fui infectado por um bando de trojans !!

[ducoeduca 0]

aí galera.... aguém pode me ajudar ?? fui inventar de baixar um crack nakeles sites suspeitos do tipo cracs.am, e me dei mal... fui infectado por várias coisas..... possuo o avast 4.6 home instalado no micro, e o mesmo não pega muita coisa....

o trojan detonou o firewall do windows, mas já consegui habilitá-lo novamente....

depois disso passei a usar o Zone Alarme Free também...... e ele tah dizendo q tah fechando vários backdoors e que um zilhão de tentativas de invasão estão sendo bloqueados......

ele tinha instalado um tal de kl1.exe e tool2.exe no diretório do windows....

passei o kaspersky on-line, o house call on-line e o panda active scan......

vow postar abaixo o LOG do kaspersky e o LOG do HijackThis 1.99.1.....

 

agradeceria muito se vcs pudessem me ajudar a me livrar dessas pragas......

 

 

LOG DO KASPERSKY

 

Tuesday, February 28, 2006 11:19:16 AM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version: 5.0.78.0

Kaspersky Anti-Virus database last update: 28/02/2006

Kaspersky Anti-Virus database records: 179196

 

 

Scan Settings

Scan using the following antivirus database extended

Scan Archives true

Scan Mail Bases true

 

Scan Target My Computer

A:\

C:\

D:\

 

Scan Statistics

Total number of scanned objects 74268

Number of viruses found 8

Number of infected objects 20

Number of suspicious objects 0

Duration of the scan process 01:22:06

 

Infected Object Name Virus Name Last Action

C:\Arquivos de programas\EPSON\PrinterDriverTemp\SC82\lpbrmirc.zip/LPBRMIRC.exe/LPBRMIRC/LP[bR] Script.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.603 skipped

 

C:\Arquivos de programas\EPSON\PrinterDriverTemp\SC82\lpbrmirc.zip/LPBRMIRC.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.603 skipped

 

C:\Arquivos de programas\EPSON\PrinterDriverTemp\SC82\lpbrmirc.zip ZIP: infected - 2 skipped

 

C:\Bolinha\Mac.zip/Mac/FlyakiteOSX20v2.0.exe/stream/data3154 Infected: not-a-virus:NetTool.Win32.PsKill skipped

 

C:\Bolinha\Mac.zip/Mac/FlyakiteOSX20v2.0.exe/stream Infected: not-a-virus:NetTool.Win32.PsKill skipped

 

C:\Bolinha\Mac.zip/Mac/FlyakiteOSX20v2.0.exe Infected: not-a-virus:NetTool.Win32.PsKill skipped

 

C:\Bolinha\Mac.zip ZIP: infected - 3 skipped

 

C:\Documents and Settings\ducoeduca\.housecall\Quarantine\kl1.exe.bac_a04020 Infected: Trojan-Dropper.Win32.Small.amd skipped

 

C:\Documents and Settings\ducoeduca\Dados de aplicativos\Sun\Java\Deployment\cache\javapi\v1.0\file\omfg.class-4b4e04ec-140ef343.class Infected: Trojan-Downloader.Java.OpenStream.y skipped

 

C:\Sierra\Half-Life\hltv.exe Infected: not-a-virus:Server-Proxy.Win32.Hltv skipped

 

C:\System Volume Information\_restore{D28E59FD-167B-4B55-9C03-F3356FE9BD31}\RP246\A0082617.exe Infected: not-a-virus:NetTool.Win32.PsKill skipped

 

C:\System Volume Information\_restore{D28E59FD-167B-4B55-9C03-F3356FE9BD31}\RP249\A0082853.exe/stream/data3154 Infected: not-a-virus:NetTool.Win32.PsKill skipped

 

C:\System Volume Information\_restore{D28E59FD-167B-4B55-9C03-F3356FE9BD31}\RP249\A0082853.exe/stream Infected: not-a-virus:NetTool.Win32.PsKill skipped

 

C:\System Volume Information\_restore{D28E59FD-167B-4B55-9C03-F3356FE9BD31}\RP249\A0082853.exe NSIS: infected - 2 skipped

 

C:\System Volume Information\_restore{D28E59FD-167B-4B55-9C03-F3356FE9BD31}\RP266\A0084575.exe Infected: not-virus:Hoax.Win32.Renos.bm skipped

 

C:\System Volume Information\_restore{D28E59FD-167B-4B55-9C03-F3356FE9BD31}\RP266\A0084576.exe Infected: Trojan-Downloader.Win32.Small.ckj skipped

 

C:\System Volume Information\_restore{D28E59FD-167B-4B55-9C03-F3356FE9BD31}\RP266\A0084600.dll Infected: Trojan-Spy.Win32.Small.dg skipped

 

C:\System Volume Information\_restore{D28E59FD-167B-4B55-9C03-F3356FE9BD31}\RP266\A0084601.exe Infected: Trojan-Dropper.Win32.Small.amd skipped

 

C:\System Volume Information\_restore{D28E59FD-167B-4B55-9C03-F3356FE9BD31}\RP267\A0084604.exe Infected: Trojan-Dropper.Win32.Small.amd skipped

 

C:\System Volume Information\_restore{D28E59FD-167B-4B55-9C03-F3356FE9BD31}\RP267\A0084620.exe Infected: not-virus:Hoax.Win32.Renos.bm skipped

 

Scan process completed.

 

 

LOG DO HIJACKTHIS

 

Logfile of HijackThis v1.99.1

Scan saved at 11:35:42, on 28/2/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\LXSUPMON.EXE

C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe

C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe

C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\Hijackthis 1.99.1\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Arquivos de programas\GetRight\xx2gr.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Arquivos de programas\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\WINDOWS\Downloaded Program Files\gbiehabn.dll

O3 - Toolbar: (no name) - {4F869C58-D71D-4850-8BDD-7B5CDF8EC911} - (no file)

O3 - Toolbar: &Netcraft Toolbar - {D554D8FC-B36D-4BB4-93DB-4A3394D505E3} - C:\Arquivos de programas\Netcraft Toolbar\nctb.dll

O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN

O4 - HKLM\..\Run: [iSUSPM Startup] C:\ARQUIV~1\ARQUIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Arquivos de programas\Arquivos comuns\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Arquivos de programas\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [updateMgr] C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Abrir com o GetRight Browser - C:\ARQUIV~1\GetRight\GRbrowse.htm

O8 - Extra context menu item: Download com o GetRight - C:\ARQUIV~1\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_03\bin\npjpi150_03.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_03\bin\npjpi150_03.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {3C8B9651-4E3E-424D-B51C-54544ABF536B} (CAtmCap Object) - https://netbanking2.banespa.com.br/OCX/SecureControl2k.cab

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.gamehouse.com/games/mjolauncher.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugi...GbPluginSUD.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D36E0855-2D26-4D12-A437-9C65F81F8B03}: NameServer = 200.204.0.10 200.204.0.138

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[jgarcia 1]

Caro ducoeduca,

 

Não há entradas anormais em seu log. :thumbsup:

 

Abraços.

[ducoeduca 0]

olá JGarcia,valeu por ler os meus logs......sério que não tem nada ???é que quando passei o kaspersky on-line, ele acusou um monte de coisas, como um tal de kl1.exe e tool2.exe no diretório do windows como infectado, depois que clikei indevidamente num arquivo chamado crack.exe (baixado de uma página com códigos maliciosos).na hora o firewall do windows foi detonado, e o avast ficou apitando umas 10 x seguidas, dizendo que tal arquivo tava infectado, perguntando se queria a exclusão do mesmo.depois disso passei o kaspersky on-line e começou dizendo que tinha uns trojans infectando alguns arquivos....passei depois o panda active scan (não acusou nada) e passei o house call da trend micro (acusou e apagou algumas coisas).....passei o kaspersky novamente, o que originou o log anterior.......resolvi procurá-los, pois li vários relatos bem sucedidos de ajuda por parte de vcs !!!!o house call apagou (ou moveu pra quarentena) o kl1.exe... e eu apaguei na mão o tool2.exe (nem sei se poderia ter feito isso)........tinha uma suspeita de trojan num arquivo do java.........valeu pela ajuda..

[jgarcia 1]

sério que não tem nada ???

 

é que quando passei o kaspersky on-line, ele acusou um monte de coisas, como um tal de kl1.exe e tool2.exe no diretório do windows como infectado, depois que clikei indevidamente num arquivo chamado crack.exe (baixado de uma página com códigos maliciosos).

O HijackThis é muito bom, mas não é capaz de mostrar todos os problemas existentes no PC. Faz-se sempre necessária a execução de scans online para a remoção das pragas que passam desapercebidas pelo Hijack e demais ferramentas.

 

... e eu apaguei na mão o tool2.exe (nem sei se poderia ter feito isso)........

Ok. Você deveria apagá-lo sim.

 

Abraços.

[ducoeduca 0]

legal !!!valeu jgarcia... muito obrigado !!!! :joia: :thumbsup: :clap:

[jgarcia 1]

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto é necessário enviar uma Mensagem Privada para um Moderador com um link para o tópico.