet sob o nome de XP Antivirus. Esta (suposta) solução milagrosa de proteção é nada mais nada menos que um Virus. Por isso caso seja confrontado com um download deste XP antivírus NÃO faça o download. E se você instalou, aprenda agora mesmo como retirar o mais rápido possível do seu computador!
Vitorjls
Vitorjls Membro Senior Registrado
210 Mensagens 6 Curtidas
#8 Por Vitorjls
30/06/2008 - 10:24
miley_cyrus_15 disse:
se for o Xp antivírus que vc tem e quer remover faz issu aki:


Valeu cara, vou tentar! Parece que o procedimento que o Wings Falou removeu tudo ou quase tudo, que num deu pra mim verificar ainda que é no computador de um amigo e eu Esqueci de fazer o Log com o Hijack daa.png!

No caso desse vírus que ele pegou, vem esse XP antivírus(Vírus) e também um Antí-Spybot, que eu num lembro o nome, será que esse procedimento vai remover o XP Antivírus e também o Anti-Spybot?

Valeu A Dica!
Vitorjls
Vitorjls Membro Senior Registrado
210 Mensagens 6 Curtidas
#10 Por Vitorjls
01/07/2008 - 22:48
Finalmente, ai vai os Log's:

SDFix: Version 1.197
Run by Administrador on sex 27/06/2008 at 22:28

Microsoft Windows XP [versÆo 5.1.2600]
Running From: C:\SDFix

Checking Services :

Name :
CcEvtSvc
FCI
Google Online Services
ICF
LPTRDCsrv
tcpsr

Path :
C:\WINDOWS.0\System32\CcEvtSvc.exe -k netsvcs
C:\WINDOWS.0\system32\svchost.exe:ext.exe
C:\Temp\1.EXE
C:\Temp\1.EXE
C:\WINDOWS.0\ctfmon.exe
\??\C:\WINDOWS.0\System32\drivers\tcpsr.sys

CcEvtSvc - Deleted
FCI - Deleted
Google Online Services - Deleted
ICF - Deleted
LPTRDCsrv - Deleted
tcpsr - Deleted



Restoring Default Security Values
Restoring Default Hosts File
Restoring Default Schedule Service Path

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS.0\system32\b ack.exe.exe - Deleted
C:\WINDOWS.0\mrofinu27.exe.tmp - Deleted
C:\WINDOWS.0\system32\dflgh8jkd2q8.exe - Deleted
C:\Temp\0.exe - Deleted
C:\WINDOWS.0\ctfmon.exe - Deleted
C:\WINDOWS.0\msvupdater.config - Deleted
C:\WINDOWS.0\system32\kr_done1 - Deleted
C:\WINDOWS.0\system32\lich.dat - Deleted
C:\WINDOWS.0\system32\svchost.t__ - Deleted


Could Not Remove C:\WINDOWS.0\system32\WinCtrl32.dll



Removing Temp Files

ADS Check :



Final Check :


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :

C:\WINDOWS.0\system32\WinCtrl32.dll Found

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :


Finished!



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

logfile of scans by Roguefix V2.178


Scan performed on

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~ Files found ~~~~

BraveSentry folder
BraveSentry folder deleted
"C:\WINDOWS.0\system32\phc???j0e???.bmp"
successfully deleted phc???j0e???.bmp
"C:\WINDOWS.0\system32\vx.tll"
successfully deleted vx.tll

"C:\WINDOWS.0\system32\winsub.xml"
successfully deleted winsub.xml

"C:\WINDOWS.0\system32\win***32.dll"
unable to delete win***32.dll - will delete on reboot

"C:\Documents and Settings\Administrador\desktop\BraveSentry.lnk"
successfully deleted BraveSentry.lnk


Cleaned Temporary files


Cleaned Prefetch folder


**********Checking wininet.dll for infection**********

~~~~~~~~~~wininet.dll has not been infected~~~~~~~~~~~

Registry was cleaned and repaired


Desktop background was reset
Internet Explorer homepage was reset


Logfile of HijackThis v1.99.1
Scan saved at 21:20:10, on 1/7/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\svchost.exe
C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS.0\system32\slserv.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\wscntfy.exe
C:\WINDOWS.0\system32\wuauclt.exe
E:\achei.exe

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS.0\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll
O20 - Winlogon Notify: winctrl32 - C:\WINDOWS.0\SYSTEM32\WinCtrl32.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (antivirscheduler) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (antivirservice) - Avira GmbH - C:\Arquivos de programas\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: COMSysApp COMSysAppRemoteRegistry (comsysappremoteregistry) - Unknown owner - C:\WINDOWS.0\system32\accessq.exe (file missing)
O23 - Service: Plug and Play PlugPlaySCardSvr (plugplayscardsvr) - Unknown owner - C:\WINDOWS.0\system32\1041e.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS.0\SYSTEM32\slserv.exe
O23 - Service: Serviço de Número de Série de Mídia Portátil WmdmPmSNTapiSrv (wmdmpmsntapisrv) - Unknown owner - C:\WINDOWS.0\system32\a3do.exe
Wings
Wings Cyber Highlander Registrado
20.3K Mensagens 1.2K Curtidas
#11 Por Wings
01/07/2008 - 23:08
1. Configure o Windows para mostrar pastas e arquivos ocultos:
* Windows Explorer -> Ferramentas -> Opções de Pasta -> Modo de Exibição -> Marque Mostrar Pastas e Arquivos Ocultos -> Aplicar -> OK


2. Envie o arquivo abaixo para análise em http://www.virustotal.com
C:\WINDOWS.0\system32\1041e.exe


Informe através da URL o que foi encontrado

3. Vá em Iniciar > Executar > digite: services.msc, localize o Serviço abaixo, dê um duplo clique nele e em "Tipo de inicialização" selecione Desativado. Clique também em Parar:
COMSysApp COMSysAppRemoteRegistry


4. Abra o HijackThis, clique em Misc Tools > Delete an NT service..., coloque o serviço COMSysApp COMSysAppRemoteRegistry e clique em Ok. Quando perguntado se deseja reiniciar agora, clique em "Não"

5. Ainda no hijack, clique em "Delete a File on Reboot" > copie e cole o arquivo abaixo:
C:\WINDOWS.0\SYSTEM32\WinCtrl32.dll

*Clique em "Open" > OK
*Reinicie o PC em Modo de Segurança

6. Em Modo de Segurança, execute o hijack, clique em "Do a system scan only", selecione as entradas abaixo, se ainda existirem, e clique em "Fix checked"
O20 - Winlogon Notify: winctrl32 - C:\WINDOWS.0\SYSTEM32\WinCtrl32.dll
O23 - Service: COMSysApp COMSysAppRemoteRegistry (comsysappremoteregistry) - Unknown owner - C:\WINDOWS.0\system32\accessq.exe (file missing)


7. Reinicie o PC em Modo Normal
*Novo log do hijack
© 1999-2024 Hardware.com.br. Todos os direitos reservados.
Imagem do Modal