[Resolvido] Spyware!!!

[Rick Chaves 0]

jgarcia, vi q você foi muito atencioso ao ajudar o ThOnY, sou novo nesse forum, acabei de achar, na procura de ajuda contra esses spyware q nao sao de Deus...

 

Por favor, preciso de ajuda mesmo...

 

Como aconteceu: Bom, estava eu fazendo upload de uma html no cjb.net (nao sabia como eles estavam) e sempre pipocavam umas janelas q eu sempre fechavam, no ultimo dia 10 no entanto as coisas ficaram muito estranhas, a minha pagina inicial foi modificada, e umas pop ups comecaram a abrir sem + nem -, dai o windows disse (atraves de um icone vermelho ao lado do relogio) q meu firewall estava desativado (sendo q eu nunca desativei) e meu computador estava infectado... Em um certo momento, ja quase impossivelde navegar por causa das insistentes pop ups, fui automaticamente desconectado (uso dial up) e o modem comecou a discar para um numero bem grande, como sei q era chamada, provavelmente, internacional desconectei o cabo da linha da tomada.

 

Depois comecei a fuçar aonde os programas estavam, achei alguns, deletei, baixei o spybot, ele achou mais, apagou, mas nao resolveu. Por ultimo, ja bem impaciente, procurei tudo q eu achava suspeito e deletei, depois nao consegui mais entrar no windows XP (era esperado...) pois um, ou uns, arquivos estavam faltando, como tenho o win 98 nessa maquina tb, usei ele pra achar ajuda especializada, ja q meu conhecimento nessa area se demonstrou ineficaz... huahauha... Bom, ja estava pronto pra detonar e formatar tudo, quando tive a feliz ideiad e tentar iniciar o xp em modo seguro, funcionou, entao mandei ele restaurar o sistema pro dia 9 desse mes, agora, parece, que tudo esta de volta ao normal, mas como sei q esses bichinhos sao bem chatos, gostaria de sua ajuda (ou da ajuda de quem puder me ajudar) pra me certificar que tudo esta resolvido...

 

Nao consegui usar o Scan Online da TrendMicro, disse q o explorer executou uma acao ilegal e iria fechar... O Firewall perguntou se eu queria desbloquear o IE, mas na atual situacao eu preferi nao... hehehe

 

O Scan do HijackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 14:19:15, on 12/2/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\system32\spoolsv.exe

E:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

E:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

E:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe

C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe

E:\WINDOWS\system32\slserv.exe

E:\WINDOWS\system32\svchost.exe

C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

E:\WINDOWS\SOUNDMAN.EXE

E:\Arquivos de programas\Ahead\InCD\InCD.exe

E:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

E:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

E:\WINDOWS\wt\updater\wcmdmgr.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Arquivos de programas\MSN Messenger\msnmsgr.exe

E:\Arquivos de programas\Messenger\msmsgs.exe

E:\WINDOWS\slrundll.exe

E:\WINDOWS\system32\notepad.exe

E:\Arquivos de programas\Internet Explorer\iexplore.exe

E:\Documents and Settings\Windows XP\Meus documentos\Instaladores\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com.br/0SEPTBR/SAOS01

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - E:\Arquivos de programas\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Arquivos de programas\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - E:\Arquivos de programas\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\pt-br\msntb.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\ARQUIV~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [inCD] E:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [AVG7_CC] E:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] E:\Arquivos de programas\Corel\Corel Graphics 12\Languages\BR\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=022206 serial=DR12WEX-1504397-KTY lang=BP

O4 - HKLM\..\Run: [wcmdmgr] E:\WINDOWS\wt\updater\wcmdmgrl.exe -launch

O4 - HKLM\..\Run: [TkBellExe] "E:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "E:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "E:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [MSMSGS] "E:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = E:\Arquivos de programas\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Download All by FlashGet - E:\ARQUIV~1\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - E:\ARQUIV~1\FlashGet\jc_link.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\ARQUIV~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\ARQUIV~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Arquivos de programas\Messenger\msmsgs.exe

O12 - Plugin for .spop: E:\Arquivos de programas\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C753093A-6016-49A9-A329-7BD5035412B5}: NameServer = 201.10.120.3 201.10.1.2

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - E:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - E:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)

O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: Macromedia Licensing Service - Macromedia - E:\Arquivos de programas\Arquivos comuns\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: SmartLinkService (SLService) - - E:\WINDOWS\SYSTEM32\slserv.exe

 

 

Valeu mesmo!!! Abracao,

 

Rick

[jgarcia 1]

Caro Rick Chaves,

 

Não há entradas anormais em seu log.

 

Caso os problemas tornem a incomodar é só postar aqui. ;)

 

Abraços.

[Rick Chaves 0]

Cara, muito obrigado mesmo!!!!Estou bem mais tranquilo com a sua resposta... espero manter contato contigo caso entre no MSN qq hora... Um grande abraco,Rick

[jgarcia 1]

... espero manter contato contigo caso entre no MSN qq hora...

Sem problemas. :thumbsup:

[Shine 0]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto é necessário enviar uma Mensagem Privada para um Moderador com um link para o tópico.