Linha Defensiva | Remova Vírus | BankerFix | Fórum | Sobre
Vírus "roubando" memória?

TÓPICO: 56681 | ARQUIVO DO FÓRUM CASOS RESOLVIDOS
rocklepopis
Olha eu de volta.... blink.gif
Tô virando paranóica ou aprendendo sozinha a analisar o log...rssss

Tenho percebido que, ao navegar pela internet, o HD vai tendo seu espaço livre diminuido em pouco tempo. Rodo o CCleaner sempre mas continua acontecendo.

Fui baixar o Bankerfix e, ao rodar, diz que o arquivo não foi encontrado, não está deixando instalar a ferramenta.

Rodei o HijakcThis e me parece que tem uma entrada estranha.

Segue o log

Logfile of HijackThis v1.99.1
Scan saved at 23:45:39, on 07/12/2007
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
C:\WINDOWS.000\SYSTEM\MPREXE.EXE
C:\WINDOWS.000\SYSTEM\MSTASK.EXE
C:\WINDOWS.000\SYSTEM\mmtask.tsk
C:\WINDOWS.000\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS.000\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS.000\EXPLORER.EXE
C:\WINDOWS.000\SYSTEM\RNAAPP.EXE
C:\WINDOWS.000\SYSTEM\TAPISRV.EXE
C:\ARQUIVOS DE PROGRAMAS\TELEFONICA\SPEEDY\SATUF.EXE
C:\WINDOWS.000\STARTER.EXE
C:\WINDOWS.000\SYSTEM\CMMON32.EXE
C:\ARQUIVOS DE PROGRAMAS\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS.000\SYSTEM\DDHELP.EXE
C:\WINDOWS.000\NETDDE.EXE
C:\ARQUIVOS DE PROGRAMAS\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS.000\SYSTEM\PSTORES.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com/
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [tspuf] C:\ARQUIVOS DE PROGRAMAS\TELEFONICA\SPEEDY\SATUF.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS.000\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS.000\SYSTEM\KB918547\KB918547.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/f...p1.0.0.15-3.exe


Essa última entrada, que tem o MyFunCards, me parece suspeita. Acertei?

OBS.: para baixar essa ferramenta também tive um probleminha - aparecia a mensagem "servidor não encontrado" mas consegui baixar e salvar na terceira tentativa.

PC compartilhado dá trabalho.

Obrigada!!!!
JoseMelo
- Abra o HijackThis, clique em Do a system scan only e marque a entrada abaixo:

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/f...p1.0.0.15-3.exe

- Feche todas as janelas, clique em
Imagem postada pelo usuário
e em Sim;

- Faça um scan em http://www.kaspersky.com/virusscanner e poste o resultado aqui.
rocklepopis
Oi, JoseMelo....tá você aí me ajudando de novo...rsss

Não consigo usar o Kaspersky, ele só está rodando em Windows 2000 ou superior....o meu é 98.

Mas fiz o que pediu e criei novo log do HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 14:34:37, on 09/12/2007
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
C:\WINDOWS.000\SYSTEM\MPREXE.EXE
C:\WINDOWS.000\SYSTEM\MSTASK.EXE
C:\WINDOWS.000\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS.000\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS.000\SYSTEM\mmtask.tsk
C:\WINDOWS.000\EXPLORER.EXE
C:\WINDOWS.000\SYSTEM\RNAAPP.EXE
C:\WINDOWS.000\SYSTEM\TAPISRV.EXE
C:\ARQUIVOS DE PROGRAMAS\TELEFONICA\SPEEDY\SATUF.EXE
C:\WINDOWS.000\STARTER.EXE
C:\WINDOWS.000\SYSTEM\CMMON32.EXE
C:\WINDOWS.000\SYSTEM\DDHELP.EXE
C:\WINDOWS.000\SYSTEM\SPOOL32.EXE
C:\WINDOWS.000\SYSTEM\PSTORES.EXE
C:\ARQUIVOS DE PROGRAMAS\INTERNET EXPLORER\IEXPLORE.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com/
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [tspuf] C:\ARQUIVOS DE PROGRAMAS\TELEFONICA\SPEEDY\SATUF.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS.000\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS.000\SYSTEM\KB918547\KB918547.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp


Algum outro scan online que eu possa passar prá te ajuda a detectar se resolveu?

Brigadinha biggrin.gif
JoseMelo
- Ok, o log está limpo smile.gif

- Apague a pasta backups que está em C:\HIJACKTHIS;

- Recomendo uma manutenção no computador para exclusão dos arquivos temporários, desnecessários e entradas inválidas no registro. Faça o download do CCleaner:
  • Abra o programa e clique em Executar Limpeza;
  • Após isto, clique em Registro > Procurar erros > Corrigir Erros
- Desative e ative novamente a Restauração do Sistema

- Leia o artigo Proteja seu PC para maiores informações sobre como evitar infecções;

- Se não tiver mais nenhum problema, clique no botão
Imagem postada pelo usuário
e diga que o seu caso foi resolvido.
rocklepopis
JoseMelo, obrigada pela ajuda, mais uma vez.

Tenho o CCleaner instalado e estou sempre atualizando as versões, rodo ele quase que diariamente. O problema maior é que outras pessoas em casa usam o mesmo PC, e não adianta falar prá não clicar em cartões virtuais e links afins do orkut....adolescentes sempre dão trabalho.

Estou reportando.

Té mais thumbsup.gif
JoseMelo
Problema Resolvido!

Caso o autor necessite que o tópico seja reaberto, entre em contato com um dos membros da equipe de moderação.
©2005-2010 Linha Defensiva. Todos os Direitos Reservados.

Invision Power Board © 2001-2010 Invision Power Services, Inc.
Adaptado por Shaun Harrison
Traduzido e modificado por Fantome e David, Lafter
Alteração para arquivamento por Altieres Rohr