[Resolvido!] TROJANS NOVAMENTE

[ppinheiro 0]

Olá amigos, bom dia.

olha eu de novo com problemas:

segue o Log.

 

 

Logfile of HijackThis v1.99.1

Scan saved at 09:47:33, on 8/5/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\HPLRA.EXE

C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Arqui2000\ArquiTeclas.exe

C:\Arquivos de programas\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Arquivos de programas\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Arquivos de programas\Orbit\orbitdm.exe

C:\Arquivos de programas\Orbit\orbitnet.exe

C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Arquivos de programas\TurboADSL\TurboADSL 0.98\discador.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.com.br/capa/

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Arquivos de programas\Orbit\orbitcth.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: G-Buster Browser Defense CEF - {C41A1C0E-EA6C-11D4-B1B8-444553540003} - C:\WINDOWS\Downloaded Program Files\gbiehCef.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RegAgent] C:\WINDOWS\HPLRA.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [ink Monitor] C:\Arquivos de programas\EPSON\Ink Monitor\InkMonitor.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Arquivos de programas\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: ArquiTeclas.lnk = C:\Arquivos de programas\Arqui2000\ArquiTeclas.exe

O4 - Global Startup: Assistente do Acrobat.lnk = C:\Arquivos de programas\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\acstart16.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Arquivos de programas\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Orbit.lnk = C:\Arquivos de programas\Orbit\orbitdm.exe

O8 - Extra context menu item: &Download all by Orbit - res://C:\Arquivos de programas\Orbit\orbitmxt.dll/202

O8 - Extra context menu item: &Download by Orbit - res://C:\Arquivos de programas\Orbit\orbitmxt.dll/201

O8 - Extra context menu item: &Download selected by Orbit - res://C:\Arquivos de programas\Orbit\orbitmxt.dll/203

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Arquivos de programas\Orbit\orbitmxt.dll/204

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase8300.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399003} (GbPluginObj Class) - https://imagem.caixa.gov.br/cab/GbPluginCef.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D07795D5-F538-4FEA-8C9E-5B1F4CD5B33E}: Domain = @

O17 - HKLM\System\CCS\Services\Tcpip\..\{E5FE60BE-9988-4454-B98E-5BE86E444CFF}: NameServer = 201.10.128.2 201.10.120.3

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Gbp Service (GbpSv) - GAS Tecnologia LTDA - C:\Arquivos de programas\GbPlugin\GbpSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[Shine 0]

Olá, ppinheiro! Como vai?

 

Acesse o site VirusTotal e envie o arquivo abaixo para análise:

 

C:\WINDOWS\HPLRA.EXE

 

Copie o resultado e cole-o na sua resposta.

 

PS: Aguarde com paciência pois pode demorar um pouco.

 

Abraços!

[ppinheiro 0]

Olá, tudo ótimo, vou fazer oque me pediu,obrigadoaté já

[ppinheiro 0]

já madei,e stou aguardando.Outra coisa, sou leigo em comp. já faço projetos de arquitetura a muit tempo.só agora comecei a usar o comp.até semana passada não sabia que tinha um forum assim como esse,Muito bom mesmo.Fico até mais tranquilo e estimulado pra mexer com internet.Grato.

[ppinheiro 0]

Resposta do Viruscan:omplete scanning result of "HPLRA.EXE", processed in VirusTotal at 05/08/2007 18:49:33 (CET).[ file data ]* name: HPLRA.EXE* size: 827392* md5.: b0bbf161dbaa363aeb7be9465d9ee81b* sha1: 3961194d2d30b92590ecf6a4e00d7267170c9472[ scan result ] AhnLab-V3 2007.5.9.0/20070508 found nothingAntiVir 7.4.0.15/20070508 found nothingAuthentium 4.93.8/20070507 found nothingAvast 4.7.997.0/20070507 found nothingAVG 7.5.0.467/20070508 found nothingBitDefender 7.2/20070508 found nothingCAT-QuickHeal 9.00/20070508 found nothingClamAV devel-20070416/20070508 found nothingDrWeb 4.33/20070508 found nothingeSafe 7.0.15.0/20070508 found nothingeTrust-Vet 30.7.3618/20070508 found nothingEwido 4.0/20070508 found nothingF-Prot 4.3.2.48/20070507 found nothingF-Secure 6.70.13030.0/20070508 found nothingFileAdvisor 1/20070508 found nothingFortinet 2.85.0.0/20070508 found nothingIkarus T3.1.1.7/20070508 found nothingKaspersky 4.0.2.24/20070508 found nothingMcAfee 5025/20070507 found nothingMicrosoft 1.2503/20070507 found nothingNOD32v2 2249/20070508 found nothingNorman 5.80.02/20070508 found nothingPanda 9.0.0.4/20070508 found nothingPrevx1 V2/20070508 found nothingSophos 4.17.0/20070507 found nothingSunbelt 2.2.907.0/20070505 found nothingSymantec 10/20070508 found nothingTheHacker 6.1.6.109/20070508 found nothingVBA32 3.12.0/20070508 found nothingVirusBuster 4.3.7:9/20070508 found nothingWebwasher-Gateway 6.0.1/20070508 found nothing__________________________________________________VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Do not reply to this message. It has been generated by an automatic address that will not handle any reply. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.-- No virus found in this incoming message.Checked by AVG Free Edition. Version: 7.5.467 / Virus Database: 269

[Shine 0]

Olá...

 

até semana passada não sabia que tinha um forum assim como esse,

Muito bom mesmo.

Fico até mais tranquilo e estimulado pra mexer com internet.

Grato.

Pode mesmo contar com a nossa equipe sempre que precisar :)

 

Bom... o resultado do análise não mostrou problemas com arquivo.

 

Peço que faça um scan online com: Activescan

 

PS: Desabilite seu antivirus para não impedir o scan online

 

Depois copie o resultado e cole-o na sua resposta

 

Diga se seu antivirus detecta algum arquivo malicioso. E o que está acontecendo exatamente?

 

Aguardo respostas para prosseguirmos.

 

Abraços! :thumbsup:

[ppinheiro 0]

Bom , consta no meu antivirus AVG (Virus Vault - quarentena), o seguinte:PSW.Banker3.JRs

[Shine 0]

Oi..

 

Bom , consta no meu antivirus AVG (Virus Vault - quarentena), o seguinte:

PSW.Banker3.JRs

O scan online poderá mostrar o caminho do arquivo deste trojan.

 

Estarei no aguardo do resultado para prosseguirmos.

 

Qualquer dúvida fique a vontade para perguntar, ok?

 

Abraços!

[ppinheiro 0]

ok, estou esperando o scan.Oi,qdo faço activescan, ele pede se quero intalar o arquivo "asinst.cab".Devo instalar?

[Shine 0]

Olá!Sim, será necessário instalar o ActiveX, mas não se preocupe que é seguro.Depois poderá fazer o scan online sempre que quiser sem problemas.Abraços!

[ppinheiro 0]

ActiveScan:No viruses or other malicious software have been found! Scan again See report Scan finished Stop Scanning processes in memory Scan report Save report Scan again Send to laboratory Save report Scan again ActiveScan only disinfects viruses. To disinfect all threats, buy or try a recommended security product. ActiveScan gives you a deep second opinion analysis of the security level of your PC. Detected Disinfected Virus 0 0 Spyware 0 0 Hacking tools and rootkits 0 0 Dialers 0 0 Security Risks 0 0 Suspicious files

[ppinheiro 0]

Parece que não de nada no Active Scan, mas oque faço agora com os arquivos que estão na quarentena do AVG?

[Shine 0]

Creio que os arquivos que estão em quarentena são ruins, certo? Então pode mandar o antivirus deletar.

 

1. Baixe o CCleaner para fazer uma boa limpeza no seu pc, removendo arquivos desnecessários.

 

Apos o download, proceda com a instalação, em seguida abra o programa e execute a varredura.

 

- Clique em Analisar.

 

- Ao terminar o scan clique em Executar Cleaner para finalizar.

 

PS: Caso não queira apagar as paginas visitadas pelo seu navegador, desmarque a opção "Historico".

 

Veja se o problema continua.

 

Talvez era um arquivo temporário do antigo trojan que estava sendo detectado pelo seu antivirus AVG.

 

Abraços!!

[ppinheiro 0]

Olá, eu já uso o Ad-aware 6você acha melhor eu trocar pelo CCleaner?

[ppinheiro 0]

OK.

 

TUDO RESOLVIDO.

 

FELICIDADES PRA você E TODO ESSE TIME AÍ.

 

ABRAÇOS. :clap:

[Shine 0]

Olá!!!

 

Olá,

eu já uso o Ad-aware 6

você acha melhor eu trocar pelo CCleaner?

O Cleaner é um programinha bom para fazer limpeza de arquivos desnecessários, arquivos temporários, cookies, etc.

O Ad-aware é um programa de proteção contra adwares, spywares, etc. Não seria bom desinstala-lo.

 

FELICIDADES PRA você E TODO ESSE TIME AÍ.

Também desejo o mesmo!! ^_^

E sempre que precisar conte conosco!

 

Abraços!!!

 

PROBLEMA RESOLVIDO!

 

Caso o autor necessite que o tópico seja reaberto é preciso enviar uma Mensagem Privada para um Moderador com um link para o tópico.