Edvan 30 Denunciar post Postado Abril 25, 2007 ola garcia rapaz recebi essa mensagem mais nem Orkut eu tenho o que pode ser isso? Recebemos uma denuncia graves em seu profile de RACISMO. Voce, tem 3 dias para entrar e abrir o endereco abaixo para cancelar o pedido de cancelamento do seu orkut. Para cancelar o pedido, clique no link abaixo em seguida va em abrir: http://www.orkut.com/problems/RP?c=2672970...03&hl=pt_BR Em caso de duvidas ou preocupacoes em relacao a sua conta, visite as Perguntas frequentes (FAQs) do Google no endere : http://www.google.com/help/faq_accounts.html Obs.: Esse correio e apenas para envio de mensagens. As respostas para essa mensagem nao serao monitoradas nem respondidas. Compartilhar este post Link para o post Compartilhar em outros sites
jgarcia 1 Denunciar post Postado Abril 25, 2007 Opa Edvan, A mensagem é fraudulenta. Você não possui Orkut, mas milhares de outras pessoas possuem, e muitas delas receberão esta mensagem, e muitas delas cairão neste golpe. Entendeu? A técnica é esta. É a famosa Engenharia Social. Abraços. Compartilhar este post Link para o post Compartilhar em outros sites
Edvan 30 Denunciar post Postado Abril 26, 2007 Valeu cara, eu achei estranho logo de cara, pois não tenho Orkut e quando eu colocava o Mouse em cima do link que eles pediam direcionava para outro link totalmente diferente. Essa é que é a famosa Engenharia Social? Tentar convencer os outros com conversas macias para tentar fazer o que eles querem, mais nessa eu não caio não viu!!!!! Depois daquele tutorial que você postou sobre como se proteger de e-mails fraudulentos, não abrir e-mails de pessoas que você não conhece, como você falou sempre é bom clicar em cima do link com o botão direito do mouse para ver se o link direciona para outro local que não é seguro. Agora estou mais esperto.... Ha! sim Garcia, rapaz eu vi no fórum Linha Defensiva um assunto que me chamou muito a atenção. É sobre o novo aprendiz, você manda um e-mail para eles respondendo um pequeno questionário se eles gostarem, daí eles vão lhe dar um treinamento sobre como Analisar Logs, agora você tem que ser um usuário assíduo do fórum, isso é o que quero ajudar pessoas, mais para isso tenho que aprender não só como analisar logs, mais também quais ferramentas que vou usar para cada infecção, eu tenho vontade de ajudar as pessoas nesse fórum mais para isso tenho que me aperfeiçoar no analise de logs e as ferramentas de remoção, porque não quero danificar nem um SO dos caras, meu objetivo é ajudar não danificar o SO, por isso que me refreio de ajudar as pessoas no fórum imasters. O que você acha sobre o Novo Aprendiz? Compartilhar este post Link para o post Compartilhar em outros sites
jgarcia 1 Denunciar post Postado Abril 28, 2007 O que você acha sobre o Novo Aprendiz? Acredito que seja uma boa, pois como Aprendiz você não poderá responder diretamente. Você deverá postar a resposta para o seu "tutor" (Assistente que você escolherá) em uma área fechada. A sua resposta será analisada, corrigida, se necessário, e liberada. Este procedimento serve para evitar que o Aprendiz, por falta de experiência, venha a danificar o sistema do usuário, além de ser uma fase excelente para a aquisição de conhecimento. Sugiro que você se candidate ao cargo de Aprendiz. Abraços. Compartilhar este post Link para o post Compartilhar em outros sites
Edvan 30 Denunciar post Postado Maio 16, 2007 Olá Garcia aproveitando esse topico que abrir, gostaria que você desse uma olhada nesse log de um amigo meu do meu trabalho, ele clicou em um link infectado no ORKUT. Dê uma olhada por favor, pois toda vez que inicia o windows apresenta uma tela preta do DOS mostrando alguns arquivos infectados, daí dar ERRO. Logfile of HijackThis v1.99.1 Scan saved at 17:48:43, on 15/05/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe C:\Arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe C:\Arquivos de programas\Winamp\winampa.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEL.EXE C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Arquivos de programas\MSN Messenger\msnmsgr.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe C:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.compartilhando.org/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.100.1:9877 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [ink Monitor] C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe O4 - HKLM\..\Run: [hnrtbr] C:\WINDOWS\mjhor.exe O4 - HKLM\..\Run: [EPSON Stylus CX4100 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEL.EXE /P26 "EPSON Stylus CX4100 Series" /O6 "USB001" /M "Stylus CX4100" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: fbguad.exe O4 - Global Startup: javsu.exe O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O14 - IERESET.INF: START_PAGE_URL=http://www.compartilhando.org/ O17 - HKLM\System\CCS\Services\Tcpip\..\{C7B09F5B-4965-495D-B2AA-8E8C2EC6D0B8}: NameServer = 192.168.100.1 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Arquivos de programas\Ares\chatServer.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: PostgreSQL Database Server (cadunico) (pgsql-cadunico) - PostgreSQL Global Development Group - C:\ARQUIV~1\Caixa\CADUNI~1\bin\pg_ctl.exe Aguardo respostas... :thumbsup: Compartilhar este post Link para o post Compartilhar em outros sites
jgarcia 1 Denunciar post Postado Maio 16, 2007 Opa Edvan, 1. Baixe o BankerFix. 2. Desative o seu anti-vírus temporariamente. 3. Dê um duplo-clique sobre o bankerfix.exe. Uma mensagem aparecerá avisando que o mesmo será baixado via internet. Clique em Ok -> Ok. Aperte Enter e aguarde o término do scan. 4. Terminado o scan, leia a mensagem na tela e aperte Enter novamente. 5. Habilite o seu anti-vírus. 6. Retorne com um novo log do HijackThis, juntamente com o relatorio.txt do BankerFix (ele estará em C:\LinhaDefensiva\). 7. Depois de postar a sua resposta você poderá deletar a pasta LinhaDefensiva contida no C. Abraços. Compartilhar este post Link para o post Compartilhar em outros sites
Edvan 30 Denunciar post Postado Maio 16, 2007 Olá Garcia tudo bem? Primeiramente boa tarde, olha só o bankerfix não rodou não. Dei um duplo-clique sobre o bankerfix.exe. Uma mensagem aparecerá avisando que o mesmo será baixado via internet. Clique em Ok -> Ok. Aperte Enter e aguarde o término do scan e isso né. o problema é que não fez o scan. Apareceu essa tela preta: http://img508.imageshack.us/my.php?image=bankerfixsr9.jpg os arquivos que está em C:\LinhaDefensiva\). foram só esses: 1º download 2º Iniciar-BankerFix 3º md5 4º pv 5º unzip 6º VERSION 7º webversion.info O relatorio.txt do BankerFix não foi gerado, porque não foi feito nem um scan, não sei se é por causa da conexão aqui, q usa ip manual, e usa proxy para controlar a banda. e aí o q você me sugere? Compartilhar este post Link para o post Compartilhar em outros sites
jgarcia 1 Denunciar post Postado Maio 18, 2007 Opa Edvan, Vamos lá. Habilite o Windows para mostrar todos os arquivos (até ocultos). 1ª Etapa Baixe o Killbox em: Killbox 1. Execute o Killbox, clique em Delete on Reboot. 2. Copie a lista abaixo em negrito para a área de transferência. Selecione tudo com o auxílio do mouse --> vá até a aba Editar na barra do navegador --> clique em Copiar. C:\WINDOWS\mjhor.exe 3. Retorne ao Killbox. Clique em File > Paste from clipboard. Clique em All Files. 4. Aperte em "X". Responda "não" à pergunta. É prudente que você faça a impressão deste documento ou salve-o em um lugar de fácil acesso, pois na próxima etapa entraremos em Modo de Seguro e a conexão à internet não será possível. 2ª Etapa Reinicie o computador em Modo Seguro (ao reiniciar aperte a tecla F8 repetidamente até que apareça uma tela preta em DOS e escolha a opção Modo Seguro). Execute o HijackThis, clique em Do a system scan only e marque: O4 - HKLM\..\Run: [hnrtbr] C:\WINDOWS\mjhor.exeO4 - Global Startup: fbguad.exe O4 - Global Startup: javsu.exe Clique em Fix Checked. 3ª Etapa Reinicie em Modo Normal. Localize o caminho dos seguintes arquivos: fbguad.exe javsu.exe Poste um novo log do HijackThis. Um abraço. Compartilhar este post Link para o post Compartilhar em outros sites
Edvan 30 Denunciar post Postado Maio 22, 2007 OLa Garcia, boa noite para você, o pc aqui ta bom, fui lá em Desativar restauração e depois reativei, fiz certo? Qualquer entrada anormal fale para mim, ta aí o novo log. Logfile of HijackThis v1.99.1 Scan saved at 22:10:36, on 21/05/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe C:\Arquivos de programas\Winamp\winampa.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEL.EXE C:\WINDOWS\system32\ctfmon.exe C:\Arquivos de programas\MSN Messenger\msnmsgr.exe C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.compartilhando.org/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com.br/0SEPTBR/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.100.1:9877 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARQUIV~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Arquivos de programas\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [ink Monitor] C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe O4 - HKLM\..\Run: [WinampAgent] C:\Arquivos de programas\Winamp\winampa.exe O4 - HKLM\..\Run: [EPSON Stylus CX4100 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEL.EXE /P26 "EPSON Stylus CX4100 Series" /O6 "USB001" /M "Stylus CX4100" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp O14 - IERESET.INF: START_PAGE_URL=http://www.compartilhando.org/ O17 - HKLM\System\CCS\Services\Tcpip\..\{C7B09F5B-4965-495D-B2AA-8E8C2EC6D0B8}: NameServer = 192.168.100.1 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Arquivos de programas\Ares\chatServer.exe O23 - Service: PostgreSQL Database Server (cadunico) (pgsql-cadunico) - PostgreSQL Global Development Group - C:\ARQUIV~1\Caixa\CADUNI~1\bin\pg_ctl.exe aguardo respostas :thumbsup: Compartilhar este post Link para o post Compartilhar em outros sites
jgarcia 1 Denunciar post Postado Maio 24, 2007 Opa Edvan, O seu log está LIMPO! :thumbsup: Tendo em vista que você já executou o procedimento relativo ao restauro do sistema, não há mais ações a serem efetivadas. Abraços. Compartilhar este post Link para o post Compartilhar em outros sites
Edvan 30 Denunciar post Postado Maio 25, 2007 Valeu Garcia mais uma vez pela ajuda, se você quiser pode fechar o topico. Abraços... Compartilhar este post Link para o post Compartilhar em outros sites
jgarcia 1 Denunciar post Postado Maio 26, 2007 PROBLEMA RESOLVIDO! Caso o autor necessite que o tópico seja reaberto é necessário enviar uma Mensagem Privada para um Moderador com um link para o tópico. Compartilhar este post Link para o post Compartilhar em outros sites