• Comunicados

    • diego_moicano

      Gostaria de se tornar um analista em Remoção de Malware?   08-12-2015

      Gostaria de se tornar um analista em Remoção de Malware? O Fórum Clube do Hardware deu início a um programa de treinamento em análises de log. Os interessados deverão enviar um email para aprendizes (arroba) clubedohardware (ponto) com (ponto) br respondendo as seguintes perguntas: Por que você gostaria de aprender a analisar logs? Possui tempo hábil para o treinamento? Tem conhecimentos em informática? Se sim descreva-os. Possui inglês para leitura? Qual seu objetivo após completar o treinamento?   Não se esqueça de incluir no e-mail o seu nome de usuário (fornecer o link também), idade e cidade onde vive. Adicione também qualquer experiência e/ou razão sobre o porquê você seria um bom Analista. É digno de nota que apenas os que forem selecionados receberão resposta por MP (Mensagem Pessoal), não existe um padrão na escolha dos futuros aprendizes, todos os e-mails serão lidos e serão analisados de forma imparcial, portanto não será permitido reclamações neste aspecto. O treinamento é dado no próprio fórum. Quando um aprendiz é selecionado ele é movido para um novo grupo, onde terá acesso a fóruns fechados para os demais usuários onde poderá dar inicio ao seu treinamento. Importante: A cada 30 dias os e-mails não selecionados serão apagados, portanto você pode enviar um novo e-mail após 1 mês, e-mails enviados antes serão desconsiderados.  
    • Gabriel Torres

      Seja um moderador do Clube do Hardware!   14-02-2016

      Prezados membros do Fórum do Clube do Hardware,

      Está aberto o processo de seleção de novos moderadores para diversos setores do fórum. Os requisitos são:
        Pelo menos 1000 posts e um ano de cadastro; Boa frequência de participação; Ser respeitoso, cordial e educado com os demais membros; Ter bom nível de português; Ter razoável conhecimento da área em que pretende atuar; Saber trabalhar em equipe (com os moderadores, coordenadores e administradores).   Os interessados deverão enviar uma mensagem privada para o usuário @Equipe Clube do Hardware com o título "Candidato a moderador". A mensagem deverá conter respostas ao formulário abaixo:    Qual o seu nome completo? Qual sua data de nascimento? Qual sua formação/profissão? Já atuou como moderador em algo outro fórum, se sim, qual? De forma sucinta, explique o porquê de querer ser moderador do fórum e conte-nos um pouco sobre você.   OBS: Não se trata de função remunerada. Todos que fazem parte do staff são voluntários.
Entre para seguir isso  
Seguidores 0
the_paranoid_

Neo Technology Search Engine

11 posts neste tópico

:angry:

fica um toolbar no meu internet explorer, "neo toolbar". ele tem um espaço no "adicionar e remover programas" (com o nome do titulo), mas quando você seleciona e bota desintalar ele faz algum processo, e aparece uma mensagem em inglês dizendo "pronto, agora você pode mudar as opções do internet explorer manualmente" mas esse toolbar maldito continua. tentei o spy sweeper, e ele nem acha. o search & destroy tb não. o NoAdware acha, aí eu peço pra tirar mas não acontece nada. no Adware away, depois de passa-lo, na primeira vez eu abri o Internet explorer pra ver se ele tinha desaparecido, e tinha! abri otras vezes pra conferir e parecia ter saido... então eu abri a pasta do meu computador e lá estava ele de novo, e retornou no internet explorer tb...

o hijackthis, tb usado, provoca algo parecido como o adware away, ele apaga temporariamente, mas abrindo depois lá esta o toolbar de volta... eu notei que tm um dll na pasta system do windows com o nome "searchbar.dll", que mesmo quando os programas dizem que tiram o adware, ele continua lá. não parece ter como deletar o dll, como esta "sendo usado pelo windows"... será que não há maneira alguma de tirar essa #####? :unsure:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Primeiro: retire o NoAdware. Esse programa é ridiculamente ruim e faz parte de uma rede onde todos os programas spyware são exatamente iguais, apenas mudando a interface e o preço.

Agora seria uma boa ideia você postar um log do HijackThis. Certifique-se que a versão é a 1.98.2 e coloque o log na sua resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

"Logfile of HijackThis v1.98.2

Scan saved at 18:28:38, on 9/11/2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\PCTVOICE.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\ARQUIVOS DE PROGRAMAS\MSN MESSENGER\MSNMSGR.EXE

C:\ARQUIVOS DE PROGRAMAS\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cpovo.net/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cpovo.net

O2 - BHO: Neo Toolbar - {722E8B26-1C44-460F-88BB-50C82B20E30E} - C:\WINDOWS\SYSTEM\SEARCHBAR.DLL

O3 - Toolbar: Neo Toolbar - {722E8B26-1C44-460F-88BB-50C82B20E30E} - C:\WINDOWS\SYSTEM\SEARCHBAR.DLL

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe"

bom então, o que eu fiz foi selecionar o O2, e o O3 e botar fix checked. ao colocar scan novamente não estão mais lá. mas ao abrir o internet explorer eles voltam...

Compartilhar este post


Link para o post
Compartilhar em outros sites

Este log parece estar incompleto.

Você tem certeza que postou tudo?

Primeira coisa -- mude o HijackTHis para uma pasta própria (ex: C:\HijackThis\HijackThis.exe). Faça um novo log e confirme que este aí está completo.

Se ainda tiver só isso, tente iniciar o computador no modo de Segurança, apertando F8 logo que ligar o computador até aparecer um menu onde você poderá selecionar "Modo de Segurança" e fazer um log lá.

Compartilhar este post


Link para o post
Compartilhar em outros sites

pois então, eu entrei em modo de segurança, e confirmo o log, está completo. no modo de segurança eu tentei fazer a mesma coisa, e parece que da certo (ele removeu a toolbar) no entanto, quando voltei ao modo normal ela retornou (...)...

que coisa insistente... não há alguma maneira de deletar um arquivo do windows que ele considere "importante" ?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Vamos tentat algo diferente...

Desabilite a restauração do sistema

Inicie o computador no modo de segurança. Abra o HijackThis.

Marque:

O2 - BHO: Neo Toolbar - {722E8B26-1C44-460F-88BB-50C82B20E30E} - C:\WINDOWS\SYSTEM\SEARCHBAR.DLL

O3 - Toolbar: Neo Toolbar - {722E8B26-1C44-460F-88BB-50C82B20E30E} - C:\WINDOWS\SYSTEM\SEARCHBAR.DLL

Clique em Fix Checked.

Reinicie normalmente.

Abra o HijackThis. Clique em Config, depois em Misc Tools.

Marque a opção "List also minor sections (full)" e clique em Generate Startuplist Log"

O HijackThis retornará um log grande. Cole-o na resposta.

Agora feche a janela do bloco do notas para voltar ao HijackThis. Clique em Back e faça um log do HijackThis normalmente.

Cole estes dois logs na resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

StartupList report, 13/11/2004, 12:18:32

StartupList version: 1.52.2

Started from : C:\HIJACKTHIS\HIJACKTHIS.EXE

Detected: Windows ME (Win9x 4.90.3000)

Detected: Internet Explorer v5.50 (5.50.4134.0100)

* Using default options

* Showing rarely important sections

==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\PCTVOICE.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\HIJACKTHIS\HIJACKTHIS.EXE

C:\DADOS ANTIGOS\WINDOWS\NOTEPAD.EXE

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SystemTray = SysTray.Exe

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

CountrySelection = pctptt.exe

PCTVOICE = pctvoice.exe

LoadQM = loadqm.exe

--------------------------------------------------

File association entry for .TXT:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = C:\Dados Antigos\WINDOWS\NOTEPAD.EXE %1

--------------------------------------------------

Enumerating Active Setup stub paths:

HKLM\Software\Microsoft\Active Setup\Installed Components

(* = disabled by HKCU twin)

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *

StubPath = C:\WINDOWS\SYSTEM\ie4uinit.exe

[{89820200-ECBD-11cf-8B85-00AA005B4395}] *

StubPath = regsvr32.exe /s /n /i:U shell32.dll

[PerUser_LinkBar_URLs] *

StubPath = C:\WINDOWS\COMMAND\sulfnbk.exe /L

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *

StubPath = "C:\ARQUIV~1\OUTLOO~1\setup50.exe" /APP:OE /CALLER:WIN9X /user /install

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *

StubPath = "C:\ARQUIV~1\OUTLOO~1\setup50.exe" /APP:WAB /CALLER:WIN9X /user /install

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present

C:\WINDOWS\Explorer\Explorer.exe: not present

C:\WINDOWS\System\Explorer.exe: not present

C:\WINDOWS\System32\Explorer.exe: not present

C:\WINDOWS\Command\Explorer.exe: not present

C:\WINDOWS\Fonts\Explorer.exe: not present

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:

(Created 12/11/2004, 19:17:8)

[rename]

NUL=C:\WINDOWS\SYSTEM~1.EXE

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

SET windir=C:\WINDOWS

SET winbootdir=C:\WINDOWS

SET COMSPEC=C:\WINDOWS\COMMAND.COM

SET PROMPT=$p$g

SET TMP=C:\WINDOWS\TEMP

SET TEMP=c:\windows\temp

SET PATH=c:windows;c:\dos;c\;

--------------------------------------------------

C:\WINDOWS\DOSSTART.BAT listing:

C:\WINDOWS\COMMAND\MSCDEX.EXE /D:MSCD001 /M:8 /V

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)

.pif: HIDDEN! (arrow overlay: yes)

.exe: not hidden

.com: not hidden

.bat: not hidden

.hta: not hidden

.scr: not hidden

.shs: HIDDEN!

.shb: HIDDEN!

.vbs: not hidden

.vbe: not hidden

.wsh: not hidden

.scf: HIDDEN! (arrow overlay: NO!)

.url: HIDDEN! (arrow overlay: yes)

.js: not hidden

.jse: not hidden

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\WINDOWS\SYSTEM\SEARCHBAR.DLL - {722E8B26-1C44-460F-88BB-50C82B20E30E}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Agendador do PCHealth para coleta de dados.job

--------------------------------------------------

Enumerating Download Program Files:

[shockwave Flash Object]

InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX

CODEBASE = http://fpdownload.macromedia.com/pub/shock...ash/swflash.cab

[shockwave ActiveX Control]

InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\SHOCKWAVE 10\DOWNLOAD.DLL

CODEBASE = http://download.macromedia.com/pub/shockwa...director/sw.cab

[update Class]

InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL

CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/...8299.6303240741

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

UPnPMonitor: C:\WINDOWS\SYSTEM\UPNPUI.DLL

AUHook: C:\WINDOWS\SYSTEM\AUHOOK.DLL

--------------------------------------------------

End of report, 5.249 bytes

Report generated in 0,077 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only

Logfile of HijackThis v1.98.2

Scan saved at 12:23:08, on 13/11/2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\PCTVOICE.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\WINOA386.MOD

C:\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cpovo.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cpovo.net

O2 - BHO: Neo Toolbar - {722E8B26-1C44-460F-88BB-50C82B20E30E} - C:\WINDOWS\SYSTEM\SEARCHBAR.DLL

O3 - Toolbar: Neo Toolbar - {722E8B26-1C44-460F-88BB-50C82B20E30E} - C:\WINDOWS\SYSTEM\SEARCHBAR.DLL

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

Tente o seguinte...

Feche o Internet Explorer -- isso é importante.

Marque as duas entradas ruins no HijackThis como antes.

Depois clique em Config -> Misc Tools e clique no botão "Delete a file on reboot".

Coloque C:\WINDOWS\SYSTEM\SEARCHBAR.DLL no campo do nome do arquivo. Confirme clicando em "Abrir" e imediatamente reinicie o computador quando ele perguntar.

Compartilhar este post


Link para o post
Compartilhar em outros sites

:bandeira: graças ao amigo FallenHawk, eu consigui tirar o maldito toolbar.

bom, o procedimento foi até simples. após eu baixar o programa http://www.downloads.subratam.org/KillBox.zip (killbox), eu o rodei, e mandei ele deletar o arquivo searchbar.dll . no primeiro momento houve uma mensagem dizendo que o arquivo não poderia ser apagado! :( . então eu reiniciei o computador em modo de segurança, abri o hijackthis e o killbox. primeiramente scaniei com o hijackthis e apaguei as entradas do arquivo. logo depois rodei o killbox e mandei ele tentar deletar de novo o arquivo searchbar.dll que felizmente dessa vez se rendeu :-BEER

:joia: é isso aí, obrigado FallenHawk !

Compartilhar este post


Link para o post
Compartilhar em outros sites

Problema Resolvido!

Caso o autor necessite que o tópico seja reaberto, favor enviar mensagem privada para um dos moderadores dessa área.

Abraços!

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  
Seguidores 0