Remoção de vírus

[luisednardo]

luisednardo, algumas infecções foram corrigidas automaticamente pelo OIViewIt que lhe pedi anteriormente. Portanto, a pior infecção foi eliminada. Porém, restaram alguns outros bichinhos ocultos aí.

- Baixe a ferramenta abaixo luisednardo.

EliStarA - No final da página clique no botão Descargar EliStarA.

- Salve-a em seu desktop e execute a ferramenta. Aguarde o scan e poste o relatório que será gerado aqui luisednardo.

Pronto Wolf, fiz certinho dessa vez e agora?

Spoiler

Wed Nov 05 03:18:19 2008
EliStartPage v17.33 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
[WinLogon\Notify\ GBPLUGINBB]
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\WinLogon\GBIEH.DLL
a "virus@satinfo.es". Gracias.
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
Por favor, envienos una muestra del fichero
C:\Muestras\GBIEH.DLL.Muestra EliStartPage v17.33
a "virus@satinfo.es". Gracias.
C:\ARQUIV~1\GBPLUGIN\GBIEH.DLL --> Acceso Denegado.
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Reinicie para Completar la Limpieza.

Wed Nov 05 03:32:23 2008
EliStartPage v17.33 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Arquivos de programas\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

Nº Total de Directorios: 3796
Nº Total de Ficheros: 48434
Nº de Ficheros Analizados: 21507
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

 

[jvictormp]

log do kaspersky (verificacao completa):

Spoiler

Scan
----
Scanned: 460609
Detected: 15
Untreated: 0
Start time: 2008-11-05 00:05
Duration: 05:35:00
Finish time: 2008-11-05 05:40


Detected
--------
Status Object
------ ------
not found: virus Heur.Invader (modification) File: C:\Documents and Settings\Administrador\Configurações locais\Dados de aplicativos\Mozilla\Firefox\Profiles\4f2gazvk.default\Cache\C2152591d01//PE_Patch.UPX/32788R22FWJFW\catchme.cfexe
deleted: virus EICAR-Test-File File: C:\Documents and Settings\Administrador\Configurações locais\Temp\Av-test.txt
not found: virus Heur.Invader (modification) File: C:\Documents and Settings\Administrador\Desktop\ComboFix.exe//PE_Patch.UPX/32788R22FWJFW\catchme.cfexe
deleted: riskware not-a-virus:RiskTool.Win32.CloseApp.e File: C:\WINDOWS\system32\closeapp.exe
deleted: riskware not-a-virus:RiskTool.Win32.CloseApp.e File: C:\WINDOWS\system32\vimc.exe//WISE0005.BIN
deleted: Trojan program Trojan-Spy.Win32.Agent.ehl File: C:\WINDOWS\system32\VITrans\vivp.exe//WISE0154.BIN
deleted: riskware not-a-virus:WebToolbar.Win32.WhenU.a File: D:\Programas\bsplayer221.950_clip.exe//data0011
deleted: riskware not-a-virus:Client-IRC.Win32.mIRC.612 File: D:\Programas\foxscript2004.zip/setup.exe.exe//data0001//UPX
deleted: riskware not-a-virus:WebToolbar.Win32.MyWebSearch.ak File: D:\Programas\freeripmp3.exe//file37
deleted: riskware not-a-virus:RemoteAdmin.Win32.RemotelyAnywhere.a File: D:\Programas\LogMeIn.exe/LogMeIn.msi//data.cab/LMIinit.dll
deleted: riskware not-a-virus:RemoteAdmin.Win32.RemotelyAnywhere.c File: D:\Programas\LogMeIn.exe/LogMeIn.msi//data.cab/ramaint.exe
deleted: adware not-a-virus:AdWare.Win32.Ucmore.a File: D:\Programas\Xp\Microsoft Windows Server 2003 Enterprise RTM 5.2.3790 Retail activation crack [found via www.fileDonkey.com].zip/overnet0.46.exe//data0079/UCMIE.DLL
deleted: adware not-a-virus:AdWare.Win32.Ucmore File: D:\Programas\Xp\Microsoft Windows Server 2003 Enterprise RTM 5.2.3790 Retail activation crack [found via www.fileDonkey.com].zip/overnet0.46.exe//data0079/IUCMORE.DLL
deleted: adware not-a-virus:AdWare.Win32.Ucmore File: D:\Programas\Xp\overnet0.46.exe
deleted: Trojan program Trojan.BAT.Small.ai File: D:\Programas\Xp\Windows_2003_Server_Activation_Crack.zip/reset2.exe//data0002


Events
------
Time Name Status Reason
---- ---- ------ ------


Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------


Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Prompt for action when the scan is complete
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology Yes
Enable iSwift technology Yes
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----

vou fazer o negocio do combofix agora..

 

[jvictormp]

bom fiz o negocio do combofix, porem, eis o log:

ComboFix 08-11-04.02 - Administrador 2008-11-05 5:51:58.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1046.18.1463 [GMT -2:00]
Executando de: C:\Documents and Settings\Administrador\Desktop\ComboFix.exe

ATENÇAO - ESTA MAQUINA NAO TEM O CONSOLE DE RECUPERAÇÃO INSTALADA !!
.


o que aconteceu foi que após perguntar se eu queria instalar o console de restauracao, o download falhou, apareceu (por meio segundo) uma tela azul e reiniciou.

 

[bruno.alb]

bruno.alb, siga as instruções dentro do spoiler abaixo.

Spoiler

Faça o download do Malwarebytes Anti-Malware

- Dê dois cliques sobre o programa para iniciar a instalação;
- Marque "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em concluir;
- Marque "Verificação Completa" e depois clique em Verificar. Selecione sua unidade C: e clique no botão Iniciar Verificação;
- Quando o scan terminar, clique em Ok e em "Mostrar Resultados" para ver o log;
- Se algo for detectado, veja se tudo está marcado e clique em "Remover";
- O log é automaticamente gravado e pode ser consultado clicando em "Logs" do menu principal;
- Copie e cole o conteúdo desse log na sua próxima resposta.

E também gere novo log do HijackThis e cole na sua resposta junto com o do Malwarebytes bruno.alb.

______________________________________


luisednardo, tente rodar novamente o ComboFix por favor.

Valeu Mr.Wolf!

Se eu tenho mais partições no meu PC serai inteiressante passar nas outras também não?! Percebe que tem uma pasta "resycled" (com s mesmo ) e uma arquivo boot.ini em cada HD ... se eu removo de um já copia para o outro automático.

 

[bruno.alb]

Pronto, fiz o que tinha para ser feito, ele (Malwarebytes) ao contrário daquele lixo do Panda achou alguns pares de erros. Segue log dele:

Spoiler

Malwarebytes' Anti-Malware 1.30
Versão do banco de dados: 1367
Windows 5.1.2600 Service Pack 2

5/11/2008 08:34:51
mbam-log-2008-11-05 (08-34-51).txt

Tipo de Verificação: Completa (C:\|E:\|F:\|G:\|I:\|)
Objetos verificados: 101348
Tempo decorrido: 28 minute(s), 9 second(s)

Processos da Memória infectados: 0
Módulos de Memória Infectados: 6
Chaves do Registro infectadas: 16
Valores do Registro infectados: 1
Ítens do Registro infectados: 8
Pastas infectadas: 1
Arquivos infectados: 27

Processos da Memória infectados:
(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:
C:\WINDOWS\system32\nssnhcwr.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\tuvUNgDS.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\cigemfsu.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\qytsogfn.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\alqrne.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\xxyxWQIC.dll (Trojan.Vundo) -> Delete on reboot.

Chaves do Registro infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{da5f34d0-6fb3-4383-9284-9f35605979f4} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{da5f34d0-6fb3-4383-9284-9f35605979f4} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{daff3a94-84b8-4f97-86ad-efa04205a990} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{daff3a94-84b8-4f97-86ad-efa04205a990} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6b6ac668-a172-4f33-9e94-e3f42d24c6f4} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6b6ac668-a172-4f33-9e94-e3f42d24c6f4} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{da5f34d0-6fb3-4383-9284-9f35605979f4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{daff3a94-84b8-4f97-86ad-efa04205a990} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{cc5137a5-0286-4a7b-84a4-c32fe2e83f8f} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyxwqic (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valores do Registro infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{cc5137a5-0286-4a7b-84a4-c32fe2e83f8f} (Trojan.Vundo) -> Delete on reboot.

Ítens do Registro infectados:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\tuvungds -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdyjr.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\tuvungds -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{9bae6d75-1ade-470f-acc5-0b8c5824bfff}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.223;85.255.112.105 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{9bae6d75-1ade-470f-acc5-0b8c5824bfff}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.223;85.255.112.105 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{9bae6d75-1ade-470f-acc5-0b8c5824bfff}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.223;85.255.112.105 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{9bae6d75-1ade-470f-acc5-0b8c5824bfff}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.223;85.255.112.105 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{9bae6d75-1ade-470f-acc5-0b8c5824bfff}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.223;85.255.112.105 -> Quarantined and deleted successfully.

Pastas infectadas:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Arquivos infectados:
C:\WINDOWS\system32\tuvUNgDS.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\SDgNUvut.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SDgNUvut.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\alqrne.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\nssnhcwr.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\rwchnssn.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qwbhoxvc.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cvxohbwq.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kdyjr.exe (Rootkit.DNSChanger.H) -> Delete on reboot.
C:\WINDOWS\system32\wtofqohm.dll (Trojan.BHO.H) -> Delete on reboot.
C:\WINDOWS\system32\cigemfsu.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\qytsogfn.dll (Trojan.Vundo) -> Delete on reboot.
C:\Documents and Settings\Bruno\Configurações locais\Temporary Internet Files\Content.IE5\4XQZ0HQZ\upd105320[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Bruno\Configurações locais\Temporary Internet Files\Content.IE5\S9UFGL67\nd82m0[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zycjrt.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xxyaayVp.dll (Backdoor.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xxyxWQIC.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\Temp\tempo-075.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-0D9.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-133.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-4AB.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-80F.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-B63.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-B69.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-EBF.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-F6F.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Log do HiJack

Spoiler

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:45:12, on 5/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Arquivos de programas\Software WIDCOMM\Bluetooth\bin\btwdins.exe
C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe
C:\Arquivos de programas\LogMeIn\x86\RaMaint.exe
C:\Arquivos de programas\LogMeIn\x86\LogMeIn.exe
C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe
C:\Arquivos de programas\LogMeIn\x86\LogMeIn.exe
C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe
C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\LogMeIn\x86\LMIGuardian.exe
C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe
E:\arquivos de programas\steam\steam.exe
C:\Arquivos de programas\Software WIDCOMM\Bluetooth\BTTray.exe
C:\WINDOWS\System32\svchost.exe
C:\ARQUIV~1\SOFTWA~1\BLUETO~1\BTSTAC~1.EXE
C:\Arquivos de programas\Mozilla Firefox\firefox.exe
C:\Arquivos de programas\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Arquivos de programas\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Arquivos de programas\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdyjr.exe] C:\WINDOWS\system32\kdyjr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Arquivos de programas\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "e:\arquivos de programas\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-823518204-2052111302-839522115-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LogMeInRemoteUser')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar para &Bluetooth - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O20 - AppInit_DLLs: alqrne.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Arquivos de programas\Software WIDCOMM\Bluetooth\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Arquivos de programas\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Arquivos de programas\LogMeIn\x86\LogMeIn.exe
O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Arquivos de programas\CyberLink\Shared Files\RichVideo.exe

--
End of file - 6123 bytes

Agora tá bom!? No HiJack não consigo ver as anomalias.
Exclui todos itens da quarentena do Malwarebytes, podia?!

Pergunta, este programa pode substituir os nosso Anti-Vírus do dia-a-dia como AVG, Kaspersky, NOD32 e tudo mais?!

 

[Xleon]

É Mr Wolf, não consegui mesmo usar o combofix com sucesso. Ele dá "tela azul" e reinicia. Mas sinceramente a máquina já está normal, pelo menos todos os possíveis traços do vírus foram eliminados, os sintomas sumiram totalmente, por isso estou postando um novo log do hijackthis só pra ter certeza, e aí, ainda tem coisa nele? Se tiver acho que teremos que usar outro programa exceto o combofix infelizmente.

Aqui na empresa estamos com o mesmo problema com o ComboFIX nos notebooks, todos eles quando eu passo o ComboFix a tela fica azul e renincia...

Talvez deve ser algum tipo de incompatibilidade com algum Driver ou outra coisa com Windows.

Xleon, os logs estão limpos. O problema nas máquinas continua?

Na verdade eu criei um Script na inicialização dos usuários que caso achem o arquivo csrcs.exe dentro da pasta do System32 ele parava o processo, exclui esse arquivo e o arquivo khq no C: e criava um log para mim com o nome da maquina e o nome do usuário para saber quem afetou... E agora estou pegando o HijackThis deles e te enviando para verificar se algo mais foi afetado...

Você pode me tirar uma dúvida? Esse tipo de malware normalmente vem por onde? Como podemos tentar evitar? Tipo, desabilitando o Autorun das maquinas já reduziria o número de virus?

Vlw mesmo pela ajuda!!

 

[jvictormp]

O cara deve ta no penultimo sono.. foi dormir 4 da manhã pq ficou ajudando a gnt rsrsrs gente fina

ACORDAAAA MR. WOLF!!!!

 

[KodiaK]

Grande mestre jedi Mr. Wolf.

Cara tenho uma dúvida meio nb, mas que fica martelando na cabeça.

Quando o sistema encontra um virús quer q seja navegando em um site, quer que seja quando espetamos algo no PC, ou quer que seja quando realizamos um download. O programa pergunta se queremos tomar alguma atitude que normamente é: Ignorar, Deletar, Mover para Quarentena, Negar o Acesso.

É Obvio que ignorar ninguém nunca vai fazer isso, agora queria que vc me corrija se eu estiver errado:

- Deletar: Vc apaga o seu arquivo que o Virús infectou, ou seja, se for um arquivo importante vc tá fudido pq pode fuder com o seu sistema, porém toda vez que deleto e ele fala isso, mesmo sendo um arquivo da pasta win32, o sistema nunca fica instável, pq?

- Mover para quarentena: Tipo o arquivo vai para um vault e fica ali, preso, porém sem acesso ao pc?, então eu posso ficar com uns 50 arquivos em quarentena que nenhum deles pode me prejudicar.

- Negar o acesso: Se o virús ou malware ou seja lá o que for, entrou no sistema como que diabos ele pode negar o acesso ao arquivo???

Sim são dúvidas noobas, não repare :cry:

 

[Rafael100%]

ola amigo kodiak!! nao entendo muito + normalmente e bom vc fazer um backup dos seus documentos mais inportantes ou seja um ponto de restalraçao
outra mover para quarentena e a mesma coisa q excluir pq a quarentena vai faser o melhor para ñ enfectar sue pc entao e + aconselhavel q vc tenha um outro hd ou pendrive para salvar sues aquivos inportantes.

 

[Gustavo MPO]

Um trabalho árduo por aqui em Mr. Wolf =)
Bem, minha dúvida é mais simples.
Em um dos micros do trabalho tem o seguinte serviço:

IS Service,
Descrição: Internet Security Service
Inicialização: Automático

Sabe me informar se pode ser algum malware?

 

[Mr.Wolf]

saporra, o ComboFix não rodou.

Você executou ele em Modo de Segurança Sem rede?

Pelo que vi em seu log do Kaspersky, o file infector foi removido.

_____________________________________

luisednardo seu log está limpo.


______________________________________

Postado originalmente por Xleon

Aqui na empresa estamos com o mesmo problema com o ComboFIX nos notebooks, todos eles quando eu passo o ComboFix a tela fica azul e renincia...

Talvez deve ser algum tipo de incompatibilidade com algum Driver ou outra coisa com Windows.

Está havendo uma certa incompatibilidade entre o ComboFix e alguns serviços do Windows. Esses serviços, que até agora não sabemos quais são, interferem diferente na execução da ferramenta e na chave SafeBoot do registro (chave do Modo Seguro do Windows), fazendo com que o ComboFix seja interceptado na execução.

Na verdade eu criei um Script na inicialização dos usuários que caso achem o arquivo csrcs.exe dentro da pasta do System32 ele parava o processo, exclui esse arquivo e o arquivo khq no C: e criava um log para mim com o nome da maquina e o nome do usuário para saber quem afetou... E agora estou pegando o HijackThis deles e te enviando para verificar se algo mais foi afetado...

Vi mesmo em seu log o script que você criou Xleon.

Mas tem um porém, o csrcs.exe é um backdoor que vêm acompanhado de um worm. Portanto seu script apenas bloqueará o csrcs. Para que o script bloqueie todas as infecções trazidas por este backdoor, você deverá fazer um script que bloqueie todas as variantes desse malware. O que é complicado. Pois deverá saber todas as variantes do csrcs e isso é uma tarefa difícil.

Nas empresas que presto serviço, também montei um script que bloqueia qualquer ação de rootkits (como khq) na máquina. Backdoors, a única ferramenta capaz de detê-los por completo e impedir sua ação é um firewall.

Você pode me tirar uma dúvida? Esse tipo de malware normalmente vem por onde? Como podemos tentar evitar? Tipo, desabilitando o Autorun das maquinas já reduziria o número de virus?

Vlw mesmo pela ajuda!!

Xleon, qualquer malware pode ser pego em qual lugar e vir de qualquer lugar para seu sistema.

Entretanto, backdoors geralmente são pegos em alguma falha nas portas do firewall que permitem a invasão do malware e por e-mails – por isso sempre aconselho ter um ótimo firewall.
Worms são provenientes de pen drives e outras mídias removíveis. Mas podem ser pegos através de e-mails também.

Rootkits podem ser pegos em qualquer lugar, tanto com downloads maliciosos, quanto por pen drives, e-mails, páginas fraudulentas acessadas, e outras coisas. Rootkits são os piores malwares, pois carregam junto com os processos do Windows. Portanto você pensará que o arquivo é legítmo, sendo que o rootkit está por trás dele.

 

[Mr.Wolf]

Um trabalho árduo por aqui em Mr. Wolf =)
Bem, minha dúvida é mais simples.
Em um dos micros do trabalho tem o seguinte serviço:

Sabe me informar se pode ser algum malware?

Gustavo MPO, existe um backdoor que utiliza este serviço para abrir portas no firewall.

Peço que por gentileza, poste um log do HijackThis aqui, por favor Gustavo MPO.

 

[Mr.Wolf]

Agora tá bom!? No HiJack não consigo ver as anomalias.
Exclui todos itens da quarentena do Malwarebytes, podia?!

Podia sim bruno.alb. Todos os arquivos detectados pelo Malwarebytes são infecções.

Pergunta, este programa pode substituir os nosso Anti-Vírus do dia-a-dia como AVG, Kaspersky, NOD32 e tudo mais?!

De forma alguma bruno.alb. O Malwarebytes é apenas um anti-malware. Não um antivirus. Ele não possui proteção em tempo real - na versão gratuita. E não abrange, logicamente, um banco de dados tão forte quanto o de um antivirus. Portanto, não substitui sua ferramenta antivirus. O Malwarebytes, serve digamos, como uma ferramenta adicional, uma ferramenta à mais para a proteção de seu pc. :thumbs_up

Seu log ainda contém infecções bruno.alb. Prossiga com as instruções dentro do spoiler abaixo.

Spoiler

- Faça o download do ComboFix e salve-o no desktop;
OBS: Para que a ferramenta seja executada é necessário que esteja no desktop (área de trabalho)

● Desative, temporariamente, seu antivírus;
● Feche todas as janelas abertas;
● Dê um duplo clique no arquivo ComboFix;
● Tecle 1 e dê um Enter. Aguarde até que o relatório seja gerado. É um pouco demorado o scan;
● O ComboFix "poderá" reiniciar o PC automaticamente para completar o processo de remoção.
● Quando terminar, será gerado um log, que estará em C:\ComboFix.txt.
● Não clique na Janela do ComboFix, nem o feche clicando no X, enquanto estiver rodando, não mova o mouse e não use o teclado, pois senão irá parar e seu desktop ficará em branco.
● Para parar ou sair do ComboFix, tecle "N".

Cole este log do ComboFix em sua próxima resposta bruno.alb.

________________________________________

Postado originalmente por KodiaK

Grande mestre jedi Mr. Wolf.

Cara tenho uma dúvida meio nb, mas que fica martelando na cabeça.

Quando o sistema encontra um virús quer q seja navegando em um site, quer que seja quando espetamos algo no PC, ou quer que seja quando realizamos um download. O programa pergunta se queremos tomar alguma atitude que normamente é: Ignorar, Deletar, Mover para Quarentena, Negar o Acesso.

É Obvio que ignorar ninguém nunca vai fazer isso, agora queria que vc me corrija se eu estiver errado:

- Deletar: Vc apaga o seu arquivo que o Virús infectou, ou seja, se for um arquivo importante vc tá fudido pq pode fuder com o seu sistema, porém toda vez que deleto e ele fala isso, mesmo sendo um arquivo da pasta win32, o sistema nunca fica instável, pq?

Fala meu grande amigo KodiaK, vejamos.

Isso depende KodiaK. Se você pegou na hora em que ele infectou seu sistema e seu arquivo importante, seu antivirus consegue removê-lo sem afetar seu arquivo legítmo do Windows. Remove somente o código malicioso.

Em questão de deletar o vírus de um arquivo de uma pasta importante e não afetar seu sistema, é pura sorte KodiaK. O arquivo removido, talvez, seja um arquivo de serviços, drivers, que futuramente, pode vir a lhe causar problemas. Talvez com a instalação de algum programa, com a inicialização do computador e tudo mais.

- Mover para quarentena: Tipo o arquivo vai para um vault e fica ali, preso, porém sem acesso ao pc?, então eu posso ficar com uns 50 arquivos em quarentena que nenhum deles pode me prejudicar.

Exatamente. Quando um vírus está em quarentena, ele fica enjaulado. Não pode afetar seu sistema e nem seus arquivos, é a mesma coisa que se ele estivesse preso numa pasta. Seu antivirus desativa o código malicioso do malware. Sendo assim ele não possui códigos para destruir seus arquivos e sua máquina.

- Negar o acesso: Se o virús ou malware ou seja lá o que for, entrou no sistema como que diabos ele pode negar o acesso ao arquivo???

Quando aparece a opção Negar o acesso KodiaK, é que o código malicioso do vírus ainda não está ativo, e seu antivirus pode desativá-lo se você negar o acesso do vírus à máquina. Mas ele pode muito bem estar em seu sistema já. Porém, não o destruirá.

Por outro lado, vírus de payload imediato (ação imediata) conseguem rejeitar o acesso negado do antivirus e assim ainda se alastrar em sua máquina.

Então diria até que, esta opção Negar o acesso é praticamente inútil hoje em dia.

Sim são dúvidas noobas, não repare

Não são não KodiaK. Fique à vontade para perguntar o que quiser.

Caso tenha ficado com dúvidas pergunte.

 

[Gustavo MPO]

Gustavo MPO, existe um backdoor que utiliza este serviço para abrir portas no firewall.

Peço que por gentileza, poste um log do HijackThis aqui, por favor Gustavo MPO.

Pelo log do HiJackThis vi que o serviço era do Norton (Symantec).
Obrigado Mr. Wolf.

 

[Mr.Wolf]

Pelo log do HiJackThis vi que o serviço era do Norton (Symantec).
Obrigado Mr. Wolf.

Exatamente Gustavo MPO. Existe este processo do Norton. Porém, o backdoor utiliza este serviço com o mesmo nome de Norton. Além de criar entradas em outras partes do HijackThis e ocultá-las no log.

 

[Gustavo MPO]

Sendo assim, acho que não custa postar o log aqui né
Segue:

Logfile of HijackThis v1.99.1
Scan saved at 16:17:29, on 5/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\ARQUIV~1\GbPlugin\GbpSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Arquivos de programas\McAfee\VirusScan Enterprise\EngineServer.exe
C:\Arquivos de programas\McAfee\Common Framework\FrameworkService.exe
C:\Arquivos de programas\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\system32\mfevtps.exe
C:\Arquivos de programas\McAfee\Common Framework\naPrdMgr.exe
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Arquivos de programas\UltraVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\Arquivos de programas\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Arquivos de programas\McAfee\VirusScan Enterprise\mfeann.exe
C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe
C:\Arquivos de programas\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Arquivos de programas\McAfee\Common Framework\udaterui.exe
C:\Arquivos de programas\McAfee\Common Framework\McTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Arquivos de programas\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Arquivos de programas\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\wuauclt.exe
N:\Softwares\Manutenção\Utilitários\Hijackfree\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\Arquivos de programas\Scpad\scpsssh2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Arquivos de programas\McAfee\VirusScan Enterprise\scriptsn.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: G-Buster Browser Defense Unibanco - {C41A1C0E-EA6C-11D4-B1B8-444553540008} - C:\ARQUIV~1\GbPlugin\gbiehuni.dll
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Arquivos de programas\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Arquivos de programas\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Arquivos de programas\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp
O16 - DPF: {9EC30204-384D-11D3-9CA3-00A024F0AF03} (ValidaUsuario Class) - https://cpne.bradesco.com.br/certifexp.cab
O16 - DPF: {B3D3825B-2120-4B0E-8C45-80ECC1D3E70D} (GeraCert Class) - https://bradesconetempresa.com.br/ne/CA.cab
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399008} (GbPluginObj Class) - https://clickbanking.unibanco.com.br/GbPlugin/cab/GbPluginUni.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = www.arthi-server.com.br
O17 - HKLM\Software\..\Telephony: DomainName = www.arthi-server.com.br
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA357522-1074-4D09-85B8-5F535AA10B17}: NameServer = 192.168.10.10,192.168.10.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = www.arthi-server.com.br
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = www.arthi-server.com.br
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: GbPluginUni - C:\ARQUIV~1\GbPlugin\gbiehuni.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: CompIBBrd - {A3717295-941D-416F-9384-ED1736729F1C} - C:\Arquivos de programas\Scpad\scpLIB.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: IS Service (ISSVC) - Unknown owner - C:\Arquivos de programas\Symantec Client Security\Symantec Client Firewall\ISSVC.exe (file missing)
O23 - Service: McAfee Engine Service (McAfeeEngineService) - McAfee, Inc. - C:\Arquivos de programas\McAfee\VirusScan Enterprise\EngineServer.exe
O23 - Service: Serviço McAfee Framework (McAfeeFramework) - Unknown owner - C:\Arquivos de programas\McAfee\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Arquivos de programas\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Arquivos de programas\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\WINDOWS\system32\mfevtps.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: uvnc_service - Unknown owner - C:\Arquivos de programas\UltraVNC\WinVNC.exe" -service (file missing)

 

[Mr.Wolf]

O backdoor está realmente usando o serviço do Norton amigo Gustavo MPO.

Não sentiu nenhuma alteração no computador não? Talvez uma abertura nas portas do firewall?

Porém, o backdoor está desativado. Removê-lo seria a coisa mais fácil do mundo. Então pergunto amigo Gustavo MPO, quer ajuda para a remoção do código do backdoor no serviço do Norton?

 

[Rafael100%]

ola Mr.Wolf poderia me ajudar??

queria saber se vc tem um programa q faz backup dos meu drivers sem ser my drives e max drivers pq ja tentei e ñ entrou
a e para um K6 windows Milenium valew

 

[Rafael100%]

aguardo...

 

[Rafael100%]

a se possivel um craqueado por favor vlw
abraços

 

[Mr.Wolf]

ola Mr.Wolf poderia me ajudar??

queria saber se vc tem um programa q faz backup dos meu drivers sem ser my drives e max drivers pq ja tentei e ñ entrou
a e para um K6 windows Milenium valew

Rafael100%, no fórum é proibido assuntos sobre cracks, seriais, keygens e outra coisas deste tipo!

Existe o programa DriverBackup também. Mas o Driver Max para mim é melhor.

 

[Rafael100%]

a ta valew e desculpa por te falado sem pensar

 

[Rafael100%]

e sem ler as regras mal descupa mesmo

 

[Gustavo MPO]

Bem, esse micro é de outro funcionário, peguei para manutenção preventiva e realmente não vi nada de anormal.
O que me preocupa é que esse micro é de um dos que mexem com banco aqui, ou seja, muitas das operações bancárias da empresa passam por ele.
Sobre a ajuda, seria muito útil sim Mr. Wolf, apenas um detalhe, o Norton foi desinstalado da maquina a um bom tempo e atualmente esta o McAfee.
Não sei ao certo quem desinstalou o Norton daqui, mas ficaram ainda muitos arquivos e serviços como esse.
Pretendo remover por completo o Norton e todos os demais aplicativos da Symantec dessa maquina. Mesmo assim ainda tem algum risco do malware permanecer aqui?
Obrigado pela ajuda.

 

[Mr.Wolf]

Bem, esse micro é de outro funcionário, peguei para manutenção preventiva e realmente não vi nada de anormal.

É pelo fato do backdoor estar desativado Gustavo MPO. Creio eu que, este backdoor estava na máquina desde a época em que o Norton estava executando no sistema. Assim sendo, o Norton removido, talvez o backdoor foi desativado.

O que me preocupa é que esse micro é de um dos que mexem com banco aqui, ou seja, muitas das operações bancárias da empresa passam por ele.

Realmente, notei no log que há várias entradas de sites de bancos online. Depois verificaremos a presença de bankers aí.

Sobre a ajuda, seria muito útil sim Mr. Wolf, apenas um detalhe, o Norton foi desinstalado da maquina a um bom tempo e atualmente esta o McAfee.
Não sei ao certo quem desinstalou o Norton daqui, mas ficaram ainda muitos arquivos e serviços como esse.
Pretendo remover por completo o Norton e todos os demais aplicativos da Symantec dessa maquina. Mesmo assim ainda tem algum risco do malware permanecer aqui?
Obrigado pela ajuda.

Vi mesmo que a máquina está com o McAfee agora.

Amigo Gustavo MPO, como disse anteriormente, creio que o malware esteja aí desde a época do Norton. Então, talvez desinstalando todos os rastros do Norton, a infecção pode ir embora também. Pois como o malware está desativado, não está afetando a máquina e nem a comprometendo.

Vamos fazer um teste amigo Gustavo MPO.

Faça o download do Malwarebytes Anti-Malware:
http://www.besttechie.net/tools/mbam-setup.exe

- Faça a instalação dando um duplo clique em "mbam-setup.exe";
- Marque "Atualizar Malwarebytes Anti-Malware" e "Executar Malwarebytes Anti-Malware", e clique em concluir;
- Marque "Verificação Completa" e depois clique em Verificar. Selecione sua unidade C: e clique no botão Iniciar Verificação;
- Quando o scan terminar, clique em Ok e em "Mostrar Resultados" para ver o log;
- Se algo for detectado, veja se tudo está marcado e clique em "Remover";
- O log é automaticamente gravado e pode ser consultado clicando em "Logs" do menu principal;
- Copie e cole o conteúdo desse log na sua próxima resposta.

E também gere novo log do HijackThis e cole na sua resposta junto com o do Malwarebytes.