Ajuda - Trojans

Kenny · 23-11-07, 14:28 #1

Nessa semana do feriado um estagiário aqui do escritório utilizou meu computador nos dias em que folguei.

Hoje tentei acessar o site do Bbanco (Itaú) para pagar algumas conas e notei diferenças. Era uma página FAKE, a página inicial era identica à do bancom, mas nenhum link funcionava, exceto aquele em que vc insere o número da conta pra depois aparecer o local para digitar a senha.

Fui vasculhar o pc (usamos AVG aqui no escritório) e acusou uma série de trojans: dropper.generic; psw.generic5.bst; vb.sf .... que infectavam os seguintes arquivos (salvo engano) c:\system32\winboot64.exe e c:\system32\a.exe ....

Esse a.exe é um trojan que desvia a entrada de uma página para outra.

Deletei os trojans que consegui pelo AVG, baixei o spybot, instalei, atualizei erodei, localizou 3 arquivos (que não me lembro o nome). Estes eu consegui (pelo menos acho que consegui) fixar pelo spybot msm.

Ocorre que agora o site do Itaú não entra mais. Aparece que: A PÁGINA NÃO PODE SER EXIBIDA (servidor não encontrado).

Não sei que cagada que fiz ou se esse trojan a.exe ou algum semelhante contuinua redirecionando pro endereço FAKE que está fora do ar.

Alguém tem alguma sugestão de como posso arrumar isso ? Não manjo nada de trojan, recuperação, processos do windowws ....

Fora que o Gerenciador de tarefas aparece um monte de processos que não estavam lá antes: taskmgr. exe; WUAUCLT.EXE; NWTRAY.EXE; SCardSvr.exe; spoolsv.exe; GbpSv.exe, um monte de SVCHOST.EXE (1 do local service; 2 de network service e 3 de system); AETCRSS1.EXE, Teatime.exe, csrss.exe; alg.exe, SMSS.EXE, JUSCHED.EXE; DEVLDR32.EXE.

Quem tiver alguma idéia, por favor, me ajude.
KEN

Kenny · 23-11-07, 14:57 #2

AH, tb tinha um trojan backdoor.hupigon3.MII

dript · 23-11-07, 15:33 #3

jah mudou de navegador ? Estagiario newbie usa IE

Kenny · 23-11-07, 15:34 #4

Nâo. Aqui só tem IE.

Segue o link do HijackThis se servir para alguma coisa:

Logfile of HijackThis v1.99.1
Scan saved at 15:20:27, on 23/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\Explorer.EXE
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\WINDOWS\system32\devldr32.exe
C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\aetcrss1.exe
C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe
C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Arquivos de programas\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Arquivos de programas\Microsoft Office\OFFICE11\WINWORD.EXE
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgwb.dat
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\claudio\Desktop\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

O1 - Hosts: 201.50.62.155 www.itaupersonnalite.com.br
O1 - Hosts: 201.50.62.155 www.unibanco.com.br
O1 - Hosts: 201.50.62.155 www.spc.com.br
O1 - Hosts: 201.50.62.155 www.serasa.com.br
O1 - Hosts: 201.50.62.155 www.nossacaixa.com.br
O1 - Hosts: 201.50.62.155 www.itau.com.br
O1 - Hosts: 201.50.62.155 www.bradesco.com.br
O1 - Hosts: 201.50.62.155 www.credicarditau.com.br
O1 - Hosts: 201.50.62.155 www.checktudo.com.br
O1 - Hosts: 201.50.62.155 www.caixa.gov.br
O1 - Hosts: 201.50.62.155 www.cef.gov.br
O1 - Hosts: 201.50.62.155 www.caixa.com.br
O1 - Hosts: 201.50.62.155 www.bancoreal.com.br
O1 - Hosts: 201.50.62.155 www.bb.com.br
O1 - Hosts: 201.50.62.155 www.bancodobrasil.com.br
O1 - Hosts: 201.50.62.155 www.banestes.com.br
O1 - Hosts: 201.50.62.155 www.banrisul.com.br
O1 - Hosts: 201.50.62.155 www.bancopaulista.com.br
O1 - Hosts: 201.50.62.155 www.credicardciti.com.br
O1 - Hosts: 201.50.62.155 www.abcbrasil.com.br
O1 - Hosts: 201.50.62.155 www.infoseg.gov.br
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [CertificateRegistration] aetcrss1.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Regscan] C:\WINDOWS\system32\regscan.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Panda ActiveScan - {653D93AF-C741-4e5e-8C1B-59BA43F93E16} - http://www.pandasoftware.com/actives..._principal.htm (file missing)
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .pdf: C:\Arquivos de programas\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe

dript · 23-11-07, 15:38 #5

Man nao sei o q fazer a nao ser os procedimentos básicos;
Procura um antispyware bom, recomendo o spy sweeper, spybot search and destroy e/ou ad-aware 2007, deixa ele rodar, eles vao axar problemas no registro do win etc
E se tiver como baixar outro anti-virus q nao seja o avg tmbm tah valendo! Gosto do Nod32 e do Kaspersky
E usa o firefox :]

Se jah fez tdo isso e ainda continua, intaum naum sei :/ malz aê

hardz · 23-11-07, 15:42 #6

C:\WINDOWS\system32\NOTEPAD.EXE

busted!
lol

notepad em system32? lol!

Kenny · 23-11-07, 15:45 #7

Quote:

Postado por hardz

C:\WINDOWS\system32\NOTEPAD.EXE

busted!
lol

notepad em system32? lol!

Hardz ... não entendi nada !!??

Acho que essa linha é do log do HijackThis ..... mas não tenho certeza.

hardz · 23-11-07, 15:49 #8

nada, pode deletar esse notepad.exe em c:\windows\system32\

é fake!

notepad = bloco de notas
localização original: c:\DIRETORIO DE INSTALACAO DO WINDOWS

pode matar esse processo e excluir esse arquivo do diretório system32!

remove do msconfig e do editor de registro (regedit).

msconfig -> inciar,executar, msconfig.

aconselho a mexer no editor de registro caso tenha alguma experiência.

timber · 23-11-07, 15:51 #9

Lol eu tb tenho notepad no system 32 e nem por isso to infectado=)

dript · 23-11-07, 15:56 #10

timber, vc eh um hospedeiro do virus

Eluan · 23-11-07, 15:59 #11

Hosts

Delete tudo que tem lá que a página vai voltar a abrir.
Mas não posso garantir a segurança, formate isso!

Kenny · 23-11-07, 16:03 #12

Não entendo nada de Editor de Registro .....

tem algum tutorial ?

Kenny · 23-11-07, 16:06 #13

Quote:

Postado por Eluan

Hosts

Delete tudo que tem lá que a página vai voltar a abrir.
Mas não posso garantir a segurança, formate isso!

Eluan, não posso formatar ...

Onde fica esse Hosts ..... não entendo nada de segurança ....
Sei navegar na Net sem abrir arquivos em e-mails suspeitos, cartões virtuais, arquivos desconhecidos, o básico pra não pegar virus e tojan, mas removê-los .....

slashin · 23-11-07, 16:48 #14

Kenny, faça o seguinte...

Iniciar->Executar->"msconfig"->aba Inicialização (a última aba, Startup iningrish)-> desabilite todos MENOS a entrada : AVGCC

aí é só dar ok e escolher a primeira opção para reiniciar, ou a segunda opção e aí você precisará fazer um logoff na máquina (escolha).

É uma solução temporária, depois disso baixe o SpyBot, atualize e passe
Atualize o AVG e dê scan completo.
Se pegar alguma coisa, beleza tá salvo em nome de jesuiz, ele limpa, se não... HAEUeahua.

wiseman · 23-11-07, 16:59 #15

é windows xp?
se for dentro do diretorio do windows tem o dir SYSTEM32, dentro vai ter o DRIVERS, dentro vai ter o ETC e dentro do ETC tem o arquivo hosts, abre ele com o notepad e deleta esses:

O1 - Hosts: 201.50.62.155 www.itaupersonnalite.com.br
O1 - Hosts: 201.50.62.155 www.unibanco.com.br
O1 - Hosts: 201.50.62.155 www.spc.com.br
O1 - Hosts: 201.50.62.155 www.serasa.com.br
O1 - Hosts: 201.50.62.155 www.nossacaixa.com.br
O1 - Hosts: 201.50.62.155 www.itau.com.br
O1 - Hosts: 201.50.62.155 www.bradesco.com.br
O1 - Hosts: 201.50.62.155 www.credicarditau.com.br
O1 - Hosts: 201.50.62.155 www.checktudo.com.br
O1 - Hosts: 201.50.62.155 www.caixa.gov.br
O1 - Hosts: 201.50.62.155 www.cef.gov.br
O1 - Hosts: 201.50.62.155 www.caixa.com.br
O1 - Hosts: 201.50.62.155 www.bancoreal.com.br
O1 - Hosts: 201.50.62.155 www.bb.com.br
O1 - Hosts: 201.50.62.155 www.bancodobrasil.com.br
O1 - Hosts: 201.50.62.155 www.banestes.com.br
O1 - Hosts: 201.50.62.155 www.banrisul.com.br
O1 - Hosts: 201.50.62.155 www.bancopaulista.com.br
O1 - Hosts: 201.50.62.155 www.credicardciti.com.br
O1 - Hosts: 201.50.62.155 www.abcbrasil.com.br
O1 - Hosts: 201.50.62.155 www.infoseg.gov.br

Eluan · 23-11-07, 18:06 #16

Aliás, parou de funcionar não foi porque os trojans saíram e sim porque o site falso tá fora do ar.
Mals por não dizer onde fica o hosts no windows, mas é que eu tava sem tempo de procurar e faz tempo que não uso...

diferent · 23-11-07, 20:21 #17

O xp tem um notepad em system32 e outro em windows.
É bem provavel que a restauraçao dos sistema retorna-lo se for removido.

Qnd vc abre o tsk manager ele tem que aparecer uai. (taskmgr. exe)
Nao foi o estagiario que é burro, ele ta é tentando dar algum golpe, olho nele.

tdf · 23-11-07, 23:12 #18

Ken, vai em INICIAR -> EXECUTAR.

escreva: MSCONFIG e dá enter

Vai na aba StartUp (em português deve ser início, inicialização, algo assim)...
Isso aí é tudo que o windows inicia (que não seja serviço) ao bootar... Desmarca o que achar suspeito... ou tira um SS da tela e cola aqui pa galera analisar... isso costuma ajudar bastante já...

Kenny · 26-11-07, 09:10 #19

TDF,

nessa aba tem:

Avgcc --> c:\arquiv~1\grisoft\freeavg\avgcc.exe/STARTUP
NWTARY --> NWTARY.EXE
Jusched --> "c:\Arquivos de programas\Java\jre1.5.0_\bin\jusched.exe"
aetcrss1 --> aetcrss1.exe
MsnMsgr --> "c:\Arquivos de Programa\MSN Messenger\MsnMsgr.exe"/background
regscan --> c:\Windows\system32\regscan.exe
TeaTimer --> "c:\Arquivos de Programas\Spybot - Search & Destroy\Tea Timer .exe

Isso depois que eu rodei um programa chamado: HostsXpert que restaurou os MS HOST FILES, depois passei um tal de Bankerfix (de acordo com instruções que peguei nesse fórum --> http://forum.clubedohardware.com.br/...-malware/f105).

Creio que tenha limpo o pc.
Não sei se é confiável entrar nos sites dos bancos, mas já estou mais tranquilo. As entradas suspeitas dosHosts desapareceram. Vou aguardar resposta.

ENquanto isso, + pra quem ajudou. TKZ

BankerFix 2.4 - Removedor de Bankers
Linha Defensiva - http://www.linhadefensiva.org
http://www.linhadefensiva.org/bankerfix/
Data: 26/11/2007 - 8:37
-------------------------------------------------------
Lista de Definição: 2007-11-20-1
================================================== =====

Arquivo infectado detectado: C:\DOCUME~1\claudio\CONFIG~1\Temp\win.exe
Arquivo infectado removido com sucesso!

Killando arquivos em Help
-----------------------------------

Killing '*'

Removendo Arquivos em Help
-----------------------------------

----- Fim -------------------------

Logfile of HijackThis v1.99.1
Scan saved at 08:44:04, on 26/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\Explorer.EXE
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\aetcrss1.exe
C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe
C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\ARQUIV~1\Grisoft\AVGFRE~1\avgw.exe
C:\Arquivos de programas\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Arquivos de programas\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\claudio\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [CertificateRegistration] aetcrss1.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Regscan] C:\WINDOWS\system32\regscan.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Arquivos de programas\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Panda ActiveScan - {653D93AF-C741-4e5e-8C1B-59BA43F93E16} - http://www.pandasoftware.com/actives..._principal.htm (file missing)
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .pdf: C:\Arquivos de programas\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe

slashin · 26-11-07, 09:46 #20

NWTARY --> NWTARY.EXE
aetcrss1 --> aetcrss1.exe
regscan --> c:\Windows\system32\regscan.exe

pode tirar... pô, não viu meu post lá em cima não? =/

ReDEviL · 26-11-07, 10:59 #21

eu também estou com um filho duma puta
o nome dele eh reg/zapchast trojan
toda vez q inicializo o pc o nod32 pega um virus em c:\a.bat
e diz q o evento vem de WinUpdater.exe

log:
Logfile of HijackThis v1.99.1
Scan saved at 10:57:31, on 26/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Bonjour\mDNSResponder.exe
C:\Arquivos de programas\NetLimiter 2 Pro\nlsvc.exe
C:\Arquivos de programas\Eset\nod32krn.exe
C:\Arquivos de programas\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\arquivos de programas\Asus PC Probe\AsusProb.exe
C:\ARQUIV~1\MediaKey\KPDrv4XP.EXE
C:\Arquivos de programas\Java\jre1.6.0_03\bin\jusched.exe
C:\Arquivos de programas\Eset\nod32kui.exe
C:\Arquivos de programas\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\system32\WinUpdater.exe
C:\Arquivos de programas\NetLimiter 2 Pro\NLClient.exe
F:\Programas\utorrent.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Manolo\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARQUIV~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARQUIV~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Arquivos de programas\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ASUS Probe] c:\arquivos de programas\Asus PC Probe\AsusProb.exe
O4 - HKLM\..\Run: [KPDrv4XP] C:\ARQUIV~1\MediaKey\KPDrv4XP.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Arquivos de programas\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [googletalk] C:\Arquivos de programas\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [WheelMouse] C:\Arquivos de programas\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [Windows Updater] WinUpdater.exe
O4 - HKLM\..\RunServices: [Windows Updater] WinUpdater.exe
O4 - HKCU\..\Run: [updateMgr] C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Arquivos de programas\DAEMON Tools Pro\DTProAgent.exe"
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARQUIV~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\arquivos de programas\bonjour\mdnsnsp.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Arquivos de programas\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Arquivos de programas\Arquivos comuns\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Arquivos de programas\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Arquivos de programas\Eset\nod32krn.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Arquivos de programas\Spyware Doctor\sdhelp.exe

ta insuportável conviver com esse filho da puta hehehaiuha

Kenny · 26-11-07, 11:23 #22

RedEvil,

O pessoal da DS me ajudou muito, mesmo eu não entendendo nada de segurança de PC.
Na hora do desespero (quando ainda não tinham respostas aqui) achei um fórum que é especializado em REMOÇÃO DE MALWARES (http://forum.clubedohardware.com.br...o-malware/f105). Entra lá, registra e cria um tópico com seu problema.

Abraço

Kenny · 26-11-07, 13:33 #23

Quote:

Postado por slashin

NWTARY --> NWTARY.EXE
aetcrss1 --> aetcrss1.exe
regscan --> c:\Windows\system32\regscan.exe

pode tirar... pô, não viu meu post lá em cima não? =/

Desabilitei tudo .... SpyBot = Nada; AVG = Nada .....

Eu tinha passado os dois quando o PC tava infectado e eles limparam os arquivos.

Acho que agora tá limpo .....

Kenny Trooper	23-11-07, 14:57 #2 AH, tb tinha um trojan backdoor.hupigon3.MII

dript Trooper	23-11-07, 15:33 #3 jah mudou de navegador ? Estagiario newbie usa IE

hardz Unbreakable	23-11-07, 15:42 #6 C:\WINDOWS\system32\NOTEPAD.EXE busted! lol notepad em system32? lol!

timber Trooper	23-11-07, 15:51 #9 Lol eu tb tenho notepad no system 32 e nem por isso to infectado=)

dript Trooper	23-11-07, 15:56 #10 timber, vc eh um hospedeiro do virus

Eluan Trooper	23-11-07, 15:59 #11 Hosts Delete tudo que tem lá que a página vai voltar a abrir. Mas não posso garantir a segurança, formate isso!

Kenny Trooper	23-11-07, 16:03 #12 Não entendo nada de Editor de Registro ..... tem algum tutorial ?

Eluan Trooper	23-11-07, 18:06 #16 Aliás, parou de funcionar não foi porque os trojans saíram e sim porque o site falso tá fora do ar. Mals por não dizer onde fica o hosts no windows, mas é que eu tava sem tempo de procurar e faz tempo que não uso...

diferent Trooper	23-11-07, 20:21 #17 O xp tem um notepad em system32 e outro em windows. É bem provavel que a restauraçao dos sistema retorna-lo se for removido. Qnd vc abre o tsk manager ele tem que aparecer uai. (taskmgr. exe) Nao foi o estagiario que é burro, ele ta é tentando dar algum golpe, olho nele.

tdf Trooper	23-11-07, 23:12 #18 Ken, vai em INICIAR -> EXECUTAR. escreva: MSCONFIG e dá enter Vai na aba StartUp (em português deve ser início, inicialização, algo assim)... Isso aí é tudo que o windows inicia (que não seja serviço) ao bootar... Desmarca o que achar suspeito... ou tira um SS da tela e cola aqui pa galera analisar... isso costuma ajudar bastante já...

slashin Trooper	26-11-07, 09:46 #20 NWTARY --> NWTARY.EXE aetcrss1 --> aetcrss1.exe regscan --> c:\Windows\system32\regscan.exe pode tirar... pô, não viu meu post lá em cima não? =/

Kenny Trooper	26-11-07, 11:23 #22 RedEvil, O pessoal da DS me ajudou muito, mesmo eu não entendendo nada de segurança de PC. Na hora do desespero (quando ainda não tinham respostas aqui) achei um fórum que é especializado em REMOÇÃO DE MALWARES (http://forum.clubedohardware.com.br...o-malware/f105). Entra lá, registra e cria um tópico com seu problema. Abraço