Wings
Cyber Highlander
Registrado
20.3K Mensagens
1.2K Curtidas
- Home
- >
- Fórum
- >
- Windows, Softwa...
- >
- Segurança: deba...
- >
- Avira acusando virus dire...
Wings
Cyber Highlander
Registrado
20.3K Mensagens
1.2K Curtidas
oswaldobass
Tô em todas
Registrado
1.9K Mensagens
88 Curtidas
Wings disse:Depois de desinstalar o MSN....faça um scan em Modo de Segurança. Apenas uma idéia.
Fiz em modo de segurança e agora acho que foi, vou instalar o msn agora pra ver...
Aí o log do hijackthis pra ver se tem algo mais
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:05:15, on 28/5/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Acer\Acer VCM\RS_Service.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\VoipRaider.com\VoipRaider\VoipRaider.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Ares\Ares.exe
C:\Program Files\Acer\Acer VCM\AcerVCM.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe
C:\Documents and Settings\Paty\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Documents and Settings\Paty\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Paty\Desktop\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tribalwars.com.br/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0409&s=0&o=xph&d=0509&m=aspire_one
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {6EF05952-B48D-4944-AA91-57A6A1A48EF8} - C:\Program Files\Puxa Rápido\IEBHO.DLL
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [VoipRaider] "C:\Program Files\VoipRaider.com\VoipRaider\VoipRaider.exe" -nosplash -minimized
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer VCM.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Acer\Acer VCM\Skype4COM.dll
O18 - Filter: x-sdch - (no CLSID) - (no file)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Dispositivo Celular da Apple (Apple Mobile Device) - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Desktop Manager 5.7.808.7150 (GoogleDesktopManager-080708-050100) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Raw Socket Service (RS_Service) - Acer Incorporated - C:\Program Files\Acer\Acer VCM\RS_Service.exe
--
End of file - 6711 bytes
Obrigado a todos que estão me ajudando
Diogo R.
Ubbergeek
Registrado
6.6K Mensagens
190 Curtidas
----------------------------------------------------------------------
Abra o HijackThis, e clica em "Do a system scan only"...e marque a(s) seguinte(s) linha(s):
O18 - Filter: x-sdch - (no CLSID) - (no file)
E clique em Fix checked...
-----------------------------------------------------------------------
Faça o seguinte:
Mande o(s) seguinte(s) arquivo(s) para o VirusTotal:C:\Program Files\VoipRaider.com\VoipRaider\VoipRaider.exe
E poste o link do(s) resultado(s) aqui...------------------------------------------------------------------------
Aguardo...
T+
Visite nosso
oswaldobass
Tô em todas
Registrado
1.9K Mensagens
88 Curtidas
Diogo R. disse:Olá oswaldobass
----------------------------------------------------------------------
Abra o HijackThis, e clica em "Do a system scan only"...e marque a(s) seguinte(s) linha(s):
E clique em Fix checked...
-----------------------------------------------------------------------
Faça o seguinte:
Mande o(s) seguinte(s) arquivo(s) para o VirusTotal:
------------------------------------------------------------------------
Aguardo...
T+
Tá aí o resultado
http://www.virustotal.com/pt/analisis/eee056993cc80bb4277360cbe03883a922b2c6a2e8a6853aceb922a79357838d-1243502785
Foi alarme falso, o avira continua acusando, agora com mais uma dll
(ws2help.dll)
brando lee
Zerinho
Registrado
2.4K Mensagens
97 Curtidas
em qual pasta ele esta?
não delete ele ainda parece ser um falso positivo do Avira.
manda esse arquivo para analizar no site virus total
Ficarei um tempo ausente no Fórum, muito Ocupado, coisas mais importante pra fazer "Trabalho".
Removendo vírus pelo bloco de notas!
oswaldobass
Tô em todas
Registrado
1.9K Mensagens
88 Curtidas
brando lee disse:me fala qual o caminho desse arquivo (ws2help.dll) ?
em qual pasta ele esta?
não delete ele ainda parece ser um falso positivo do Avira.
manda esse arquivo para analizar no site virus total
Tá aí o link, ele está na pasta Windows.
http://www.virustotal.com/pt/analisis/4d25fd71ab3642f91926a22cedb8a8cefe42f798555a77916685cd92d93cfc33-1242056104
Obrigado
Diogo R.
Ubbergeek
Registrado
6.6K Mensagens
190 Curtidas
Tá aí o resultado
http://www.virustotal.com/pt/analisi...38d-1243502785
Esse não é um malware, e o Avira não o identificou como, simplismente lhe pedi para tirar a dúvida...
Tá aí o link, ele está na pasta Windows.
http://www.virustotal.com/pt/analisi...c33-1242056104
Esse sim é um malware, e aconselho remover...
O log do HijackThis está limpo...
Nos diga, o problema persiste?
T+
oswaldobass
Tô em todas
Registrado
1.9K Mensagens
88 Curtidas
Diogo R. disse:
Esse sim é um malware, e aconselho remover...
O log do HijackThis está limpo...
Nos diga, o problema persiste?
T+
Persiste sim, não sei como excluir, pois quando clico pra remover ele pede pra reiniciar e quando reinicio lá está ele de novo...
Ainda continua o aviso do avira com este ws2help.dll e Wplugin.dll; como já falei, só consigo utilizar o msn e o google chrome quando ignoro o aviso do avira; se mover pra quarentena, negar o acesso ou deletar, não abre nenhum dos 2 programas...
brando lee
Zerinho
Registrado
2.4K Mensagens
97 Curtidas
1: copia o comando abaixo
rename C:\windows\Wplugin.dll Wplugin2: depois abre seu prompt de comando e cola o comando e pressione em enter.
rename C:\docume~1\paty\APPLIC~1\wplugin.dll Wplugin
e depois vc renicia seu pc.
**************************************************
esse não é o arquivo que ,solicitei a vc analizar no site virus total
DPTJRRXYHW-247.pms.dll.SVDé esse que eu pedi
ws2help.dllmas tudo bem eu acho que esse não é um virus.
Ficarei um tempo ausente no Fórum, muito Ocupado, coisas mais importante pra fazer "Trabalho".
Removendo vírus pelo bloco de notas!
oswaldobass
Tô em todas
Registrado
1.9K Mensagens
88 Curtidas
brando lee disse:vamos acabar com ele tenho um truque vamos renomea-lo, tirando a extensão .DLL para que ele não execute mas.
1: copia o comando abaixo 2: depois abre seu prompt de comando e cola o comando e clique em enter.
e depois vc renicia seu pc.
**************************************************
esse não é o arquivo que ,solicitei a vc analizaré esse que eu pedi mas tudo bem eu acho que esse não é um virus.
Foi esse mesmo que mandei, mandei de novo e aparece esse mesmo nome doido...
Esse outro eu vou reiniciar em modo seguro pra ver porque fala que está sendo usado
brando lee
Zerinho
Registrado
2.4K Mensagens
97 Curtidas
C:\windows\Wplugin.dllnão precisa entrar em modo de segurança, só reniciar o computador normail. no botão verde
Ficarei um tempo ausente no Fórum, muito Ocupado, coisas mais importante pra fazer "Trabalho".
Removendo vírus pelo bloco de notas!
oswaldobass
Tô em todas
Registrado
1.9K Mensagens
88 Curtidas
Esse de cima não consigo nem renomar, fala que o arquivo está em uso, em modo seguro fala a mesma coisa
E o outro (C:\docume~1\paty\APPLIC~1\wplugin.dll Wplugin) eu consegui excluir, só que quando reinicio ele volta...
brando lee
Zerinho
Registrado
2.4K Mensagens
97 Curtidas
faça novamente.
copia::
rename C:\windows\Wplugin.dll Wplugin
rename C:\docume~1\paty\APPLIC~1\wplugin.dll Wplugin
e depois cola no prompt de comano e clique em enter.
verifique se terá um aviso:: ACESSO NEGADO.
Ficarei um tempo ausente no Fórum, muito Ocupado, coisas mais importante pra fazer "Trabalho".
Removendo vírus pelo bloco de notas!
Wings
Cyber Highlander
Registrado
20.3K Mensagens
1.2K Curtidas
Eu penso em 3 possibilidades:
a) Usar a ferramenta da Microsoft para ver se consegue resolver. Segue o link para download:
http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=pt-br&SrcCategoryId=&SrcFamilyId=ad724ae0-e72d-4f54-9ab3-75b8eb148356&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2f4%2fA%2fA%2f4AA524C6-239D-47FF-860B-5B397199CBF8%2fwindows-kb890830-v2.10.exe
b) Usar o Combofix para ver se ainda tem algum serviço da McAfee rodando
3) Usar o OTScanIt e tentar remover o que encontrar da McAfee.
Então, tente a alternativa A. Caso não resolva, vamos para a B.
oswaldobass
Tô em todas
Registrado
1.9K Mensagens
88 Curtidas
brando lee disse:mas que virus é esse não da nen pra deletar em modo seguro, vc esta entrando em modo seguro com rede ou só em modo seguro ?
faça novamente.
copia::
e depois cola no prompt de comano e clique em enter.
verifique se terá um aviso:: ACESSO NEGADO.
Novamente só renomeia um
Wings disse:Eu só conheço um antivírus capaz de resolver que é o McAfee. Porém ele informou que o usuário já havia instalado e não consegue mais instalar pois há informação de que o prazo de teste já terminou.
Eu penso em 3 possibilidades:
a) Usar a ferramenta da Microsoft para ver se consegue resolver. Segue o link para download:
http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=pt-br&SrcCategoryId=&SrcFamilyId=ad724ae0-e72d-4f54-9ab3-75b8eb148356&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2f4%2fA%2fA%2f4AA524C6-239D-47FF-860B-5B397199CBF8%2fwindows-kb890830-v2.10.exe
b) Usar o Combofix para ver se ainda tem algum serviço da McAfee rodando
3) Usar o OTScanIt e tentar remover o que encontrar da McAfee.
Então, tente a alternativa A. Caso não resolva, vamos para a B.
Não encontrou nada na ferramenta da Microsoft
