[Arquivado] Secure32.html

[jgarcia 1]

Caro magalhaesrj,

 

O Look2Me permanece na máquina e há outro trojan também. Vou partir para outra estratégia. ;)

 

Vai ser trabalhoso, mas não existe outro jeito.

 

C:\Documents and Settings\Administrator\Desktop\HijackThis.exe <-- Não

 

Atenção --> Coloque o HijackThis em uma pasta própria, por exemplo: C:\HTJ\HijackThis.exe. Faça isto antes de utilizá-lo para fixar entradas ruins.

 

1ª Etapa

 

Baixe o smitRem.exe em:

smitRem

 

Salve-o em sua área de trabalho.

 

Rode o smitRem.exe e clique em Start. Ele vai criar uma pasta na área de trabalho chamada smitRem. Não execute ainda.

 

Baixe o Ewido em:

Ewido

 

* Selecione "English" como idioma para a instalação;

* Clique em Next --> I Agree --> Next --> Next. Desmarque a caixa Install background guard e clique em Install e depois Finish;

* Na janela principal do Ewido clique em Actualizar no menu esquerdo e então clique em Iniciar actualização;

* Quando a atualização terminar, você verá a mensagem Actualizado com sucesso no canto inferior esquerdo;

* Pronto, mas não o execute ainda.

 

2ª Etapa

 

Faça o seguinte:

 

Iniciar -->Executar --> digite services.msc e dê OK.

 

Procure o serviço ieblrckpsmas ou MsUpdate6.

 

Dê um clique direito nele e vá para Propriedades.

 

Clique em Parar e modifique o Tipo de Inicialização para Desativado.

 

1. Execute o Killbox, clique em Delete on Reboot.

 

2. Copie a lista abaixo em negrito para a área de transferência. Selecione --> Editar --> Copiar.

C:\WINNT\system32\mvlql9351.dll

C:\WINNT\system32\msupd6.exe

3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.

 

4. Aperte em "X". Responda "não" à pergunta.

 

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo de Seguro e a conexão à internet não será possível.

 

3ª Etapa

 

Reinicie o computador em Modo Seguro.

 

Execute o HijackThis, clique em Open the Misc Tools section.

 

Clique em Delete an NT service.

 

Coloque:

ieblrckpsmas ou MsUpdate6

 

Elimine o serviço.

 

Execute o HijackThis, clique em Do a system scan only e marque:

O2 - BHO: (no name) - {095B0124-84B6-4B66-B339-D99CEAF7780E} - (no file)

O2 - BHO: (no name) - {6FFBE86C-3BEA-5289-E43F-662126D90D84} - (no file)

O2 - BHO: (no name) - {77BF5339-C3D8-78C2-64BB-FFA438C04103} - (no file)

O2 - BHO: (no name) - {7807B77E-8EAD-B3C8-6165-C1D441DD994E} - (no file)

O2 - BHO: (no name) - {BFC92FA2-0CB2-581A-7035-0ED289C1F1CE} - (no file)

O2 - BHO: (no name) - {D0EF6BE8-048C-E346-5CC5-30BEA0AB3CE6} - (no file)

O20 - Winlogon Notify: App Paths - C:\WINNT\system32\mvlql9351.dll (file missing)

O20 - Winlogon Notify: Welcome - C:\WINNT\

O23 - Service: ieblrckpsmas (MsUpdate6) - Unknown owner - C:\WINNT\system32\msupd6.exe (file missing)

Clique em Fix Checked.

 

4ª Etapa

 

Ainda em Modo Seguro faça o seguinte:

 

1) Entre na pasta smitRem que deve estar na sua área de trabalho e rode o RunThis.bat. Pode levar algum tempo. Seja paciente.

 

2) Execute uma verificação completa com o Ewido.

 

* Abra o Ewido e clique em Verificar --> Verificação Completa do Sistema;

* O Ewido detecta alguns programas legítimos, portanto não marque a caixa que diz Executar a ação em todas as infecções. Se o Ewido encontrar um arquivo que você acredita ser legítimo, escolha a opção "Nenhuma" e clique em OK. Caso contrário, deixe em Remover e clique em OK.

* Quando o Ewido terminar, feche-o.

 

3) Execute uma nova verificação completa com o SpySweeper. Após identificadas as pragas, marque as caixas relativas às infecções e clique em Remove.

 

4) Execute o Look2Me novamente.

 

5ª Etapa

 

Reincie em Modo Normal.

 

Execute o Scan Online da TrendMicro (marque a opção Autoclean).

 

Retorne com os resultados e um novo log do HijackThis.

 

Abraços.

[magalhaesrj 0]

Olha eu aqui novamente rs

Eu não consegui fazer o sacan onlien do link que me indicou, apareceu a seguinte tela:

 

 

Segue o log do HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 3:22:12 PM, on 1/26/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\msdtc.exe

C:\Program Files\NavNT\defwatch.exe

C:\WINNT\system32\Dfssvc.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINNT\System32\ismserv.exe

C:\WINNT\System32\llssrv.exe

C:\Program Files\Symantec\Ghost\ngserver.exe

C:\Program Files\NavNT\rtvscan.exe

C:\WINNT\system32\ntfrs.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\System32\locator.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\wins.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\dns.exe

C:\WINNT\System32\inetsrv\inetinfo.exe

C:\WINNT\system32\MsgSys.EXE

C:\WINNT\Explorer.EXE

C:\WINNT\system32\PV92Tray.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\NavNT\vptray.exe

C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9BL.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Plaxo\2.6.2.7\PlaxoHelper.exe

C:\Program Files\Symantec\Ghost\bin\dbserv.exe

C:\Program Files\Symantec\Ghost\bin\rteng7.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~e5d141.tmp

C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~e5d141.tmp

C:\Program Files\Velox\Discador\discador.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Microsoft Office\Office10\EXCEL.EXE

C:\HTJ\HijackThis.exe

C:\Program Files\Adobe\Photoshop CS\Photoshop.exe

 

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {095B0124-84B6-4B66-B339-D99CEAF7780E} - (no file)

O2 - BHO: (no name) - {6FFBE86C-3BEA-5289-E43F-662126D90D84} - (no file)

O2 - BHO: (no name) - {77BF5339-C3D8-78C2-64BB-FFA438C04103} - (no file)

O2 - BHO: (no name) - {7807B77E-8EAD-B3C8-6165-C1D441DD994E} - (no file)

O2 - BHO: (no name) - {BFC92FA2-0CB2-581A-7035-0ED289C1F1CE} - (no file)

O2 - BHO: (no name) - {D0EF6BE8-048C-E346-5CC5-30BEA0AB3CE6} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe

O4 - HKLM\..\Run: [NGServer] C:\Program Files\Symantec\Ghost\ngserver.exe

O4 - HKLM\..\Run: [ink Monitor] C:\Program Files\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [EPSON Stylus CX3500 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9BL.EXE /P26 "EPSON Stylus CX3500 Series" /O6 "USB001" /M "Stylus CX3500"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [spySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKCU\..\Run: [PlaxoUpdate] C:\Program Files\Plaxo\2.6.2.7\PlaxoHelper.exe -a

O4 - Startup: Adobe Gamma.lnk = Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) - https://wwwss.bradesco.com.br/ib2k1/scpsssh2.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1127329941641

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1127330451424

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = tdweb.com.br

O17 - HKLM\System\CCS\Services\Tcpip\..\{59054060-0BE8-47BD-BC7E-69D4003D1D4F}: NameServer = 200.149.55.142 200.165.132.155

O17 - HKLM\System\CCS\Services\Tcpip\..\{D6458284-B3FA-4DC4-8825-8304B81F468A}: NameServer = 192.168.0.1

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = tdweb.com.br

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = tdweb.com.br

O21 - SSODL: UPnPMonitor - {1B890729-821B-5E83-7743-61486334561C} - C:\WINNT\help\S3Gm2WST.hlp

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec Corporation - C:\Program Files\Symantec\Ghost\bin\dbserv.exe

O23 - Service: Symantec Ghost Configuration Server (NGServer) - Symantec Corporation - C:\Program Files\Symantec\Ghost\ngserver.exe

O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

[jgarcia 1]

Caro magalhaesrj,

 

Falta pouquíssimo agora.

 

Reinicie em Modo Seguro.

 

Vá em Iniciar --> Executar --> digite regedit --> dê Ok --> Editar --> Localizar.

 

Coloque:

{095B0124-84B6-4B66-B339-D99CEAF7780E}

Localize. Caso encontre alguma subchave com este valor delete-a. Pressione em Localizar próxima até que não encontre mais nenhuma subchave com este valor.

 

Repita a operação para:

{6FFBE86C-3BEA-5289-E43F-662126D90D84}

{77BF5339-C3D8-78C2-64BB-FFA438C04103}

{7807B77E-8EAD-B3C8-6165-C1D441DD994E}

{BFC92FA2-0CB2-581A-7035-0ED289C1F1CE}

{D0EF6BE8-048C-E346-5CC5-30BEA0AB3CE6}

Retorne com um novo log.

 

Abraços.

[Shine 0]

TÓPICO ARQUIVADO

 

Como o autor não respondeu por mais de 20 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.