antispyware maldito! me ajudem...

intel · 17-08-06, 15:53 #1

nao sei o q q acessaram aqui no pc do escritório (porn...) pra pegar essa parada, mas desde ontem eu percebi q qdo liga o computador aparecem uns arquivos .exe no c:/

ae começaram a aparecer avisos ali na barra de tarefas que o computador estava infectado... e do nada ele já rodava scan de um programa PestTrap ou algo assim (que não tinha sido instalado) e depois q eu desinstalei ele ainda mandou pedido pra instalar outro programa lá WinProtection ou Ultimate Defender, sempre q abre o Internet Explorer...

já rodei Spybot, Ad Aware, Ewido e continua dando isso:

Regis, rodei HijackThis aqui:

Logfile of HijackThis v1.99.1
Scan saved at 16:03:36, on 17/8/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe
C:\Arquivos de programas\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Linha10 Duron\Configurações locais\Dados de aplicativos\dffea3f9.exe
C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe
C:\Arquivos de programas\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Linha10 Duron\Configurações locais\Temp\Diretório temporário 3 para hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [bikini] bikini.exe
O4 - HKLM\..\Run: [!ewido] "C:\Arquivos de programas\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [dffea3f9.exe] C:\WINDOWS\System32\dffea3f9.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [dffea3f9.exe] C:\Documents and Settings\Linha10 Duron\Configurações locais\Dados de aplicativos\dffea3f9.exe
O4 - Startup: Adobe Gamma.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Arquivos de programas\ewido anti-spyware 4.0\guard.exe

formatei esse computador na sexta feira passada... só instalei o básico, tipo corel, photoshop e office...

Regis · 17-08-06, 16:02 #2

Intel..
da Ctrl+alt+del..
pega a lista de programas que ta em execução e posta aqui.

Depois vai em iniciar executar
digita msconfig.. vai em inicializar e pega a lista de programas que ta inicializando com o teu pc e posta aqui tmb..
daí vai da pra gente te ajudar.

vegetous · 17-08-06, 16:09 #3

bom, primeiro fecha qualquer processo estranho que estiver rodando, depois abre o registro e vai nos "RUN"s pra ver se tem alguma coisa que não deveria estar lá. depois ainda no registro, faz uma procura por esses nomes de programas q vc citou. procure também por novos arquivos no diretório do windows, system e system32.

t+

maxcool · 17-08-06, 16:11 #4

intel, soh por curiosidade
os arquivos seriam system.exe, system32.exe, windowsupdate.exe e coisas do tipo?

veja se em c:\documents and settings\all users\menu iniciar\programas\inicializar tem algo parecido

veja se no regedit em
hkey_local_machine\Software\Microsoft\Windows\Current Version\Run
tem algo parecido tb

se tiver, apaga tudo sem dó nem piedade e pronto

intel · 17-08-06, 16:14 #5

Vegetous, não acho nada relacionado aos programas...

maxcool, não... era uns arquivos tipo ana.exe anad.exe nud.exe
antes tb tinha um processo tipo bikini.exe

depois q rodei o Spybot não apareceu mais esses arquivos, mas continua aparecendo essas janelas pra instalar programas q eu coloquei SS ali em cima...

Regis · 17-08-06, 16:18 #6

Limpa a pasta de temporary internet files..
baixa e instala o CCleaner...
faz uma cópia do registro.. e roda esse programa..
roda a limpesa de disco e a parte de correção de erros.

serjaum · 17-08-06, 16:26 #7

meu, restaura o sistema pow

.... · 17-08-06, 16:28 #8

ja olhou os activex instalados no IE?

nao adianta nada ter removido com os scans, e ter merda instalada la no:
ferramentas> opções de internet, configurações, exibir objetos.

se tiver activex lá estranho, pode ter certeza q ele q ta baixando as merdas!

ShadoW · 17-08-06, 16:35 #9

como q olha o activex hard?

serjaum · 17-08-06, 16:37 #10

leia o post dele novamente shadow

predator · 17-08-06, 16:39 #11

.

intel · 17-08-06, 16:49 #12

tá, agora é tarde demais pra eu usar firefox, predator, obrigado pela dica de qualquer maneira...

regis, como eu faço um backup do registro?

hardz, já olhei ali e só tem uns 3 lance instalado...

serjaum, na verdade eu já fiz um daqueles lance de recuperar o sistema semana passada (pq o windows tava travando), e mesmo não formatando tive q reinstalar todos os programas. então deixo isso pra ultimo caso, que seria formatar mesmo

.... · 17-08-06, 17:01 #13

intel,msn-me

h4rd at msn dot com

intel · 17-08-06, 17:33 #14

wootz... arrumei aqui:
http://linhadefensiva.uol.com.br/for...ic=17799&st=0&

fica a sugestão de usar esse site aqui pra verificar arquivos

http://virusscan.jotti.org/

obrigado e tchaus :*´s

Regis Trooper	17-08-06, 16:02 #2 Intel.. da Ctrl+alt+del.. pega a lista de programas que ta em execução e posta aqui. Depois vai em iniciar executar digita msconfig.. vai em inicializar e pega a lista de programas que ta inicializando com o teu pc e posta aqui tmb.. daí vai da pra gente te ajudar.

vegetous Trooper	17-08-06, 16:09 #3 bom, primeiro fecha qualquer processo estranho que estiver rodando, depois abre o registro e vai nos "RUN"s pra ver se tem alguma coisa que não deveria estar lá. depois ainda no registro, faz uma procura por esses nomes de programas q vc citou. procure também por novos arquivos no diretório do windows, system e system32. t+

maxcool Banned	17-08-06, 16:11 #4 intel, soh por curiosidade os arquivos seriam system.exe, system32.exe, windowsupdate.exe e coisas do tipo? veja se em c:\documents and settings\all users\menu iniciar\programas\inicializar tem algo parecido veja se no regedit em hkey_local_machine\Software\Microsoft\Windows\Current Version\Run tem algo parecido tb se tiver, apaga tudo sem dó nem piedade e pronto

intel Banned	17-08-06, 16:14 #5 Vegetous, não acho nada relacionado aos programas... maxcool, não... era uns arquivos tipo ana.exe anad.exe nud.exe antes tb tinha um processo tipo bikini.exe depois q rodei o Spybot não apareceu mais esses arquivos, mas continua aparecendo essas janelas pra instalar programas q eu coloquei SS ali em cima...

Regis Trooper	17-08-06, 16:18 #6 Limpa a pasta de temporary internet files.. baixa e instala o CCleaner... faz uma cópia do registro.. e roda esse programa.. roda a limpesa de disco e a parte de correção de erros.

serjaum Master Chief	17-08-06, 16:26 #7 meu, restaura o sistema pow

.... Banned	17-08-06, 16:28 #8 ja olhou os activex instalados no IE? nao adianta nada ter removido com os scans, e ter merda instalada la no: ferramentas> opções de internet, configurações, exibir objetos. se tiver activex lá estranho, pode ter certeza q ele q ta baixando as merdas!

ShadoW Trooper	17-08-06, 16:35 #9 como q olha o activex hard?

serjaum Master Chief	17-08-06, 16:37 #10 leia o post dele novamente shadow

.... Banned	17-08-06, 17:01 #13 intel,msn-me h4rd at msn dot com

predator Back to the U.S.A.	17-08-06, 16:39 #11 .

intel Banned	17-08-06, 17:33 #14 wootz... arrumei aqui: http://linhadefensiva.uol.com.br/for...ic=17799&st=0& fica a sugestão de usar esse site aqui pra verificar arquivos http://virusscan.jotti.org/ obrigado e tchaus :*´s