Viva!

Tou com um pequeno problema, sempre que inicializo o windows xp, quando chega ao ambiente de trabalho abre uma janela de DOS a correr c:\taskmand.exe

Não aparece nada, apenas o cursor a piscar em diversos pontos do ecra da consola do windows...

Forço a aplicação para encerrar, apago o ficheiro mas quando inicializo o pc volta a aparecer a mesma situação e o ficheiro la esta de novo no c:

Cheira-me a virose, ja corri o hijackthis e tou com o SUPERAntiSpyware a ver o que ele diz...

Já agora, existe o ficheiro taskman.exe, mas esse parece ser mesmo um processo do windows agora o que eu tenho taskmand.exe só me leva a crer que será mesmo um virus manhoso

Se alguém tiver ideias de como dar a volta sem passar por acções mais radicais (formatar a maquina) agradeço!

Abraço

http://www.techzonept.com/showthread.php?t=163348

Lê essa thread e segue os passos que lá estão.

Pois, mas isso ja eu tinha feito, aparece-me duas entradas Unknown service:

C:\WINDOWS\system32\wnms.exe

O23 - Service: Windows Network Management Service (WNMS) - Unknown owner - C:\WINDOWS\system32\wnms.exe

Fiz fix e ele continuar la...

Daí ter recorrido aqui pois já não sei o que fazer...

Desligaste o System Restore?

Yep, tenho o restauro desactivado

Então tenta em modo de segurança

Esse vírus deve ser variante daquele que mete os ficheiros ocultos mesmo que vás às opções do explorer e coloques para ver ficheiros ocultos.
Se for,deves ter um autorun.inf em modo read-only na raíz do disco C

Umas das soluções é utilizares o cmd, vais para a raíz, cd\
comando attrib +A - H C:\autorunf.inf e attrib +A - H c:\taskmand.exe para mudar para modo archive
depois del autorun.inf e del taskmand.exe

Depois diz se funcionou.
Já fiz curas assim a alguns pcs que o ppl teima em instalar toda a porcaria que aparece à frente!

Nada, nem o autorun.inf existe

mas o taskmand.exe encontras no disco?
Podes instalar o Process Explorer da sysinternals (comprada pela MS) que permite ter um maior controlo sobre quais os processos que estão a correr e sobretudo de que pasta estão a ser executados.

Esse pode ser daqueles que faz uma mutação no nome.

Depois de o encontrares, fechas o processo, apagas o ficheiro e removes do registro a chave (vê este link (http://techsupt.winbatch.com/TS/T000001029F22.html) com os locais onde procurar ou através do msconfig

Ontem depois de correr algumas aplicações de anti spayware, antivirus, que la me detectou um trojan...

O ficheiro deixou de aparecer, porém tenho um outro, que penso que ja tinha, que aparece sempre pouco tempo depois de me ligar à net, denominado de winmanr.exe e mais uma vez aparece no C:\

Estive a analisar os processos que o Process Explorer me apresenta, nada de estranho, tudo processos de aplicações reconhecidas, porém, ha la um que ja o hijackthis nao reconhece que é o wnms.exe, na pasta C:\Windows\System32

Tentei mandar a baixo pelo Process Explorer mas logo de seguida ele é inicializado. Andei a ver pelo google e ha quem diga que é trojan, outros que dizem que se trata do Windows Network Management System...

Sugestões?

Desde já obrigado pela ajuda que me tem sido dada

Isso é malware...
E mais podes verificar que é o autor do exe (pelas propriedades)
Para ser logo reiniciado é porque provavelmente está outro processo a ser executado que o reinicia...
Estou-me a lembrar de dll lançadas pelo rundll32.exe
Quase de certeza tens alguma dll dessas.
Vê qual é o dll associado (Atenção que a nvidia também faz uso do rundll para arrancar com o seu painel de controlo).
Vai a pasta onde o dll está, verificas quem é o autor do dll (não deverá ser da microsoft ou empresas afins), e fechas esse rundll32.
Apagas o dll (se não der renomeia-o para um nome facil).
Fechas o outro processo (winmanr.exe)
Vais a pasta do mesmo e apagas-lo. Se não der renomeia-o.
Reboot. Já deves conseguir apagar os ficheiros renomeados.

Já deve estar tudo bem agora ;)

Problema é que o exe não possuí informação alguma...

O que me tem ajudado é a Comodo, onde corto o processo e uma connection out que ele me faz para um servidor todo manhoso...

Se não tem info nas propriedades mais um motivo para ver que não é de confiança...
Faz o que acima referi ;)

Mas o problema é que não faço ideia qual a dll que está a ser utilizado, senão tentava mandar ao ar...