[Resolvido!]Micro com trojans horses, spywares...

abritney · Novembro 17, 2005

Olá a todos os usuários, desculpe pelo incomodo, mas se alguem puder me ajudar ficarei grata. Meu computador estava cheio de trojans horses, spywares entre outros, eu resolvi fazer uma limpeza manual mesmo, até que consegui, tirei os que achava mais graves entre eles o StartPage, mas após fazer essa limpeza tudo ficou funcionando normalmente, quase tudo na verdade, pois alguns sites como por exemplo o yahoo, dá um erro, ele mal abre a pagina inicial, e quando acesso algum link do mesmo da erro de servidos, se alguem souber o que fiz de errado por favor me avise, segue abaixo meu log após limpeza:

Logfile of HijackThis v1.99.1

Scan saved at 15:01:50, on 17/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\RunDll32.exe

C:\WINDOWS\System32\pctspk.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Arquivos de programas\mobile PhoneTools\WatchDog.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Arquivos de programas\Morpheus\Morpheus.exe

C:\Arquivos de programas\HP\hpcoretech\comp\hptskmgr.exe

C:\ARQUIV~1\INCRED~1\bin\IMAPP.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\DOCUME~1\JGA\CONFIG~1\Temp\Rar$EX00.609\HijackThis.exe

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = NOT USED (OK)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WatchDog] C:\Arquivos de programas\mobile PhoneTools\WatchDog.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [incrediMail] C:\Arquivos de programas\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [HijackThis startup scan] C:\DOCUME~1\JGA\CONFIG~1\Temp\Rar$EX58.062\HijackThis.exe /startupscan

O4 - Startup: Reboot.exe

O4 - Startup: Morpheus.lnk = C:\Arquivos de programas\Morpheus\Morpheus.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Pesquisa do Google - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traduzir palavra em inglês - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Instantâneo da página em cache - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Links para esta página - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Páginas semelhantes - res://C:\Arquivos de programas\Google\GoogleToolbar1.dll/cmsimilar.html

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O15 - Trusted Zone: *.searchmeup.com

O16 - DPF: {4FDF3696-5078-4952-868C-CEEB9683B8C4} (DownloadFile Control) - http://192.168.50.40/cab/DownloadFile.cab

O16 - DPF: {7D30109B-DD2B-4339-BE80-1CD48723C2BC} (LiveX(v6.0.1.0)) - http://192.168.50.40/cab/Live.cab

O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://192.168.50.40/cab/msrdp.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1EB392CD-C945-4648-8985-818D2D59C38C}: NameServer = 201.10.128.2,201.10.120.2

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

Agradeço desde já a tenção. :blush:

jgarcia · Novembro 17, 2005

Cara abritney,

Habilite o Windows para mostrar todos os arquivos (até ocultos).

1ª Etapa

Baixe o Deldomains em:

Deldomains

Baixe e salve o Deldomains.inf em seu desktop, mas não execute ainda.

Baixe o CWShredder em:

CWShredder

Baixe, mas não execute ainda.

Baixe o SpySweeper em:

SpySweeper

Baixe e atualize, mas não execute ainda.

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima estapa entraremos em Modo de Seguro e a conexão à internet não será possível.

2ª Etapa

Reinicie o computador em Modo Seguro (ao reiniciar fique apertando a tecla F8 até aparecer uma tela preta em DOS e escolha Modo Seguro).

Execute o HijackThis, clique em Do a system scan only e marque:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = NOT USED (OK)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = NOT USED (OK)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = NOT USED (OK)

R3 - URLSearchHook: (no name) - - (no file)

O4 - Startup: Reboot.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O16 - DPF: {4FDF3696-5078-4952-868C-CEEB9683B8C4} (DownloadFile Control) - http://192.168.50.40/cab/DownloadFile.cab

O16 - DPF: {7D30109B-DD2B-4339-BE80-1CD48723C2BC} (LiveX(v6.0.1.0)) - http://192.168.50.40/cab/Live.cab

O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://192.168.50.40/cab/msrdp.cab

Clique em Fix Checked.

3ª Etapa

Ainda em Modo Seguro faça o seguinte:

1) Execute o Deldomains:

Dê um clique-direito no arquivo deldomains.inf e então clique em Instalar. Executar o arquivo diretamente não funciona.

2) Execute o CWShredder;

3) Execute uma verificação completa com o SpySweeper.

4ª Etapa

Reinicie em modo normal.

Poste o novo log do Hijack.

Um abraço.

abritney · Novembro 18, 2005

Muito obrigada JGARCIA, vou seguir direitinho o que você me passou, e logo em seguida mostro o log do resultado.Abraço, Obrigada mais uma vez e desculpe me pelo incomodo.

jgarcia · Novembro 18, 2005

Muito obrigada JGARCIA, vou seguir direitinho o que você me passou, e logo em seguida mostro o log do resultado.

Abraço, Obrigada mais uma vez e desculpe me pelo incomodo.

De nada. É um prazer ajudá-la. :thumbsup:

Aguardo retorno. ;)

Abraços.

abritney · Novembro 18, 2005

Boa tarde a todos. Jgarcia eu fiz tudo como você disse para fazer e o resultado segue abaixo:Logfile of HijackThis v1.99.1Scan saved at 12:54:30, on 18/11/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exeC:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exeC:\WINDOWS\System32\RunDll32.exeC:\WINDOWS\System32\pctspk.exeC:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exeC:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exeC:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exeC:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exeC:\Arquivos de programas\mobile PhoneTools\WatchDog.exeC:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exeC:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exeC:\Arquivos de programas\HP\hpcoretech\comp\hptskmgr.exeC:\WINDOWS\System32\ctfmon.exeC:\DOCUME~1\JGA\CONFIG~1\Temp\Rar$EX00.609\HijackThis.exeC:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exeC:\Arquivos de programas\Morpheus\Morpheus.exeC:\ARQUIV~1\INCRED~1\bin\IMAPP.EXEO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar1.dllO3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [systemTray] SysTray.ExeO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgentOlha muito obrigada pela força viu, mesmo que ainda tenha algum problema, só de você ter me ajudado, me dado apóio já foi o suficiente. :P Abraços abritney.

jgarcia · Novembro 18, 2005

Cara abritney,

O log parece incompleto. Execute o Hijack em Modo Normal e poste um novo log.

Aguardo retorno.

Abraços.

abritney · Novembro 18, 2005

Desculpa jgarcia, realmente, eu nem tinha percebido, segue abaixo o log completo, e desculpa meu descuido. :blush:

Abraços.

Logfile of HijackThis v1.99.1

Scan saved at 12:54:30, on 18/11/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\System32\RunDll32.exe

C:\WINDOWS\System32\pctspk.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe

C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Arquivos de programas\mobile PhoneTools\WatchDog.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Arquivos de programas\HP\hpcoretech\comp\hptskmgr.exe

C:\WINDOWS\System32\ctfmon.exe

C:\DOCUME~1\JGA\CONFIG~1\Temp\Rar$EX00.609\HijackThis.exe

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe