Ir para conteúdo

Foto

Browser infectado? Milhares de ameaças detectadas


Este tópico foi arquivado. Isto significa que você não pode mais responder ao tópico.
8 respostas neste tópico

#1
frozen_ghost

frozen_ghost

    Membro

  • Membro
  • PipPip
  • 68 posts
Pois bem, esse é o meu primeiro tópico por aqui e tentarei ser o mais detalhado possível.

Ontem pela tarde ligo o pc e decido fazer uma verificação de pragas com o SuperAntiSpyware, pois faço isso quase todos os dias. E me deparo com isto.

Imagem Postada
http://img171.imageshack.us/img171/6425/printdevriasameaas.jpg

Isso me assustou pois no dia anterior havia feito scans com tudo que tenho e nada foi detectado. O curioso é que antes de fazer o scan, naturalmente, atualizei as definições, e havia dado erro na atualização. Ou melhor, não havia definições a serem atualizadas. Quem conhece a ferramenta sabe, aquela mensagem "processing core definitions" havia dado erro, mas logo em seguida havia a mensagem de que havia sido corrigido o problema. Sempre que tentava atualizar acontecia a mesma coisa, mensagem de erro seguido de "conserto" pelo próprio programa.

Minha reação ao ver o número de pragas serem detectadas foi simplesmente ver até onde ia dar tudo aquilo, para que pudesse remover tudo após o término, pois crescia sem parar. Parou no número de pragas da imagem que postei sem prosseguir mais nada apartir de então como se tivesse travado ou alguma coisa impedisse o scan. Decidi parar o scan e tentar remover o que havia sido encontrado, pareceu uma eternidade (horas se passaram só durante o scan), o computador ficou lentíssimo (ele já é lento, um Intel Celeron 336, 3gb de memória ddr2), e nada de conseguir eliminar todas aquelas inúmeras pragas (a tela do programa ficou estática. Resolvi resetar o computador.

Daí ficou muito estranho e preocupante quando tentei fazer outra verificação com o mesmo software. O antispyware voltou a atualizar corretamente (o que antes não estava acontecendo) após o reset, sem aqueles erros na hora do update mencionados e não encontrou nenhuma praga que havia sido detectada anteriormente.

Entendi que o negócio era sério e começei a passar todos os scans possíveis que tinha no pc e que pesquisei na internet. Anti-spywares utilizados foram: SuperAntispyware, Spybot Search & Destroy, e Spyware Doctor. Nada foi detectado por estes nas verificações rápidas. Lembrando que possuía apenas o SuperAntispyware instalado, os outros foram acrescentados um de cada de vez.

Utilizei também o Malwarebytes Anti-malware, nada foi detectado também. Usei os scans online do Kaspersky Virus Removal, e Microsoft Safety Scanner, também nenhuma ameaça encontrada. Vale ressaltar que havia desinstalado o ESET Nod32 TemDono Fix que havia no computador, pois este já apresentava lentidão e parada na inicialização do sistema que via-se até o relógio parava de contar (não sei se essa informação conta com alguma coisa, mas está aí). Após removê-lo isso deixou de acontecer. Com isso, passando a usar o Trend Micro Titanium Internet Security 2012 que também não encontrou nenhuma ameaça. Havia também, no meio de todo o processo, eliminado os cookies, arquivos temporários e todo o lixo selecionado por default com a ferramenta CCleaner para caso tenha sido obra de algum cookie (não sei se um cookie possa fazer tal estrago).

Então começei a duvidar se havia mesmo algum problema e se não havia sido algum defeito do SuperAntispyware. Mas ele não podia ter dado este problema do nada, algo tinha que ter ocasionado aquilo, algum malware poderia ter atacado um anti-spyware como forma de danificar o sistema pois ele é que o defende. Esqueci de dizer que a versão era Free, sem proteção real.

Pesquisando na internet encontrei a ferramenta da Kaspersky que remove alguns rootkits conhecidos chamado TDSSKiller, e o tool encontrou alguns. Os mesmos foram postos em quarentena e depois deletados. Passei a escanear novamente com os scans online, o Trend Micro, e SuperAntispyware que foi o que sobrou dos anti-spywares, pois havia desinstalado os outros. Também, nada foi detectado.

Começei a cogitar o que tinha dado todo essse problema e acho que isso pode ajudar na análise. Dias antes, minha conta do twitter tinha sido hackeada, havia centenas de tweets que não existiam antes (uso de vez em nunca), que não havia postado, com links e o que me parecia propaganda e spam, tudo em russo. Fiquei preocupado e tentei deletar cada tweet. Não conseguindo e não tendo paciência, simplesmente resolvir deletar a conta do twitter. Acredito que eu deva ter pegado algum malware no processo. Ou pode ter sido por outra coisa, não sei. E estes problemas (os quais descreverei a seguir) ocorreram também em outro computador, o qual também acessei com a mesma conta. Este em que escrevo, apresenta os seguintes problemas.

Os problemas são: alguns sites que precisam de cookies habilitados não funcionam, ou seja, não posso acessá-los. Vejo mensagens como: "Os Cookies devem estar activos para aceder a esta página" apresentando captcha para serem respondidos. Pode melhor ser entendido com uma imagem:

Imagem Postada
http://img850.imageshack.us/img850/4831/23087210.png

Alguns sites também não consegui acessar como o site do malwarebytes anti-malware quando o procurava para fazer uma verificação (possivelmente numa tentativa de impedir um anti-malware ser instalado, mas isso é só especulação minha). Porém não pude testar muitos sites que necessitam de cookies com medo de acabar entregando informação de contas de e-mail, orkut e outros, devido a quase certa presença de malware que possa ver minhas senhas e logins.

Outros comportamentos estranhos foram observados em complementos do Firefox (pois não utilizo Internet Explorer), tais como complemento para prints de paginas da web (você pode perceber que o print da página postada acima não capturou toda a página, mas somente a parte que aparece na tela, quando deveria ser o contrário). Outro complemento comportamento estranho é o de armazenamento e sincronia online de favoritos do navegador, onde a minha conta não conectava, dizendo que havia um erro na conexão. Como reflexo, dei logout na conta e desativei o complemento para que nada acontecesse com minha conta.

E me parece que há uma bagunça sobre como os favoritos são organizados ao serem adicionados, os últimos favoritos não vão para o final da barra de favoritos como é de se esperar. Encontrei uns processos duvidosos que nunca vi na vida também: uiWatchDog.exe e uiSeAgnt.exe? Não estou certo sobre o que representam, melhor, não faço idéia. Fora isso, não consegui achar outros problemas, e se há, não são aparentes ou não tive como descobri-los.

Outra coisa é que há no guia de remoção de vírus algo relacionado ao MSconfig, e percebi que alguns "aplicativos" de inicialização não estão marcados e acho que isso se deve ao fato de eles estarem desativados com a ferramenta que uso do CCleaner que uso para deixar a inicialização menos lenta. Os ativei novamente (todos que estavam desativados) para criar o log do hijackthis.

Agora estou aqui, sem opções, sem saber como resolver esses problemas, sem saber o que realmente há na minha máquina. E a máquina que tentarei recuperar das pragas é esta. Não conheço muito as políticas daqui. Li as regras e a página de guia sobre remoção de vírus, malwares e outras pragas para este fórum. É dito que só é possível criar um tópico por mês, mas não vi algo relacionado a duas máquinas em um mesmo tópico, mas acredito, pela lógica, que só um computador é possível tratar, portanto postarei o log do hijackthis a seguir. Não sei se é necessário utilizar o bankerfix também, mas resolvi não usá-lo, apenas o hijackthis. Peço encarecidamente que me ajudem, por favor.

Logfile of HijackThis v1.99.1
Scan saved at 09:25:04, on 5/4/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Trend Micro\AMSP\coreServiceShell.exe
C:\Arquivos de programas\SUPERAntiSpyware\SASCORE.EXE
C:\Arquivos de programas\Trend Micro\UniClient\UiFrmWrk\uiWatchDog.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Trend Micro\UniClient\UiFrmWrk\uiSeAgnt.exe
C:\Arquivos de programas\Trend Micro\AMSP\coreFrameworkHost.exe
C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Arquivos de programas\Multimedia Keyboard Driver\M-KbdDrv.exe
C:\Arquivos de programas\Trend Micro\Titanium\Plugin\TMAS\TMAS_OE\TMAS_OEMon.exe
C:\Arquivos de programas\Trend Micro\Titanium\Plugin\TMAS\TMAS_WLM\TMAS_WLMMon.exe
C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe
C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamgui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrador.XPPC\Desktop\Hijackthis\HijackThis.exe
C:\Arquivos de programas\Mozilla Firefox\plugin-container.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file)
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Trend Micro NSC BHO - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Arquivos de programas\Trend Micro\AMSP\Module\20004\2.0.1313\6.8.1078\TmIEPlg.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TmBpIeBHO - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - C:\Arquivos de programas\Trend Micro\AMSP\Module\20002\7.1.1102\7.1.1102\TmBpIe32.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [MutlimediaKbdDriver] C:\Arquivos de programas\Multimedia Keyboard Driver\M-KbdDrv.exe
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Arquivos de programas\Arquivos comuns\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
O4 - HKLM\..\Run: [SwitchBoard] C:\Arquivos de programas\Arquivos comuns\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS5.5ServiceManager] "C:\Arquivos de programas\Arquivos comuns\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Trend Micro Titanium] "C:\Arquivos de programas\Trend Micro\Titanium\UIFramework\uiWinMgr.exe" -set Silent "1" SplashURL ""
O4 - HKLM\..\Run: [Trend Micro Client Framework] "C:\Arquivos de programas\Trend Micro\UniClient\UiFrmWrk\UIWatchDog.exe"
O4 - HKLM\..\Run: [OE] "C:\Arquivos de programas\Trend Micro\Titanium\Plugin\TMAS\TMAS_OE\TMAS_OEMon.exe"
O4 - HKLM\..\Run: [WLM] "C:\Arquivos de programas\Trend Micro\Titanium\Plugin\TMAS\TMAS_WLM\TMAS_WLMMon.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Eraser] "C:\ARQUIV~1\Eraser\Eraser.exe" --atRestart
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Arquivos comuns\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\Windows Live\Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O11 - Options group: [TABS] Tabbed Browsing
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: tmbp - {1A77E7DC-C9A0-4110-8A37-2F36BAE71ECF} - C:\Arquivos de programas\Trend Micro\AMSP\Module\20002\7.1.1102\7.1.1102\TmBpIe32.dll
O18 - Protocol: tmpx - {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Arquivos de programas\Trend Micro\AMSP\Module\20004\2.0.1313\6.8.1078\TmIEPlg.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Arquivos de programas\SUPERAntiSpyware\SASCORE.EXE
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Trend Micro Solution Platform (Amsp) - Unknown owner - C:\Arquivos de programas\Trend Micro\AMSP\coreServiceShell.exe" coreFrameworkHost.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Arquivos de programas\Java\jre6\bin\jqs.exe" -service -config "C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe

#2
JoseMelo

JoseMelo

    Assistente Profissional

  • Assistente Profissional
  • 128.593 posts
Bem-vindo(a) à Linha Defensiva

Meu nome é José Humberto e "nickname" JoseMelo

Para que possamos ter sucesso ao final dos procedimentos, sugiro que siga estritamente o que lhe for proposto e não use qualquer ferramenta ou programa, que não seja os aqui recomendados;
Não desinstale nenhuma ferramenta que esteja sendo usada, até a finalização dos procedimentos;
Caso tenha um tópico em andamento em outro fórum, recomendo que o abandone para que os procedimentos não sejam conflitantes;
Se preferir receber por e-mail um aviso toda vez que houver resposta no seu tópico, clique em
Imagem Postada
no alto da página e em Assinar este tópico.
Se tiver mais de um programa, com proteção residente instalado (antivírus, antispyware, firewall), mantenha somente um para evitar conflitos e lentidão ao sistema.

- Faça o download do Malwarebytes Anti-Malware
http://www.malwareby...am-download.php
  • Desative o antivírus;
  • Faça a instalação dando um duplo clique em "mbam-setup.exe";
  • Marque "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em concluir;
  • Marque "Verificação Completa" e depois clique em Verificar;
  • Quando o scan terminar, clique em Ok e em "Mostrar Resultados" para ver o log;
  • Se algo for detectado, veja se tudo está marcado e clique em "Remover";
  • O log é automaticamente gravado e pode ser consultado clicando em "Logs" do menu principal;
  • Copie e cole o conteúdo desse log na sua próxima resposta.
- Poste novo log do HijackThis.

#3
frozen_ghost

frozen_ghost

    Membro

  • Membro
  • PipPip
  • 68 posts
Muito bem, durante o intervalo entre a postagem do tópico e a resposta do JoseMelo para o mesmo, pesquisei sobre os problemas que haviam, e cheguei a conclusão que poderia haver a presença de banker. O site em questão, o mesmo do segundo print, produzia aquele aviso quando um IP entra numa lista negra, provavelmente entrou devido a presença do tal banker que foi encontrado pelo bankerfix que passei no meu sistema, e que removi com a mesma ferramenta. Deixarei o log aqui.

BankerFix 3.1 VALKYRIE - Removedor de Bankers
Linha Defensiva | http://www.linhadefensiva.org
http://www.linhadefe....org/bankerfix/
-------------------------------------------------------
Data: 2012-04-06 - 07:28
-------------------------------------------------------
Lista de Definição: 2012-03-19-1 | CORE: 2012-01-27-1
=======================================================

Arquivo infectado detectado: C:\Install.exe
Arquivo infectado removido com sucesso!



----- Fim -------------------------

Após a remoção, os problemas aparentemente sumiram, como os do navegador, os sites que precisavam de cookies e etc. O IP mudou, meu modem é roteado, o que pode ter feito aquele problema do segundo print desaparecer.

Porém, não lembro como aconteceu, ou quando, mas o dispositivo de som estava danificado, o que pode ter acontecido devido a praga instalada, pois antes de tudo o som funcionava perfeitamente. No painel de controle, em sons e dispositivos de audio, na aba Áudio, não havia opções de dispositivo de audio, mesmo que o driver tenha sido reconhecido em Gerenciador de Dispositivos (tinha um ponto de exclamação amarelo no driver). Então, após remover o banker com o Bankerfix, pesquisei o driver de audio para minha placa de audio e instalei-o novamente. E o mixer, que havia desaparecido, voltou ao system tray.

Outras observações feitas por mim, foram que, ao iniciar alguns programas (que não utilizei durante o período de infecção que acredito ter sido resolvido) foi que, por exemplo, apareceram mensagens do Firewall do Windows para desbloquear ou bloquear os programas mIRC e Jdownloader que já utilizava a bastante tempo, sem precisar bloquear ou desbloquear nada, o que pode ter sido uma mudança causada pela praga ou pela integração do Trend Micro (novo anti-vírus que começei a usar desde que tentei remover os problemas que descrevi no primeiro post) ao Firewall do Windows.

Por sensatez, eu não direi que meu sistema está limpo, tão pouco que ele ainda está infectado. Deixarei o Linha Defensiva me ajudar nisso. Também, deixarei o Log do Malwarebytes Anti-Malware, programa que já tinha aqui, que aliás não consegui baixar pelo link postado, pois dá "Falha no carregamento da página, Servidor não encontrado", e um novo Log do Hijackthis.

Log do Malwarebytes Anti-Malware:

Malwarebytes Anti-Malware (Trial) 1.60.1.1000
www.malwarebytes.org

Versão da Base de Dados: v2012.04.07.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrador :: XPPC [administrador]

Proteção: Não permitir

7/4/2012 14:51:52
mbam-log-2012-04-07 (14-51-52).txt

Tipo de Verificação: Verificação Completa
Opções de verificações ativadas: Memória | Inicialização | Registro | Sistema de arquivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opções de verificação desativadas: P2P
Objetos escaneados: 304735
Tempo decorrido: 56 minuto(s), 28 segundo(s)

Processos de Memória Detectados: 0
(Não foram detectados ítens maliciosos)

Módulos de Memória Detectados: 0
(Não foram detectados ítens maliciosos)

Chaves de Registro Detectadas: 0
(Não foram detectados ítens maliciosos)

Valores de Registro Detectadas: 0
(Não foram detectados ítens maliciosos)

Itens de Dados no Registro Detectadas: 0
(Não foram detectados ítens maliciosos)

Pastas Detectadas: 0
(Não foram detectados ítens maliciosos)

Arquivos Detectados: 0
(Não foram detectados ítens maliciosos)

(fim)

Log do Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 15:52:35, on 7/4/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Arquivos de programas\Trend Micro\Titanium\Plugin\TMAS\TMAS_OE\TMAS_OEMon.exe
C:\Arquivos de programas\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Trend Micro\AMSP\coreServiceShell.exe
C:\Arquivos de programas\Trend Micro\UniClient\UiFrmWrk\uiWatchDog.exe
C:\Arquivos de programas\SUPERAntiSpyware\SASCORE.EXE
C:\Arquivos de programas\Trend Micro\UniClient\UiFrmWrk\uiSeAgnt.exe
C:\Arquivos de programas\Trend Micro\AMSP\coreFrameworkHost.exe
C:\Arquivos de programas\Java\jre6\bin\jqs.exe
C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Trend Micro\Titanium\Plugin\TMAS\TMAS_WLM\TMAS_WLMMon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Administrador.XPPC\Desktop\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: (no name) - {472734EA-242A-422b-ADF8-83D1E48CC825} - (no file)
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Trend Micro NSC BHO - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Arquivos de programas\Trend Micro\AMSP\Module\20004\2.0.1313\6.8.1078\TmIEPlg.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll
O2 - BHO: Auxiliar de Conexão do Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TmBpIeBHO - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - C:\Arquivos de programas\Trend Micro\AMSP\Module\20002\7.1.1102\7.1.1102\TmBpIe32.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SwitchBoard] C:\Arquivos de programas\Arquivos comuns\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS5.5ServiceManager] "C:\Arquivos de programas\Arquivos comuns\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Trend Micro Titanium] "C:\Arquivos de programas\Trend Micro\Titanium\UIFramework\uiWinMgr.exe" -set Silent "1" SplashURL ""
O4 - HKLM\..\Run: [Trend Micro Client Framework] "C:\Arquivos de programas\Trend Micro\UniClient\UiFrmWrk\UIWatchDog.exe"
O4 - HKLM\..\Run: [OE] "C:\Arquivos de programas\Trend Micro\Titanium\Plugin\TMAS\TMAS_OE\TMAS_OEMon.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Arquivos de programas\Arquivos comuns\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AudioDeck] C:\Arquivos de programas\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [WLM] "C:\Arquivos de programas\Trend Micro\Titanium\Plugin\TMAS\TMAS_WLM\TMAS_WLMMon.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Arquivos de programas\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O11 - Options group: [TABS] Tabbed Browsing
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsof...ss/allinone.asp
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: tmbp - {1A77E7DC-C9A0-4110-8A37-2F36BAE71ECF} - C:\Arquivos de programas\Trend Micro\AMSP\Module\20002\7.1.1102\7.1.1102\TmBpIe32.dll
O18 - Protocol: tmpx - {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Arquivos de programas\Trend Micro\AMSP\Module\20004\2.0.1313\6.8.1078\TmIEPlg.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARQUIV~1\ARQUIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Arquivos de programas\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Arquivos de programas\SUPERAntiSpyware\SASCORE.EXE
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Trend Micro Solution Platform (Amsp) - Unknown owner - C:\Arquivos de programas\Trend Micro\AMSP\coreServiceShell.exe" coreFrameworkHost.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Arquivos de programas\Java\jre6\bin\jqs.exe" -service -config "C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbamservice.exe

#4
JoseMelo

JoseMelo

    Assistente Profissional

  • Assistente Profissional
  • 128.593 posts
Faça o download do Kaspersky Virus Removal Tool de um desses 2 links:
http://devbuilds.kas...builds/AVPTool/
http://dnl-us6.kaspe...builds/AVPTool/

Salve-o em sua área de trabalho.

- Duplo clique no arquivo "setup" e aguarde a instalação;
- Na próxima tela marque I accept the licence agreement e clique em Start
- Clique no botão
Imagem Postada
e marque:
  • Meu computador
  • Disco local (C:) (a letra do disco local pode variar)
- Clique em Actions e desmarque os dois quadros:
Imagem Postada
- Clique na aba Automatic Scan e aguarde o término da verificação.

- Clique no botão
Imagem Postada
, em Detected threats e no botão "Save".
- Copie o conteúdo do arquivo salvo (se houver algo detectado) e poste na sua próxima resposta.

#5
frozen_ghost

frozen_ghost

    Membro

  • Membro
  • PipPip
  • 68 posts
Encontrou alguma coisa, mas não sei se tem relação com aquele problema. Como eu disse, os problemas pararam depois do bankerfix. Apesar disso não sou confiante de logar em nenhuma conta. Aliás, a única conta que loguei até agora foi o do meu e-mail, o qual usei para me cadastrar no fórum, o qual não teve nenhum problema de roubo de senha como eu temia, inclusive mudei a senha do e-mail por precaução. Nem Orkut não usei mais.

Você está querendo saber se tem mais algum rastro ou quaisquer outras pragas no computador?

Aqui o log:

Status: Detected (events: 1)
9/4/2012 05:58:31 Detected adware not-a-virus:HEUR:AdWare.Win32.InstallCore.gen D:\programas\JDownloaderSetup_3IC.exe//Setup.exe Medium

#6
JoseMelo

JoseMelo

    Assistente Profissional

  • Assistente Profissional
  • 128.593 posts
A detecção é falso positivo.

Faça o download do Gmer e salve na sua área de trabalho.
  • Extraia o conteúdo do zip para uma pasta própria.
  • Feche todos os programas e execute o Gmer.exe.
  • ** Usuários do Windows Vista e Windows 7:
    Clique com o direito sobre o arquivo, depois clique em
    Imagem Postada
    Executar como administrador
  • No lado direito, debaixo de file, desmarque todos os drives exceto o seu disco (normalmente o C).
  • Clique em "Scan" e agüarde enquanto o exame é efetuado.
    Nota: Antes do scan, certifique-se que todos os outros programas estão fechados. Não use o computador durante o scan.
  • Quando terminar, clique no botão Copiar e depois abra o Bloco de Notas e cole o que você copiou. Salve o arquivo como gmer.txt e poste o conteúdo na sua próxima resposta.
  • Nota¹: Se e somente se tiver problemas para rodar o Gmer, renomeie-o para GMR.exe e tente novamente.
  • Nota²: Quando terminar o scan, se aparecer uma mensagem Gmer hasn't found any system modification, nenhum log será gerado. Isso é normal. Apenas clique no OK e feche o Gmer. Comunique o fato no seu próximo post.


#7
frozen_ghost

frozen_ghost

    Membro

  • Membro
  • PipPip
  • 68 posts
Desculpe pela demora, não tive tempo para o computador.

Segue o log em anexo.

Arquivo(s) anexado(s)



#8
JoseMelo

JoseMelo

    Assistente Profissional

  • Assistente Profissional
  • 128.593 posts
- Ok, o log está limpo :)

- Faça o download do CCleaner:
  • Clique em Salvar e quando terminado o download, faça a instalação;
  • Abra o programa e clique em Executar Limpeza;
  • Após isto, clique em Registro > Procurar erros > Corrigir erros selecionados
- Desative e ative novamente a Restauração do Sistema

- Leia o artigo Proteja seu PC para maiores informações sobre como evitar infecções;

- Se não tiver mais problema, clique no botão
Imagem Postada
e diga que o seu caso foi resolvido.

#9
Felipe-rj

Felipe-rj

    Moderador

  • Moderador
  • 837 posts
Problema Resolvido!

Caso o autor necessite que o tópico seja reaberto, entre em contato com um dos membros da equipe de moderação.