Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

kopk27

[Arquivado] Analizem meu log plis

Recommended Posts

Tem um tal de IRC trojan que meu norton detecto so que naum consegue reparar, local de origem e o Disco C e ta com nome de best.exe só que naum consigo achar ele no meu pc.. me ajudem..

Rodei o hijackthis e ele apresentou esse log...

Outros foruns ja me falaram que o log ta incompleto so que é o que aparece aqui..

 

Logfile of HijackThis v1.99.1

Scan saved at 19:16:59, on 25/6/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

(Unable to list running processes)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://m.busca.uol.com.br/ie/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://farejador.ig.com.br/ie/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080

R3 - URLSearchHook: CUOLSearchHook Object - {1FE8243E-0A3A-41B9-B9CE-EFFEE51974D3} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE

O1 - Hosts: 127.0.0.3 www.onedayoffer.biz

O1 - Hosts: 127.0.0.3 onedayoffer.biz

O1 - Hosts: 127.0.0.3 callmachine.net

O1 - Hosts: 127.0.0.3 www.callmachine.net

O1 - Hosts: 127.0.0.3 reportbucks.com

O1 - Hosts: 127.0.0.3 www.reportbucks.com

O1 - Hosts: 127.0.0.3 isuckall.com

O1 - Hosts: 127.0.0.3 www.isuckall.com

O1 - Hosts: 127.0.0.3 wbdialer.biz

O1 - Hosts: 127.0.0.3 www.wbdialer.biz

O1 - Hosts: 127.0.0.3 alphadialer.com

O1 - Hosts: 127.0.0.3 www.alphadialer.com

O1 - Hosts: 127.0.0.3 it.online-more.com

O1 - Hosts: 127.0.0.3 www.it.online-more.com

O1 - Hosts: 127.0.0.3 statscash.net

O1 - Hosts: 127.0.0.3 www.statscash.net

O1 - Hosts: 127.0.0.3 85.255.113.242

O1 - Hosts: 127.0.0.3 takeyourbucks.com

O1 - Hosts: 127.0.0.3 www.takeyourbucks.com

O1 - Hosts: 127.0.0.3 195.225.176.25

O1 - Hosts: 127.0.0.3 iframebiz.biz

O1 - Hosts: 127.0.0.3 iframeurl.biz

O1 - Hosts: 127.0.0.3 iframesite.biz

O1 - Hosts: 127.0.0.3 toolbarbiz.biz

O1 - Hosts: 127.0.0.3 toolbarsite.biz

O1 - Hosts: 127.0.0.3 toolbarurl.biz

O1 - Hosts: 127.0.0.3 toolbartraff.biz

O1 - Hosts: 127.0.0.3 buytoolbar.biz

O1 - Hosts: 127.0.0.3 www.iframebiz.biz

O1 - Hosts: 127.0.0.3 www.iframeurl.biz

O1 - Hosts: 127.0.0.3 www.iframesite.biz

O1 - Hosts: 127.0.0.3 www.toolbarbiz.biz

O1 - Hosts: 127.0.0.3 www.toolbarsite.biz

O1 - Hosts: 127.0.0.3 www.toolbarurl.biz

O1 - Hosts: 127.0.0.3 www.toolbartraff.biz

O1 - Hosts: 127.0.0.3 www.buytoolbar.biz

O1 - Hosts: 127.0.0.3 81.9.5.9

O1 - Hosts: 127.0.0.3 procounter.biz

O1 - Hosts: 127.0.0.3 www.procounter.biz

O1 - Hosts: 127.0.0.3 advadmin.biz

O1 - Hosts: 127.0.0.3 www.advadmin.biz

O1 - Hosts: 127.0.0.3 trafficbest.net

O1 - Hosts: 127.0.0.3 www.trafficbest.net

O1 - Hosts: 127.0.0.3 www.vparivalka.com

O1 - Hosts: 127.0.0.3 iframeprofit.com

O1 - Hosts: 127.0.0.3 www.iframeprofit.com

O1 - Hosts: 127.0.0.3 topsearch10.com

O1 - Hosts: 127.0.0.3 www.topsearch10.com

O1 - Hosts: 127.0.0.3 statscash.biz

O1 - Hosts: 127.0.0.3 www.statscash.biz

O1 - Hosts: 127.0.0.3 vxiframe.biz

O1 - Hosts: 127.0.0.3 www.vxiframe.biz

O1 - Hosts: 127.0.0.3 crazy-toolbar.com

O1 - Hosts: 127.0.0.3 www.crazy-toolbar.com

O1 - Hosts: 127.0.0.3 topcash.biz

O1 - Hosts: 127.0.0.3 www.topcash.biz

O1 - Hosts: 127.0.0.3 loadcash.biz

O1 - Hosts: 127.0.0.3 www.loadcash.biz

O1 - Hosts: 127.0.0.3 txiframe.biz

O1 - Hosts: 127.0.0.3 www.txiframe.biz

O1 - Hosts: 127.0.0.3 besthvac.com

O1 - Hosts: 127.0.0.3 www.besthvac.com

O1 - Hosts: 127.0.0.3 traff4.com

O1 - Hosts: 127.0.0.3 www.traff4.com

O1 - Hosts: 127.0.0.3 ----host.org

O1 - Hosts: 127.0.0.3 www.----host.org

O1 - Hosts: 127.0.0.3 www.sarc.com

O1 - Hosts: 127.0.0.3 ad.doubleclick.net

O1 - Hosts: 127.0.0.3 ad.fastclick.net

O1 - Hosts: 127.0.0.3 ads.fastclick.net

O1 - Hosts: 127.0.0.3 ar.atwola.com

O1 - Hosts: 127.0.0.3 atdmt.com

O1 - Hosts: 127.0.0.3 awaps.net

O1 - Hosts: 127.0.0.3 banner.fastclick.net

O1 - Hosts: 127.0.0.3 banners.fastclick.net

O1 - Hosts: 127.0.0.3 click.atdmt.com

O1 - Hosts: 127.0.0.3 clicks.atdmt.com

O1 - Hosts: 127.0.0.3 engine.awaps.net

O1 - Hosts: 127.0.0.3 fastclick.net

O1 - Hosts: 127.0.0.3 media.fastclick.net

O1 - Hosts: 127.0.0.3 spd.atdmt.com

O1 - Hosts: 127.0.0.3 www.fastclick.net

O1 - Hosts: 127.0.0.3 www.viruslist.ru

O1 - Hosts: 127.0.0.3 lycee.explode.ru

O1 - Hosts: 127.0.0.3 www.lycee.explode.ru

O2 - BHO: IE_PopupBlocker Class - {656EC4B7-072B-4698-B504-2A414C1F0037} - C:\Arquivos de programas\Acelerador Propel Edição iG\prpl_IePopupBlocker.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Arquivos de programas\DAP\DAPIEBar.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [soundMan] soundman.exe

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [iMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe

O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\ARQUIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c29 -w44

O4 - HKLM\..\Run: [Atualizador - Puxa Rápido] C:\Arquivos de programas\Puxa Rápido\Atualiza.exe

O4 - HKLM\..\Run: [DownloadAccelerator] C:\ARQUIV~1\DAP\DAP.EXE /STARTUP

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O8 - Extra context menu item: Atualizar Imagem com Qualidade Total - C:\Arquivos de programas\Acelerador Propel Edição iG\pac-image.html

O8 - Extra context menu item: Atualizar Página com Qualidade Total - C:\Arquivos de programas\Acelerador Propel Edição iG\pac-page.html

O8 - Extra context menu item: Autorizar pop-ups deste site - C:\Arquivos de programas\Acelerador Propel Edição iG\pac-addwl.html

O8 - Extra context menu item: Download &all with DAP - C:\ARQUIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARQUIV~1\DAP\DAP.EXE

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\MSMSGS.EXE

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab

O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab

O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl29bd.cab

O16 - DPF: {36C417C6-13C6-448B-9784-DD73A93B0582} (McAfee.com Download+Installer Class) - http://bin.mcafee.com/molbin/shared/mcinsc...83/mcinsctl.cab

O16 - DPF: {43331111-1111-1111-1111-611111195622} - http://www.www2.p0rt2.com/files/MirarSetup-875498.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/mcgdmg...,20/mcgdmgr.cab

O16 - DPF: {D9CE2963-8547-4C18-A4CE-DA27278310D8} (Instalador Remoto UOL) - http://download.uol.com.br/discadorUOL/lig...tiveInstall.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8ADF43CD-AA8B-4267-A05B-30CC199A505A}: NameServer = 200.204.0.138 200.204.0.10

O17 - HKLM\System\CS1\Services\Tcpip\..\{8ADF43CD-AA8B-4267-A05B-30CC199A505A}: NameServer = 200.204.0.138 200.204.0.10

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARQUIV~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

O23 - Service: Serviço do Auto-Protect do Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ARQUIV~1\NORTON~1\NORTON~1\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Arquivos de programas\Norton SystemWorks\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARQUIV~1\ARQUIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARQUIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

NAUM APARECE MAIS DO QUE ISSO...

Compartilhar este post


Link para o post
Compartilhar em outros sites

Opa kopk27,

 

Vamos lá.

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

1ª Etapa

 

Baixe o Hoster em:

Hoster

 

Execute o Hoster, por meio do arquivo hoster.exe, clique em Restore Original Hosts e aperte em OK. Depois disso, finalize o programa.

 

Baixe o Killbox em:

Killbox

 

Execute o KillBox:

1) Selecione Delete on reboot;

 

2) Copie a lista abaixo em negrito para a área de transferência. Selecione --> Editar --> Copiar:

C:\WINDOWS\system32\itunesff.exe

C:\WINDOWS\System32\vbsys2.dll

C:\WINDOWS\SERVICES.EXE

3) Retorne ao Killbox. Clique em File --> Paste from clipboard --> All files;

 

4) Aperte em "X". Responda "não" à pergunta.

 

É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo Seguro e a conexão à internet não será possível.

 

2ª Etapa

 

Reinicie o computador em Modo Seguro (após reiniciar aperte a tecla F8 até aparecer uma tela preta em DOS e escolha Modo Seguro).

 

Execute o HijackThis, clique em Do a system scan only e marque:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE

O4 - HKLM\..\Run: [itunesff] C:\WINDOWS\system32\itunesff.exe -go -c29 -w44

O16 - DPF: {33331111-1111-1111-1111-611111193423} - http://www.www2.p0rt2.com/files/777.cab

O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab

O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl29bd.cab

O16 - DPF: {43331111-1111-1111-1111-611111195622} - http://www.www2.p0rt2.com/files/MirarSetup-875498.cab

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll

Clique em Fix Checked.

 

3ª Etapa

 

Reinicie em modo normal.

 

Poste um novo log do HijackThis.

 

Abraços.

Compartilhar este post


Link para o post
Compartilhar em outros sites

TÓPICO ARQUIVADO

 

Como o autor não respondeu por mais de 20 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada

para um moderador da área juntamente com o link para este tópico e explique

o motivo da reabertura.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.