Trooper
|
Ajuda - Trojans
23-11-07, 14:28
#1
Nessa semana do feriado um estagiário aqui do escritório utilizou meu computador nos dias em que folguei.
Hoje tentei acessar o site do Bbanco (Itaú) para pagar algumas conas e notei diferenças. Era uma página FAKE, a página inicial era identica à do bancom, mas nenhum link funcionava, exceto aquele em que vc insere o número da conta pra depois aparecer o local para digitar a senha. Fui vasculhar o pc (usamos AVG aqui no escritório) e acusou uma série de trojans: dropper.generic; psw.generic5.bst; vb.sf .... que infectavam os seguintes arquivos (salvo engano) c:\system32\winboot64.exe e c:\system32\a.exe .... Esse a.exe é um trojan que desvia a entrada de uma página para outra. Deletei os trojans que consegui pelo AVG, baixei o spybot, instalei, atualizei erodei, localizou 3 arquivos (que não me lembro o nome). Estes eu consegui (pelo menos acho que consegui) fixar pelo spybot msm. Ocorre que agora o site do Itaú não entra mais. Aparece que: A PÁGINA NÃO PODE SER EXIBIDA (servidor não encontrado). Não sei que cagada que fiz ou se esse trojan a.exe ou algum semelhante contuinua redirecionando pro endereço FAKE que está fora do ar. Alguém tem alguma sugestão de como posso arrumar isso ? Não manjo nada de trojan, recuperação, processos do windowws .... Fora que o Gerenciador de tarefas aparece um monte de processos que não estavam lá antes: taskmgr. exe; WUAUCLT.EXE; NWTRAY.EXE; SCardSvr.exe; spoolsv.exe; GbpSv.exe, um monte de SVCHOST.EXE (1 do local service; 2 de network service e 3 de system); AETCRSS1.EXE, Teatime.exe, csrss.exe; alg.exe, SMSS.EXE, JUSCHED.EXE; DEVLDR32.EXE. Quem tiver alguma idéia, por favor, me ajude. KEN |
||||
Trooper
|
23-11-07, 14:57
#2
AH, tb tinha um trojan backdoor.hupigon3.MII
|
Trooper
|
23-11-07, 15:33
#3
jah mudou de navegador ? Estagiario newbie usa IE
|
Trooper
|
23-11-07, 15:34
#4
Nâo. Aqui só tem IE.
Segue o link do HijackThis se servir para alguma coisa: Logfile of HijackThis v1.99.1 Scan saved at 15:20:27, on 23/11/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Arquivos de programas\GbPlugin\GbpSv.exe C:\WINDOWS\system32\spoolsv.exe C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\Explorer.EXE C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe C:\WINDOWS\system32\NWTRAY.EXE C:\WINDOWS\system32\devldr32.exe C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe C:\WINDOWS\system32\aetcrss1.exe C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Arquivos de programas\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Arquivos de programas\Microsoft Office\OFFICE11\WINWORD.EXE C:\ARQUIV~1\Grisoft\AVGFRE~1\avgwb.dat C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\claudio\Desktop\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE O1 - Hosts: 201.50.62.155 www.itaupersonnalite.com.br O1 - Hosts: 201.50.62.155 www.unibanco.com.br O1 - Hosts: 201.50.62.155 www.spc.com.br O1 - Hosts: 201.50.62.155 www.serasa.com.br O1 - Hosts: 201.50.62.155 www.nossacaixa.com.br O1 - Hosts: 201.50.62.155 www.itau.com.br O1 - Hosts: 201.50.62.155 www.bradesco.com.br O1 - Hosts: 201.50.62.155 www.credicarditau.com.br O1 - Hosts: 201.50.62.155 www.checktudo.com.br O1 - Hosts: 201.50.62.155 www.caixa.gov.br O1 - Hosts: 201.50.62.155 www.cef.gov.br O1 - Hosts: 201.50.62.155 www.caixa.com.br O1 - Hosts: 201.50.62.155 www.bancoreal.com.br O1 - Hosts: 201.50.62.155 www.bb.com.br O1 - Hosts: 201.50.62.155 www.bancodobrasil.com.br O1 - Hosts: 201.50.62.155 www.banestes.com.br O1 - Hosts: 201.50.62.155 www.banrisul.com.br O1 - Hosts: 201.50.62.155 www.bancopaulista.com.br O1 - Hosts: 201.50.62.155 www.credicardciti.com.br O1 - Hosts: 201.50.62.155 www.abcbrasil.com.br O1 - Hosts: 201.50.62.155 www.infoseg.gov.br O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [CertificateRegistration] aetcrss1.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Regscan] C:\WINDOWS\system32\regscan.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Panda ActiveScan - {653D93AF-C741-4e5e-8C1B-59BA43F93E16} - http://www.pandasoftware.com/actives..._principal.htm (file missing) O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing) O12 - Plugin for .pdf: C:\Arquivos de programas\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe |
Trooper
|
23-11-07, 15:38
#5
Man nao sei o q fazer a nao ser os procedimentos básicos;
Procura um antispyware bom, recomendo o spy sweeper, spybot search and destroy e/ou ad-aware 2007, deixa ele rodar, eles vao axar problemas no registro do win etc E se tiver como baixar outro anti-virus q nao seja o avg tmbm tah valendo! Gosto do Nod32 e do Kaspersky E usa o firefox :] Se jah fez tdo isso e ainda continua, intaum naum sei :/ malz aê |
Unbreakable
|
23-11-07, 15:42
#6
C:\WINDOWS\system32\NOTEPAD.EXE
busted! lol notepad em system32? lol! |
Trooper
|
23-11-07, 15:45
#7
Quote:
Acho que essa linha é do log do HijackThis ..... mas não tenho certeza. |
|
Unbreakable
|
23-11-07, 15:49
#8
nada, pode deletar esse notepad.exe em c:\windows\system32\
é fake! notepad = bloco de notas localização original: c:\DIRETORIO DE INSTALACAO DO WINDOWS pode matar esse processo e excluir esse arquivo do diretório system32! remove do msconfig e do editor de registro (regedit). msconfig -> inciar,executar, msconfig. aconselho a mexer no editor de registro caso tenha alguma experiência. |
Trooper
|
23-11-07, 15:51
#9
Lol eu tb tenho notepad no system 32 e nem por isso to infectado=)
|
Trooper
|
23-11-07, 15:56
#10
timber, vc eh um hospedeiro do virus
|
Trooper
|
23-11-07, 15:59
#11
Hosts
Delete tudo que tem lá que a página vai voltar a abrir. Mas não posso garantir a segurança, formate isso! |
Trooper
|
23-11-07, 16:03
#12
Não entendo nada de Editor de Registro .....
tem algum tutorial ? |
Trooper
|
23-11-07, 16:06
#13
Quote:
Onde fica esse Hosts ..... não entendo nada de segurança .... Sei navegar na Net sem abrir arquivos em e-mails suspeitos, cartões virtuais, arquivos desconhecidos, o básico pra não pegar virus e tojan, mas removê-los ..... |
|
Trooper
|
23-11-07, 16:48
#14
Kenny, faça o seguinte...
Iniciar->Executar->"msconfig"->aba Inicialização (a última aba, Startup iningrish)-> desabilite todos MENOS a entrada : AVGCC aí é só dar ok e escolher a primeira opção para reiniciar, ou a segunda opção e aí você precisará fazer um logoff na máquina (escolha). É uma solução temporária, depois disso baixe o SpyBot, atualize e passe Atualize o AVG e dê scan completo. Se pegar alguma coisa, beleza tá salvo em nome de jesuiz, ele limpa, se não... HAEUeahua. |
Trooper
|
23-11-07, 16:59
#15
é windows xp?
se for dentro do diretorio do windows tem o dir SYSTEM32, dentro vai ter o DRIVERS, dentro vai ter o ETC e dentro do ETC tem o arquivo hosts, abre ele com o notepad e deleta esses: O1 - Hosts: 201.50.62.155 www.itaupersonnalite.com.br O1 - Hosts: 201.50.62.155 www.unibanco.com.br O1 - Hosts: 201.50.62.155 www.spc.com.br O1 - Hosts: 201.50.62.155 www.serasa.com.br O1 - Hosts: 201.50.62.155 www.nossacaixa.com.br O1 - Hosts: 201.50.62.155 www.itau.com.br O1 - Hosts: 201.50.62.155 www.bradesco.com.br O1 - Hosts: 201.50.62.155 www.credicarditau.com.br O1 - Hosts: 201.50.62.155 www.checktudo.com.br O1 - Hosts: 201.50.62.155 www.caixa.gov.br O1 - Hosts: 201.50.62.155 www.cef.gov.br O1 - Hosts: 201.50.62.155 www.caixa.com.br O1 - Hosts: 201.50.62.155 www.bancoreal.com.br O1 - Hosts: 201.50.62.155 www.bb.com.br O1 - Hosts: 201.50.62.155 www.bancodobrasil.com.br O1 - Hosts: 201.50.62.155 www.banestes.com.br O1 - Hosts: 201.50.62.155 www.banrisul.com.br O1 - Hosts: 201.50.62.155 www.bancopaulista.com.br O1 - Hosts: 201.50.62.155 www.credicardciti.com.br O1 - Hosts: 201.50.62.155 www.abcbrasil.com.br O1 - Hosts: 201.50.62.155 www.infoseg.gov.br |
Trooper
|
23-11-07, 18:06
#16
Aliás, parou de funcionar não foi porque os trojans saíram e sim porque o site falso tá fora do ar.
Mals por não dizer onde fica o hosts no windows, mas é que eu tava sem tempo de procurar e faz tempo que não uso... |
Trooper
|
23-11-07, 20:21
#17
O xp tem um notepad em system32 e outro em windows.
É bem provavel que a restauraçao dos sistema retorna-lo se for removido. Qnd vc abre o tsk manager ele tem que aparecer uai. (taskmgr. exe) Nao foi o estagiario que é burro, ele ta é tentando dar algum golpe, olho nele. |
23-11-07, 23:12
#18
Ken, vai em INICIAR -> EXECUTAR.
escreva: MSCONFIG e dá enter Vai na aba StartUp (em português deve ser início, inicialização, algo assim)... Isso aí é tudo que o windows inicia (que não seja serviço) ao bootar... Desmarca o que achar suspeito... ou tira um SS da tela e cola aqui pa galera analisar... isso costuma ajudar bastante já... |
|
Trooper
|
26-11-07, 09:10
#19
TDF,
nessa aba tem: Avgcc --> c:\arquiv~1\grisoft\freeavg\avgcc.exe/STARTUP NWTARY --> NWTARY.EXE Jusched --> "c:\Arquivos de programas\Java\jre1.5.0_\bin\jusched.exe" aetcrss1 --> aetcrss1.exe MsnMsgr --> "c:\Arquivos de Programa\MSN Messenger\MsnMsgr.exe"/background regscan --> c:\Windows\system32\regscan.exe TeaTimer --> "c:\Arquivos de Programas\Spybot - Search & Destroy\Tea Timer .exe Isso depois que eu rodei um programa chamado: HostsXpert que restaurou os MS HOST FILES, depois passei um tal de Bankerfix (de acordo com instruções que peguei nesse fórum --> http://forum.clubedohardware.com.br/...-malware/f105). Creio que tenha limpo o pc. Não sei se é confiável entrar nos sites dos bancos, mas já estou mais tranquilo. As entradas suspeitas dosHosts desapareceram. Vou aguardar resposta. ENquanto isso, + pra quem ajudou. TKZ BankerFix 2.4 - Removedor de Bankers Linha Defensiva - http://www.linhadefensiva.org http://www.linhadefensiva.org/bankerfix/ Data: 26/11/2007 - 8:37 ------------------------------------------------------- Lista de Definição: 2007-11-20-1 ================================================== ===== Arquivo infectado detectado: C:\DOCUME~1\claudio\CONFIG~1\Temp\win.exe Arquivo infectado removido com sucesso! Killando arquivos em Help ----------------------------------- Killing '*' Removendo Arquivos em Help ----------------------------------- ----- Fim ------------------------- Logfile of HijackThis v1.99.1 Scan saved at 08:44:04, on 26/11/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Arquivos de programas\GbPlugin\GbpSv.exe C:\WINDOWS\system32\spoolsv.exe C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\Explorer.EXE C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe C:\WINDOWS\system32\NWTRAY.EXE C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe C:\WINDOWS\system32\aetcrss1.exe C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\devldr32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\ARQUIV~1\Grisoft\AVGFRE~1\avgw.exe C:\Arquivos de programas\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Arquivos de programas\Microsoft Office\OFFICE11\WINWORD.EXE C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\claudio\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [CertificateRegistration] aetcrss1.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Regscan] C:\WINDOWS\system32\regscan.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Panda ActiveScan - {653D93AF-C741-4e5e-8C1B-59BA43F93E16} - http://www.pandasoftware.com/actives..._principal.htm (file missing) O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing) O12 - Plugin for .pdf: C:\Arquivos de programas\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe |
Trooper
|
26-11-07, 09:46
#20
NWTARY --> NWTARY.EXE
aetcrss1 --> aetcrss1.exe regscan --> c:\Windows\system32\regscan.exe pode tirar... pô, não viu meu post lá em cima não? =/ |
Trooper
|
26-11-07, 10:59
#21
eu também estou com um filho duma puta
o nome dele eh reg/zapchast trojan toda vez q inicializo o pc o nod32 pega um virus em c:\a.bat e diz q o evento vem de WinUpdater.exe log: Logfile of HijackThis v1.99.1 Scan saved at 10:57:31, on 26/11/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Arquivos de programas\Bonjour\mDNSResponder.exe C:\Arquivos de programas\NetLimiter 2 Pro\nlsvc.exe C:\Arquivos de programas\Eset\nod32krn.exe C:\Arquivos de programas\Spyware Doctor\sdhelp.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\sstray.exe C:\arquivos de programas\Asus PC Probe\AsusProb.exe C:\ARQUIV~1\MediaKey\KPDrv4XP.EXE C:\Arquivos de programas\Java\jre1.6.0_03\bin\jusched.exe C:\Arquivos de programas\Eset\nod32kui.exe C:\Arquivos de programas\A4Tech\Mouse\Amoumain.exe C:\WINDOWS\system32\WinUpdater.exe C:\Arquivos de programas\NetLimiter 2 Pro\NLClient.exe F:\Programas\utorrent.exe C:\Arquivos de programas\Mozilla Firefox\firefox.exe C:\Documents and Settings\Manolo\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARQUIV~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARQUIV~1\SPYWAR~1\tools\iesdpb.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Arquivos de programas\Free Download Manager\iefdmcks.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [ASUS Probe] c:\arquivos de programas\Asus PC Probe\AsusProb.exe O4 - HKLM\..\Run: [KPDrv4XP] C:\ARQUIV~1\MediaKey\KPDrv4XP.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [nod32kui] "C:\Arquivos de programas\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [googletalk] C:\Arquivos de programas\Google\Google Talk\googletalk.exe /autostart O4 - HKLM\..\Run: [WheelMouse] C:\Arquivos de programas\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [Windows Updater] WinUpdater.exe O4 - HKLM\..\RunServices: [Windows Updater] WinUpdater.exe O4 - HKCU\..\Run: [updateMgr] C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Arquivos de programas\DAEMON Tools Pro\DTProAgent.exe" O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dllink.htm O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARQUIV~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\arquivos de programas\bonjour\mdnsnsp.dll O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Arquivos de programas\NetLimiter 2 Pro\nlsvc.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Arquivos de programas\Eset\nod32krn.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Arquivos de programas\Spyware Doctor\sdhelp.exe ta insuportável conviver com esse filho da puta hehehaiuha |
Trooper
|
26-11-07, 11:23
#22
RedEvil,
O pessoal da DS me ajudou muito, mesmo eu não entendendo nada de segurança de PC. Na hora do desespero (quando ainda não tinham respostas aqui) achei um fórum que é especializado em REMOÇÃO DE MALWARES (http://forum.clubedohardware.com.br...o-malware/f105). Entra lá, registra e cria um tópico com seu problema. Abraço |
Trooper
|
26-11-07, 13:33
#23
Quote:
Eu tinha passado os dois quando o PC tava infectado e eles limparam os arquivos. Acho que agora tá limpo ..... |
|
|
|