Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Daniel Couto

[Resolvido!]Alguem analize meu log

Por , em Tópicos Resolvidos (Seguranca & Malwares)

Recommended Posts

Sam Spade    2

Sam Spade
Postado

Ok, não há rootkit. Há dois ítens que preciso de uma melhor identificação.

 

Configure o Windows para mostrar todos os arquivos

 

Baixe > Autoruns.

 

Extraia os arquivos e rode-o. Interrompa o exame teclando Esc. Vá no menu Options e marque:

 

Hide signed Microsoft Entries

Verify Code Signatures

 

Depois clique no ícone do Refresh (que está ao lado do ícone do Disquete).

 

Aguarde um novo exame ser feito e depois clique no ícone do Save as (Disquete).

 

Acesse http://virusscan.jotti.org/

 

Siga as instruções para o upload do arquivo: CO_Mon.sys

 

No site, clique em Procurar. O arquivo está em:

 

C:\WINDOWS\system32\drivers\CO_Mon.sys <<< aqui

 

Clique em Submit e aguarde o resultado da análise aparecer. Salve e poste, juntamente com o log do Autoruns.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Daniel Couto    0

Daniel Couto
Postado

tá aiO log do autorun HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run + AVG7_CC AVG Control Center (Not verified) GRISOFT, s.r.o. c:\arquivos de programas\grisoft\avg7\avgcc.exe+ nwiz NVIDIA nView Wizard, Version 110.60 (Not verified) NVIDIA Corporation c:\windows\system32\nwiz.exeHKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components + 0 File not found: About:HomeHKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved + AVG7 Find Extension AVG Shell Extension (Not verified) GRISOFT, s.r.o. c:\arquivos de programas\grisoft\avg7\avgse.dll+ AVG7 Shell Extension AVG Shell Extension (Not verified) GRISOFT, s.r.o. c:\arquivos de programas\grisoft\avg7\avgse.dll+ Componente da extensão do shell do CorelDRAW Shell Extension DLL (Not verified) Corel Corporation c:\arquivos de programas\corel\corel graphics 11\draw\cdrviewer\crlshell110.dll+ Desktop Explorer NVIDIA Desktop Explorer, Version 110.60 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll+ Desktop Explorer Menu NVIDIA Desktop Explorer, Version 110.60 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll+ Extensão do 'Painel de controle' para panorâmica de vídeo File not found: deskpan.dll+ nView Desktop Context Menu NVIDIA Desktop Explorer, Version 110.60 (Not verified) NVIDIA Corporation c:\windows\system32\nvshell.dll+ WinRAR shell extension c:\arquivos de programas\winrar\rarext.dllHKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects + AcroIEHlprObj Class AcroIEHelper Module (Verified) Adobe Systems, Incorporated c:\arquivos de programas\adobe\acrobat 5.0\reader\activex\acroiehelper.ocx+ BitComet Helper BitCometBHO (Verified) Comet Network Technology Co Ltd. c:\arquivos de programas\bitcomet\tools\bitcometbho_1.1.3.19.dllHKLM\System\CurrentControlSet\Services + Avg7Alrt AVG Alert Manager (Not verified) GRISOFT, s.r.o. c:\arquivos de programas\grisoft\avg7\avgamsvr.exe+ Avg7UpdSvc AVG Update Service (Not verified) GRISOFT, s.r.o. c:\arquivos de programas\grisoft\avg7\avgupsvc.exe+ AVGEMS AVG E-Mail Scanner (Not verified) GRISOFT, s.r.o. c:\arquivos de programas\grisoft\avg7\avgemc.exe+ StarWindService Enables network access to local devices via iSCSI protocol. (Not verified) Rocket Division Software c:\arquivos de programas\alcohol soft\alcohol 120\starwind\starwindservice.exeHKLM\System\CurrentControlSet\Services + Avg7Core AVG Scanning Engine (Not verified) GRISOFT, s.r.o. c:\windows\system32\drivers\avg7core.sys+ Avg7RsW AVG Resident Shield Unload Helper (Not verified) GRISOFT, s.r.o. c:\windows\system32\drivers\avg7rsw.sys+ Avg7RsXP AVG Resident Anti-Virus Shield (Not verified) GRISOFT, s.r.o. c:\windows\system32\drivers\avg7rsxp.sys+ AvgClean AVG7 Clean Driver (Not verified) GRISOFT, s.r.o. c:\windows\system32\drivers\avgclean.sys+ AvgTdi AVG Network connection watcher (Not verified) GRISOFT, s.r.o. c:\windows\system32\drivers\avgtdi.sys+ CO_Mon c:\windows\system32\drivers\co_mon.sys+ hamachi File not found: system32\DRIVERS\hamachi.sys+ Ptserial HSP Modem Serial Device Driver (Not verified) PCTEL, INC. c:\windows\system32\drivers\ptserial.sys+ Secdrv SafeDisc driver (Not verified) Macrovision Europe Ltd c:\windows\system32\drivers\secdrv.sys+ sptd c:\windows\system32\drivers\sptd.sys+ Vmodem HSP Modem Modem Device Driver (Not verified) Conexant Systems, Inc. c:\windows\system32\drivers\vmodem.sys+ Vpctcom HSP Modem Virtual Control Device (Not verified) Conexant Systems, Inc. c:\windows\system32\drivers\vpctcom.sys+ Vvoice HSP Modem device driver (Not verified) Conexant Systems, Inc. c:\windows\system32\drivers\vvoice.sysResultado da analise do site File: CO_Mon.sys Status: OK(Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5 6be1d6403727bdd8a2b2568dbe6bfb8b Packers detected: - Scanner results Scan taken on 18 Apr 2007 16:11:34 (GMT) AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing F-Secure Anti-Virus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found nothing Norman Virus Control Found nothing Panda Antivirus Found nothing Rising Antivirus Found nothing VirusBuster Found nothing VBA32 Found nothing

Compartilhar este post

Link para o post
Compartilhar em outros sites

Sam Spade    2

Sam Spade
Postado

Ok, o arquivo é limpo. O outro ítem o Autoruns não mostrou. É uma tarefa agendada, que o ComboFix mostrou mas não identificou:

 

Contents of the 'Scheduled Tasks' folder

C:\WINDOWS\tasks\At1.job

Alguns malwares podem fazer isso pra se reinstalar, a exemplo do adware Lop, mas consegui identificar de onde é esta tarefa.

 

Note #1: If Look2Me-Destroyer doesn’t open after 1 minute, go to C:\Windows\Tasks\ and right click on AT1.job to select Run.

Como pode ver, é do Look2Me-Destroyer. É para o caso da ferramenta não abrir depois que fizer isso:

 

"Marque Run this program as a task e na mensagem de que o programa vai fechar e reabrir em alguns segundos, clique em OK."

 

Sendo assim, não há malware no PC e o que causou a modificação no arquivo Hosts, já foi removido por algum programa de segurança.

 

A lentidão está relacionadas com outras causas que não são malwares. Faça uma limpeza nos temporários e corrija erros no Registro com o CCleaner.

 

Faça também uma desfragmentação do HD, que o desempenho do SO poderá melhorar.

 

Abraço.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Sam Spade    2

Sam Spade
Postado

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto é necessário enviar uma Mensagem Privada para um Moderador com um link para o tópico.

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos Tópicos Resolvidos (Seguranca & Malwares)
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito