[Resolvido!]Virus Trojan horse Generic3.RAZ

Robyson · Abril 11, 2007

Olá

Estou com um problema que não estou conseguindo resolver, preciso de ajuda.

Passei o AVG no dia 5 desse mês e encontrou um (Trojan horse Generic3.RAZ) que consta como Deletado

Vou postar o resultado do AVG detalhadamente;

C:\bootinfo\PCHEALTER.EXE (deetado)

C:\Documents and Settings\cliente\Configurações locais\tmp20022.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp28120.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp29801.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp30987.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp31592.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp32796.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp33461.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp34284.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp34285.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp35544.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp36299.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp36666.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp37190.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp39091.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp39092.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp40736.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp41067.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp42794.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp45183.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp46901.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp50024.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp50821.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp52262.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp55815.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp572.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp58095.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp58731.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp66513.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp69176.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp70621.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp70889.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp71294.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp71380.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp72398.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp83347.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\tmp85703.exe (deletado)

C:\Documents and Settings\cliente\Configurações locais\Temporary Internet Files\Content.IE5\IFYZAYEO\d[2].jpg (deletado)

C:\WINDOWS\PCHEALTER.EXE (deletado)

Pois cada vez que reinicio o Windows o AVG da alerta de 2 arquivos.

Veja a foto,

Há 2 avisos desse a cada vez que reinicio o Windows.

Meu pc ainda está infectado??

Logfile of HijackThis v1.99.1

Scan saved at 11:50:51, on 11/04/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe

C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe

C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe

C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe

C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\Arquivos de programas\Realtek\Rtl8180\RtlWake.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\Arquivos de programas\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\osk.exe

C:\WINDOWS\system32\MSSWCHX.EXE

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\Documents and Settings\cliente\Meus documentos\codecs\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://br.yahoo.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 58.61.147.11:8080

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\WINDOWS\System32\scpsssh2.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar2.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\gbieh.dll

O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\WINDOWS\Downloaded Program Files\gbiehCef.dll

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Arquivos de programas\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [avgnt] "C:\Arquivos de programas\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [winlsmss] C:\BOOTINFO\SMSS.EXE %1

O4 - Startup: Adobe Gamma.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: RtlWake.lnk = ?

O8 - Extra context menu item: &Download with &DAP - C:\ARQUIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARQUIV~1\DAP\dapextie2.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_11\bin\ssv.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1151107616046

O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://www.atrativa.com.br/yahoo/mjolauncher.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399003} (GbPluginObj Class) - https://imagem.caixa.gov.br/cab/GbPluginCef.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} (GbPluginObj Class) - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BE50CF48-236E-4EB1-BD86-2B5835129242}: NameServer = 200.180.112.1,200.180.112.60

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Arquivos de programas\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe

O23 - Service: NBService - Nero AG - C:\Arquivos de programas\Nero\Nero 7\Nero BackItUp\NBService.exe

DESDE JÁ MUITO OBRIGADO

Sam Spade · Abril 12, 2007

Olá Robyson! Baixe:

KillBox

ATF-Cleaner.

Salve ou imprima estas instruções, pois vai segui-las desconectado e sem acesso a esta página:

1 - Rode o KillBox, marque Delete on Reboot e coloque em Full Path of File to Delete:

C:\BOOTINFO\SMSS.EXE

Clique no botão . Responda Sim à pergunta.

Ao reiniciar o PC, aperte F8 intermitentemente. No menu escolha: modo seguro.

2 - Faça um scan com o HijackThis, marque a entrada abaixo, se ainda a encontrar e clique em

O4 - HKCU\..\Run: [winlsmss] C:\BOOTINFO\SMSS.EXE %1

3 - Rode o ATF-Cleaner.

Marque Select All. Depois clique em Empty Selected. Na janela Done Cleaning dê o OK e Exit.

4 - Reinicie em modo normal, faça um scan com o HijackThis e salve/poste o log. Informe se acabou o problema.

OBS: Use a fonte normal do fórum, pois a que usou antes dificulta a leitura do log.

.

Robyson · Abril 12, 2007

Obrigado Sam Spade

Parece que realmente o problema foi resolvido, você realmente é muito fera.

Quando crescer quero ser igual a você rsrsrsrs

Logfile of HijackThis v1.99.1

Scan saved at 20:23:19, on 12/04/2007