Entre para seguir isso  
Seguidores 0
frozen_ghost

Browser infectado? Milhares de ameaças detectadas

9 posts neste tópico

Pois bem, esse é o meu primeiro tópico por aqui e tentarei ser o mais detalhado possível.

Ontem pela tarde ligo o pc e decido fazer uma verificação de pragas com o SuperAntiSpyware, pois faço isso quase todos os dias. E me deparo com isto.

printdevriasameaas.jpg
http://img171.imageshack.us/img171/6425/printdevriasameaas.jpg

Isso me assustou pois no dia anterior havia feito scans com tudo que tenho e nada foi detectado. O curioso é que antes de fazer o scan, naturalmente, atualizei as definições, e havia dado erro na atualização. Ou melhor, não havia definições a serem atualizadas. Quem conhece a ferramenta sabe, aquela mensagem "processing core definitions" havia dado erro, mas logo em seguida havia a mensagem de que havia sido corrigido o problema. Sempre que tentava atualizar acontecia a mesma coisa, mensagem de erro seguido de "conserto" pelo próprio programa.

Minha reação ao ver o número de pragas serem detectadas foi simplesmente ver até onde ia dar tudo aquilo, para que pudesse remover tudo após o término, pois crescia sem parar. Parou no número de pragas da imagem que postei sem prosseguir mais nada apartir de então como se tivesse travado ou alguma coisa impedisse o scan. Decidi parar o scan e tentar remover o que havia sido encontrado, pareceu uma eternidade (horas se passaram só durante o scan), o computador ficou lentíssimo (ele já é lento, um Intel Celeron 336, 3gb de memória ddr2), e nada de conseguir eliminar todas aquelas inúmeras pragas (a tela do programa ficou estática. Resolvi resetar o computador.

Daí ficou muito estranho e preocupante quando tentei fazer outra verificação com o mesmo software. O antispyware voltou a atualizar corretamente (o que antes não estava acontecendo) após o reset, sem aqueles erros na hora do update mencionados e não encontrou nenhuma praga que havia sido detectada anteriormente.

Entendi que o negócio era sério e começei a passar todos os scans possíveis que tinha no pc e que pesquisei na internet. Anti-spywares utilizados foram: SuperAntispyware, Spybot Search & Destroy, e Spyware Doctor. Nada foi detectado por estes nas verificações rápidas. Lembrando que possuía apenas o SuperAntispyware instalado, os outros foram acrescentados um de cada de vez.

Utilizei também o Malwarebytes Anti-malware, nada foi detectado também. Usei os scans online do Kaspersky Virus Removal, e Microsoft Safety Scanner, também nenhuma ameaça encontrada. Vale ressaltar que havia desinstalado o ESET Nod32 TemDono Fix que havia no computador, pois este já apresentava lentidão e parada na inicialização do sistema que via-se até o relógio parava de contar (não sei se essa informação conta com alguma coisa, mas está aí). Após removê-lo isso deixou de acontecer. Com isso, passando a usar o Trend Micro Titanium Internet Security 2012 que também não encontrou nenhuma ameaça. Havia também, no meio de todo o processo, eliminado os cookies, arquivos temporários e todo o lixo selecionado por default com a ferramenta CCleaner para caso tenha sido obra de algum cookie (não sei se um cookie possa fazer tal estrago).

Então começei a duvidar se havia mesmo algum problema e se não havia sido algum defeito do SuperAntispyware. Mas ele não podia ter dado este problema do nada, algo tinha que ter ocasionado aquilo, algum malware poderia ter atacado um anti-spyware como forma de danificar o sistema pois ele é que o defende. Esqueci de dizer que a versão era Free, sem proteção real.

Pesquisando na internet encontrei a ferramenta da Kaspersky que remove alguns rootkits conhecidos chamado TDSSKiller, e o tool encontrou alguns. Os mesmos foram postos em quarentena e depois deletados. Passei a escanear novamente com os scans online, o Trend Micro, e SuperAntispyware que foi o que sobrou dos anti-spywares, pois havia desinstalado os outros. Também, nada foi detectado.

Começei a cogitar o que tinha dado todo essse problema e acho que isso pode ajudar na análise. Dias antes, minha conta do twitter tinha sido hackeada, havia centenas de tweets que não existiam antes (uso de vez em nunca), que não havia postado, com links e o que me parecia propaganda e spam, tudo em russo. Fiquei preocupado e tentei deletar cada tweet. Não conseguindo e não tendo paciência, simplesmente resolvir deletar a conta do twitter. Acredito que eu deva ter pegado algum malware no processo. Ou pode ter sido por outra coisa, não sei. E estes problemas (os quais descreverei a seguir) ocorreram também em outro computador, o qual também acessei com a mesma conta. Este em que escrevo, apresenta os seguintes problemas.

Os problemas são: alguns sites que precisam de cookies habilitados não funcionam, ou seja, não posso acessá-los. Vejo mensagens como: "Os Cookies devem estar activos para aceder a esta página" apresentando captcha para serem respondidos. Pode melhor ser entendido com uma imagem:

23087210.png
http://img850.imageshack.us/img850/4831/23087210.png

Alguns sites também não consegui acessar como o site do malwarebytes anti-malware quando o procurava para fazer uma verificação (possivelmente numa tentativa de impedir um anti-malware ser instalado, mas isso é só especulação minha). Porém não pude testar muitos sites que necessitam de cookies com medo de acabar entregando informação de contas de e-mail, orkut e outros, devido a quase certa presença de malware que possa ver minhas senhas e logins.

Outros comportamentos estranhos foram observados em complementos do Firefox (pois não utilizo Internet Explorer), tais como complemento para prints de paginas da web (você pode perceber que o print da página postada acima não capturou toda a página, mas somente a parte que aparece na tela, quando deveria ser o contrário). Outro complemento comportamento estranho é o de armazenamento e sincronia online de favoritos do navegador, onde a minha conta não conectava, dizendo que havia um erro na conexão. Como reflexo, dei logout na conta e desativei o complemento para que nada acontecesse com minha conta.

E me parece que há uma bagunça sobre como os favoritos são organizados ao serem adicionados, os últimos favoritos não vão para o final da barra de favoritos como é de se esperar. Encontrei uns processos duvidosos que nunca vi na vida também: uiWatchDog.exe e uiSeAgnt.exe? Não estou certo sobre o que representam, melhor, não faço idéia. Fora isso, não consegui achar outros problemas, e se há, não são aparentes ou não tive como descobri-los.

Outra coisa é que há no guia de remoção de vírus algo relacionado ao MSconfig, e percebi que alguns "aplicativos" de inicialização não estão marcados e acho que isso se deve ao fato de eles estarem desativados com a ferramenta que uso do CCleaner que uso para deixar a inicialização menos lenta. Os ativei novamente (todos que estavam desativados) para criar o log do hijackthis.

Agora estou aqui, sem opções, sem saber como resolver esses problemas, sem saber o que realmente há na minha máquina. E a máquina que tentarei recuperar das pragas é esta. Não conheço muito as políticas daqui. Li as regras e a página de guia sobre remoção de vírus, malwares e outras pragas para este fórum. É dito que só é possível criar um tópico por mês, mas não vi algo relacionado a duas máquinas em um mesmo tópico, mas acredito, pela lógica, que só um computador é possível tratar, portanto postarei o log do hijackthis a seguir. Não sei se é necessário utilizar o bankerfix também, mas resolvi não usá-lo, apenas o hijackthis. Peço encarecidamente que me ajudem, por favor.

Logfile of HijackThis v1.99.1

Scan saved at 09:25:04, on 5/4/2012

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Trend Micro\AMSP\coreServiceShell.exe

C:\Arquivos de programas\SUPERAntiSpyware\SASCORE.EXE

C:\Arquivos de programas\Trend Micro\UniClient\UiFrmWrk\uiWatchDog.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Trend Micro\UniClient\UiFrmWrk\uiSeAgnt.exe

C:\Arquivos de programas\Trend Micro\AMSP\coreFrameworkHost.exe

C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\Arquivos de programas\Multimedia Keyboard Driver\M-KbdDrv.exe

C:\Arquivos de programas\Trend Micro\Titanium\Plugin\TMAS\TMAS_OE\TMAS_OEMon.exe

C:\Arquivos de programas\Trend Micro\Titanium\Plugin\TMAS\TMAS_WLM\TMAS_WLMMon.exe

C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe

C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamgui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Administrador.XPPC\Desktop\Hijackthis\HijackThis.exe

C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file)

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Trend Micro NSC BHO - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Arquivos de programas\Trend Micro\AMSP\Module\20004\2.0.1313\6.8.1078\TmIEPlg.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: TmBpIeBHO - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - C:\Arquivos de programas\Trend Micro\AMSP\Module\20002\7.1.1102\7.1.1102\TmBpIe32.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [MutlimediaKbdDriver] C:\Arquivos de programas\Multimedia Keyboard Driver\M-KbdDrv.exe

O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Arquivos de programas\Arquivos comuns\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"

O4 - HKLM\..\Run: [switchBoard] C:\Arquivos de programas\Arquivos comuns\Adobe\SwitchBoard\SwitchBoard.exe

O4 - HKLM\..\Run: [AdobeCS5.5ServiceManager] "C:\Arquivos de programas\Arquivos comuns\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [Trend Micro Titanium] "C:\Arquivos de programas\Trend Micro\Titanium\UIFramework\uiWinMgr.exe" -set Silent "1" SplashURL ""

O4 - HKLM\..\Run: [Trend Micro Client Framework] "C:\Arquivos de programas\Trend Micro\UniClient\UiFrmWrk\UIWatchDog.exe"

O4 - HKLM\..\Run: [OE] "C:\Arquivos de programas\Trend Micro\Titanium\Plugin\TMAS\TMAS_OE\TMAS_OEMon.exe"

O4 - HKLM\..\Run: [WLM] "C:\Arquivos de programas\Trend Micro\Titanium\Plugin\TMAS\TMAS_WLM\TMAS_WLMMon.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [Eraser] "C:\ARQUIV~1\Eraser\Eraser.exe" --atRestart

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International

O11 - Options group: [TABS] Tabbed Browsing

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: tmbp - {1A77E7DC-C9A0-4110-8A37-2F36BAE71ECF} - C:\Arquivos de programas\Trend Micro\AMSP\Module\20002\7.1.1102\7.1.1102\TmBpIe32.dll

O18 - Protocol: tmpx - {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Arquivos de programas\Trend Micro\AMSP\Module\20004\2.0.1313\6.8.1078\TmIEPlg.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Arquivos de programas\SUPERAntiSpyware\SASCORE.EXE

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: Trend Micro Solution Platform (Amsp) - Unknown owner - C:\Arquivos de programas\Trend Micro\AMSP\coreServiceShell.exe" coreFrameworkHost.exe (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Arquivos de programas\Java\jre6\bin\jqs.exe" -service -config "C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

Bem-vindo(a) à Linha Defensiva

Meu nome é José Humberto e "nickname" JoseMelo

Para que possamos ter sucesso ao final dos procedimentos, sugiro que siga estritamente o que lhe for proposto e não use qualquer ferramenta ou programa, que não seja os aqui recomendados;

Não desinstale nenhuma ferramenta que esteja sendo usada, até a finalização dos procedimentos;

Caso tenha um tópico em andamento em outro fórum, recomendo que o abandone para que os procedimentos não sejam conflitantes;

Se preferir receber por e-mail um aviso toda vez que houver resposta no seu tópico, clique em

o5an81.jpg
no alto da página e em Assinar este tópico.

Se tiver mais de um programa, com proteção residente instalado (antivírus, antispyware, firewall), mantenha somente um para evitar conflitos e lentidão ao sistema.

- Faça o download do Malwarebytes Anti-Malware

http://www.malwarebytes.org/mbam-download.php

  • Desative o antivírus;
  • Faça a instalação dando um duplo clique em "mbam-setup.exe";
  • Marque "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em concluir;
  • Marque "Verificação Completa" e depois clique em Verificar;
  • Quando o scan terminar, clique em Ok e em "Mostrar Resultados" para ver o log;
  • Se algo for detectado, veja se tudo está marcado e clique em "Remover";
  • O log é automaticamente gravado e pode ser consultado clicando em "Logs" do menu principal;
  • Copie e cole o conteúdo desse log na sua próxima resposta.

- Poste novo log do HijackThis.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Muito bem, durante o intervalo entre a postagem do tópico e a resposta do JoseMelo para o mesmo, pesquisei sobre os problemas que haviam, e cheguei a conclusão que poderia haver a presença de banker. O site em questão, o mesmo do segundo print, produzia aquele aviso quando um IP entra numa lista negra, provavelmente entrou devido a presença do tal banker que foi encontrado pelo bankerfix que passei no meu sistema, e que removi com a mesma ferramenta. Deixarei o log aqui.

BankerFix 3.1 VALKYRIE - Removedor de Bankers

Linha Defensiva | http://www.linhadefensiva.org

http://www.linhadefensiva.org/bankerfix/

-------------------------------------------------------

Data: 2012-04-06 - 07:28

-------------------------------------------------------

Lista de Definição: 2012-03-19-1 | CORE: 2012-01-27-1

=======================================================

Arquivo infectado detectado: C:\Install.exe

Arquivo infectado removido com sucesso!

----- Fim -------------------------

Após a remoção, os problemas aparentemente sumiram, como os do navegador, os sites que precisavam de cookies e etc. O IP mudou, meu modem é roteado, o que pode ter feito aquele problema do segundo print desaparecer.

Porém, não lembro como aconteceu, ou quando, mas o dispositivo de som estava danificado, o que pode ter acontecido devido a praga instalada, pois antes de tudo o som funcionava perfeitamente. No painel de controle, em sons e dispositivos de audio, na aba Áudio, não havia opções de dispositivo de audio, mesmo que o driver tenha sido reconhecido em Gerenciador de Dispositivos (tinha um ponto de exclamação amarelo no driver). Então, após remover o banker com o Bankerfix, pesquisei o driver de audio para minha placa de audio e instalei-o novamente. E o mixer, que havia desaparecido, voltou ao system tray.

Outras observações feitas por mim, foram que, ao iniciar alguns programas (que não utilizei durante o período de infecção que acredito ter sido resolvido) foi que, por exemplo, apareceram mensagens do Firewall do Windows para desbloquear ou bloquear os programas mIRC e Jdownloader que já utilizava a bastante tempo, sem precisar bloquear ou desbloquear nada, o que pode ter sido uma mudança causada pela praga ou pela integração do Trend Micro (novo anti-vírus que começei a usar desde que tentei remover os problemas que descrevi no primeiro post) ao Firewall do Windows.

Por sensatez, eu não direi que meu sistema está limpo, tão pouco que ele ainda está infectado. Deixarei o Linha Defensiva me ajudar nisso. Também, deixarei o Log do Malwarebytes Anti-Malware, programa que já tinha aqui, que aliás não consegui baixar pelo link postado, pois dá "Falha no carregamento da página, Servidor não encontrado", e um novo Log do Hijackthis.

Log do Malwarebytes Anti-Malware:

Malwarebytes Anti-Malware (Trial) 1.60.1.1000

www.malwarebytes.org

Versão da Base de Dados: v2012.04.07.07

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Administrador :: XPPC [administrador]

Proteção: Não permitir

7/4/2012 14:51:52

mbam-log-2012-04-07 (14-51-52).txt

Tipo de Verificação: Verificação Completa

Opções de verificações ativadas: Memória | Inicialização | Registro | Sistema de arquivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM

Opções de verificação desativadas: P2P

Objetos escaneados: 304735

Tempo decorrido: 56 minuto(s), 28 segundo(s)

Processos de Memória Detectados: 0

(Não foram detectados ítens maliciosos)

Módulos de Memória Detectados: 0

(Não foram detectados ítens maliciosos)

Chaves de Registro Detectadas: 0

(Não foram detectados ítens maliciosos)

Valores de Registro Detectadas: 0

(Não foram detectados ítens maliciosos)

Itens de Dados no Registro Detectadas: 0

(Não foram detectados ítens maliciosos)

Pastas Detectadas: 0

(Não foram detectados ítens maliciosos)

Arquivos Detectados: 0

(Não foram detectados ítens maliciosos)

(fim)

Log do Hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 15:52:35, on 7/4/2012

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\VTTimer.exe

C:\Arquivos de programas\Trend Micro\Titanium\Plugin\TMAS\TMAS_OE\TMAS_OEMon.exe

C:\Arquivos de programas\VIAudioi\SBADeck\ADeck.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Trend Micro\AMSP\coreServiceShell.exe

C:\Arquivos de programas\Trend Micro\UniClient\UiFrmWrk\uiWatchDog.exe

C:\Arquivos de programas\SUPERAntiSpyware\SASCORE.EXE

C:\Arquivos de programas\Trend Micro\UniClient\UiFrmWrk\uiSeAgnt.exe

C:\Arquivos de programas\Trend Micro\AMSP\coreFrameworkHost.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Arquivos de programas\Trend Micro\Titanium\Plugin\TMAS\TMAS_WLM\TMAS_WLMMon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\Administrador.XPPC\Desktop\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file)

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Trend Micro NSC BHO - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Arquivos de programas\Trend Micro\AMSP\Module\20004\2.0.1313\6.8.1078\TmIEPlg.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll

O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: TmBpIeBHO - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - C:\Arquivos de programas\Trend Micro\AMSP\Module\20002\7.1.1102\7.1.1102\TmBpIe32.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [switchBoard] C:\Arquivos de programas\Arquivos comuns\Adobe\SwitchBoard\SwitchBoard.exe

O4 - HKLM\..\Run: [AdobeCS5.5ServiceManager] "C:\Arquivos de programas\Arquivos comuns\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [Trend Micro Titanium] "C:\Arquivos de programas\Trend Micro\Titanium\UIFramework\uiWinMgr.exe" -set Silent "1" SplashURL ""

O4 - HKLM\..\Run: [Trend Micro Client Framework] "C:\Arquivos de programas\Trend Micro\UniClient\UiFrmWrk\UIWatchDog.exe"

O4 - HKLM\..\Run: [OE] "C:\Arquivos de programas\Trend Micro\Titanium\Plugin\TMAS\TMAS_OE\TMAS_OEMon.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [AudioDeck] C:\Arquivos de programas\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [WLM] "C:\Arquivos de programas\Trend Micro\Titanium\Plugin\TMAS\TMAS_WLM\TMAS_WLMMon.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International

O11 - Options group: [TABS] Tabbed Browsing

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: tmbp - {1A77E7DC-C9A0-4110-8A37-2F36BAE71ECF} - C:\Arquivos de programas\Trend Micro\AMSP\Module\20002\7.1.1102\7.1.1102\TmBpIe32.dll

O18 - Protocol: tmpx - {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Arquivos de programas\Trend Micro\AMSP\Module\20004\2.0.1313\6.8.1078\TmIEPlg.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Arquivos de programas\SUPERAntiSpyware\SASCORE.EXE

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: Trend Micro Solution Platform (Amsp) - Unknown owner - C:\Arquivos de programas\Trend Micro\AMSP\coreServiceShell.exe" coreFrameworkHost.exe (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Arquivos de programas\Java\jre6\bin\jqs.exe" -service -config "C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe

Compartilhar este post


Link para o post
Compartilhar em outros sites

Faça o download do Kaspersky Virus Removal Tool de um desses 2 links:

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

http://dnl-us6.kaspersky-labs.com/devbuilds/AVPTool/

Salve-o em sua área de trabalho.

- Duplo clique no arquivo "setup" e aguarde a instalação;

- Na próxima tela marque I accept the licence agreement e clique em Start

- Clique no botão

f4uZX.png
e marque:

  • Meu computador
  • Disco local (C:) (a letra do disco local pode variar)

- Clique em Actions e desmarque os dois quadros:

Zqewdl.jpg

- Clique na aba Automatic Scan e aguarde o término da verificação.

- Clique no botão

rxcHb.png
, em Detected threats e no botão "Save".

- Copie o conteúdo do arquivo salvo (se houver algo detectado) e poste na sua próxima resposta.

Compartilhar este post


Link para o post
Compartilhar em outros sites

Encontrou alguma coisa, mas não sei se tem relação com aquele problema. Como eu disse, os problemas pararam depois do bankerfix. Apesar disso não sou confiante de logar em nenhuma conta. Aliás, a única conta que loguei até agora foi o do meu e-mail, o qual usei para me cadastrar no fórum, o qual não teve nenhum problema de roubo de senha como eu temia, inclusive mudei a senha do e-mail por precaução. Nem Orkut não usei mais.

Você está querendo saber se tem mais algum rastro ou quaisquer outras pragas no computador?

Aqui o log:

Status: Detected (events: 1)

9/4/2012 05:58:31 Detected adware not-a-virus:HEUR:AdWare.Win32.InstallCore.gen D:\programas\JDownloaderSetup_3IC.exe//Setup.exe Medium

Compartilhar este post


Link para o post
Compartilhar em outros sites

A detecção é falso positivo.

Faça o download do Gmer e salve na sua área de trabalho.

  • Extraia o conteúdo do zip para uma pasta própria.
  • Feche todos os programas e execute o Gmer.exe.
  • ** Usuários do Windows Vista e Windows 7:
    Clique com o direito sobre o arquivo, depois clique em
    UAC_icon.png
    Executar como administrador
  • No lado direito, debaixo de file, desmarque todos os drives exceto o seu disco (normalmente o C).
  • Clique em "Scan" e agüarde enquanto o exame é efetuado.
    Nota: Antes do scan, certifique-se que todos os outros programas estão fechados. Não use o computador durante o scan.
  • Quando terminar, clique no botão Copiar e depois abra o Bloco de Notas e cole o que você copiou. Salve o arquivo como gmer.txt e poste o conteúdo na sua próxima resposta.
  • Nota¹: Se e somente se tiver problemas para rodar o Gmer, renomeie-o para GMR.exe e tente novamente.
  • Nota²: Quando terminar o scan, se aparecer uma mensagem Gmer hasn't found any system modification, nenhum log será gerado. Isso é normal. Apenas clique no OK e feche o Gmer. Comunique o fato no seu próximo post.

Compartilhar este post


Link para o post
Compartilhar em outros sites

- Ok, o log está limpo :)

- Faça o download do CCleaner:

  • Clique em Salvar e quando terminado o download, faça a instalação;
  • Abra o programa e clique em Executar Limpeza;
  • Após isto, clique em Registro > Procurar erros > Corrigir erros selecionados

- Desative e ative novamente a Restauração do Sistema

- Leia o artigo Proteja seu PC para maiores informações sobre como evitar infecções;

- Se não tiver mais problema, clique no botão

p_report.gif
e diga que o seu caso foi resolvido.

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico está impedido de receber novos posts.
Entre para seguir isso  
Seguidores 0

  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.