[Arquivado] Worm

[zicao 0]

Estava eu utilizando minha internet normalmente, não estava em site de putaria, nd...estava tentando entrar no site do yahoo por sinal, quando aparece aquela mensagem de contagem regressiva,e aparece o nome do arquivo lsass.exe(naum sei se eh com I ou L)..bom...beleza fui no CMD e digitei o shutdown -a, a mensagem desapareceu, só q com ela desapareceu, todas as contas de usuário do computador, não consigo acessar mais o msn, não consigo acessar o gmail, e eu naum tenho privilégios nem para desligar o micro,POR FAVOR TENTEI ENTRAR EM 1 milhão de sites para resolver, a única coisa q eu naum fiz foi o negócio do regedit, mas sou total leigo no assunto, se alguém puder me ajudar ai..será de grande ajuda..!!!Parece que o worm chama sasser, pois o blaster em um outro tópico acreditam que já saiu de circulação(acredito q isso naum exista), to passando meu anti-virus há 3 dias e 3 noites, só q ele eh mto lerdo e ainda não achou porcaria nenhuma..Alguém me ajuda??? Tem alguma solução além de baixar o stinger, f-lovsan??

[jgarcia 1]

Opa zicao,

 

Faça o seguinte:

 

Baixe o HijackThis versão 1.99.1.

 

Depois > Iniciar > Meu Computador > 02 cliques no C > Coloca o HijackThis no C (extraindo do zip --> para uma pasta própria tipo c:/Hijack).

 

Execute o Hijack a partir do C, fechando os demais programas (deixando somente a área de trabalho).

 

Clique em Do a system scan and save a logfile, mas não marque nada, apenas poste o log gerado aqui neste mesmo tópico.

 

Abraços.

[zicao 0]

Logfile of HijackThis v1.99.1

Scan saved at 12:45:07, on 22/4/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\cisvc.exe

C:\Arquivos de programas\NavNT\defwatch.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\WINDOWS\system32\ls4ss.exe

C:\Arquivos de programas\Arquivos comuns\MicrosoftShared\VS7Debug\mdm.exe

C:\Arquivos de programas\NavNT\rtvscan.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\locator.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\System32\MsgSys.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\carpserv.exe

C:\Arquivos de programas\NavNT\vptray.exe

C:\Arquivos de programas\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Windows ControlAd\WinCtlAd.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe

C:\Arquivos de programas\iTunes\iTunesHelper.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\WINDOWS\System32\mssvcc.exe

C:\Arquivos de programas\iPod\bin\iPodService.exe

C:\WINDOWS\System32\lup.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\system32\ls4ss.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

&http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://farejador.ig.com.br/ie/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

- C:\Arquivos de programas\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ssh2 Class - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} -

C:\WINDOWS\System32\scpsssh2.dll

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -

C:\Arquivos de programas\NewDotNet\newdotnet7_22.dll

O2 - BHO: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - (no file)

O2 - BHO: Dash Base Soap - {C1F63DFB-7F2A-75FF-E316-3A0C88283E90} - (no file)

O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\WINDOWS\Downloaded Program Files\gbiehabn.dll

O3 - Toolbar: &iG - {7EEF1E3D-FD97-4401-BCDB-5827F2D11709} - (no file)

O3 - Toolbar: LOGMAGSFUNK - {8B22B38B-2FDD-CA93-AA6F-256143C9E7F0} - (no file)

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Arquivos de programas\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [vptray] C:\Arquivos de programas\NavNT\vptray.exe

O4 - HKLM\..\Run: [Video Process] MSlti64.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Arquivos de programas\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Arquivos de programas\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32

C:\ARQUIV~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s

O4 - HKLM\..\Run: [iTunesHelper] "C:\Arquivos de programas\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [msconfig38] mssvcc.exe

O4 - HKLM\..\Run: [secures23] lup.exe

O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe

O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe

O4 - HKLM\..\RunServices: [secures23] lup.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [winconf4] C:\WINDOWS\system32\ls4ss.exe

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Arquivos de programas\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Arquivos de programas\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O9 - Extra button: Barra do iG - {FD1672E0-AE0D-465B-B345-F7B0944A121D}

- (no file)

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O12 - Plugin for .wav: C:\Arquivos de programas\Internet Explorer\PLUGINS\npqtplugin.dll

O14 - IERESET.INF:

SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft

SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab

O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script

Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...913daf1cd5520ef

42daeb8ad7fb957ad25436872874ea8238fc4:5d09d33a15a1722a6056772fcbfaa030

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...etup1.0.0.8.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) -

http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} (ssh2 Class) -

https://wwwss.bradesco.com.br/ib2k1/scpsssh2.cab

O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} -

http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab

O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} -

http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo

Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) -

https://wwws.realsecureweb.com.br/mpr/plugi...GbPluginABN.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) -

https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O16 - DPF: {E9790C6C-DCAA-4E4F-8048-FFEC3B62DFED} - http://67.18.204.35/activex/vogweb29.cab

O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Toolbar) -

http://us.dl1.yimg.com/download.companion....bio5_3_16_0.cab

O16 - DPF: {F1835D04-7CCF-489E-8184-C08A1F682169} - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {FCF289D4-0AC8-4ED8-BE31-E8AF09606AB5}

(download_35mb_com.applet) - http://download.35mb.com/images/downloadapplet.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{17658206-495F-4049-A1E5-B002DF74C4CB}: NameServer = 200.204.0.10 200.204.0.138

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O23 - Service: DefWatch - Symantec Corporation - C:\Arquivos de programas\NavNT\defwatch.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Arquivos de

programas\iPod\bin\iPodService.exe

O23 - Service: ls4ss - Unknown owner - C:\WINDOWS\system32\ls4ss.exe

O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe (file missing)

O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Arquivos de programas\NavNT\rtvscan.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exe

 

TAH NA mÂo

[jgarcia 1]

Caro zicao,

 

Vamos ao ataque.

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

Baixe o WinsockFix.

 

Em algumas ocasiões a remoção de NewDotNet provoca a perda de conexão à internet (talvez não ocorra com você).

 

Se, após desinstalar o NewDotNet, você perder a conexão, execute o WinsockFix.exe e então clique em Fix.

 

Desinstale:

--> NewDotNet

--> Windows ControlAd

 

Utilize Adicionar / Remover programas.

 

Desinstale, um a um, e reinicie após tê-los desinstalado.

 

OBS.: Caso não encontre algum(ns) do(s) programa(s) apenas passe para o próximo e/ou para a próxima etapa.

 

1ª Etapa

 

Baixe o Killbox em:

Killbox

 

Baixe, mas não execute ainda.

 

Baixe o SpySweeper em:

SpySweeper

 

Baixe e atualize, mas não execute ainda.

 

2ª Etapa

 

Faça o seguinte:

 

Iniciar -->Executar --> digite services.msc e dê OK.

 

Procure o serviço ls4ss.

 

Dê um clique direito nele e vá para Propriedades.

 

Clique em Parar e modifique o Tipo de Inicialização para Desativado.

 

1) Execute o Killbox, clique em Delete on Reboot.

 

2) Copie a lista abaixo em negrito para a área de transferência. Selecione --> Editar --> Copiar.

C:\Arquivos de programas\NewDotNet

C:\Program Files\Windows ControlAd

C:\WINDOWS\system32\ls4ss.exe

C:\WINDOWS\System32\mssvcc.exe

C:\WINDOWS\System32\lup.exe

C:\WINDOWS\System32\MSlti64.exe

3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files.

 

4. Aperte em "X". Responda "não" à pergunta.

 

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo de Seguro e a conexão à internet não será possível.

 

3ª Etapa

 

Reinicie o computador em Modo Seguro (após reiniciar aperte a tecla F8 até aparecer uma tela preta em DOS e escolha Modo Seguro).

 

Execute o HijackThis, clique em Open the Misc Tools section.

 

Clique em Delete an NT service.

 

Coloque:

ls4ss

 

Elimine o serviço.

 

Execute o HijackThis novamente, clique em Do a system scan only e marque:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -

C:\Arquivos de programas\NewDotNet\newdotnet7_22.dll

O2 - BHO: Dash Base Soap - {C1F63DFB-7F2A-75FF-E316-3A0C88283E90} - (no file)

O3 - Toolbar: LOGMAGSFUNK - {8B22B38B-2FDD-CA93-AA6F-256143C9E7F0} - (no file)

O4 - HKLM\..\Run: [Video Process] MSlti64.exe

O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32

C:\ARQUIV~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s

O4 - HKLM\..\Run: [msconfig38] mssvcc.exe

O4 - HKLM\..\Run: [secures23] lup.exe

O4 - HKLM\..\RunServices: [Video Process] MSlti64.exe

O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe

O4 - HKLM\..\RunServices: [secures23] lup.exe

O4 - HKCU\..\Run: [winconf4] C:\WINDOWS\system32\ls4ss.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...913daf1cd5520ef

42daeb8ad7fb957ad25436872874ea8238fc4:5d09d33a15a1722a6056772fcbfaa030

O16 - DPF: {E9790C6C-DCAA-4E4F-8048-FFEC3B62DFED} - http://67.18.204.35/activex/vogweb29.cab

O16 - DPF: {FCF289D4-0AC8-4ED8-BE31-E8AF09606AB5}

(download_35mb_com.applet) - http://download.35mb.com/images/downloadapplet.cab

O23 - Service: ls4ss - Unknown owner - C:\WINDOWS\system32\ls4ss.exe

Clique em Fix Checked.

 

4ª Etapa

 

Ainda em Modo Seguro faça o seguinte:

 

1) Execute uma verificação completa com o SpySweeper.

 

5ª Etapa

 

Reinicie em modo normal.

 

Poste o novo log do HijackThis.

 

Aguardo retorno.

 

Um abraço.

[Shine 0]

TÓPICO ARQUIVADO

 

Como o autor não respondeu por mais de 20 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada

para um moderador da área juntamente com o link para este tópico e explique

o motivo da reabertura.