[Arquivado]Analize de log sobre possivel virus...

[albert wolliver 0]

Apos minha irma usar o pc, melhor dizendo, o msn...ela como nao entende de mta coisa aceitou um arquivo q alguem mandou, de nome foto_celular...no começo achei q seria facil deletar esse tal virus...mas nao eh...eu ja scaniei com o avast e outros anti virus, fica detectando virus e sempre apaga...mas nunca sai...na unidade C tem 2 arquivos q sao criados, foto_celular.scr e outro .zip , eu deleto eles e passa alguns minutos eles reaparecem, ja desinstalei o msn e nada...e quando se ta no msn ele fica automaticamente mandando esses virus pras pessoas... vou postar aki o log do hijack, q eu pus no site deles e eles detectaram algo sobre o msnmsg,exe mas nao entende mto bem:Logfile of HijackThis v1.99.1Scan saved at 15:06:41, on 27/8/2007Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exeC:\Arquivos de programas\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\dllcache\explorer.exeC:\Arquivos de programas\Internet Explorer\iexplore.exeC:\Arquivos de programas\Internet Explorer\iexplore.exeC:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exeC:\WINDOWS\system32\RUNDLL32.EXEC:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exeC:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exeC:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exeC:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exeC:\WINDOWS\vsnpstd.exeC:\WINDOWS\system32\ctfmon.exeC:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exeC:\Arquivos de programas\HP\Digital Imaging\bin\hpqgalry.exeC:\WINDOWS\system32\nvsvc32.exeC:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exeC:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exeC:\WINDOWS\system32\svchost.exeC:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exeC:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exeC:\WINDOWS\System32\alg.exeC:\Arquivos de programas\Internet Explorer\iexplore.exeC:\ARQUIV~1\FREEDO~1\fdm.exeC:\Arquivos de programas\Internet Explorer\IEXPLORE.EXEC:\WINDOWS\system32\wuauclt.exeC:\hijackthis\HijackThis.exe\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXER0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Arquivos de programas\GetRight\xx2gr.dllO2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLLO2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Arquivos de programas\Free Download Manager\iefdm2.dllO3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARQUIV~1\MEGAUP~1\MEGAUP~1.DLLO3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Arquivos de programas\Save Flash\SaveFlash.dllO4 - HKLM\..\Run: [smapp] C:\Arquivos de programas\Analog Devices\SoundMAX\SMTray.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [avast!] C:\ARQUIV~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [RemoteControl] "C:\Arquivos de programas\CyberLink\PowerDVD\PDVDServ.exe"O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [HP Software Update] "C:\Arquivos de programas\HP\HP Software Update\HPWuSchd2.exe"O4 - HKLM\..\Run: [HP Component Manager] "C:\Arquivos de programas\HP\hpcoretech\hpcmpmgr.exe"O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exeO4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"O4 - HKLM\..\Run: [\Software\Microsoft\Windows\CurrentVersion\Run] C:\WINDOWS\msnmsg.exeO4 - HKLM\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [DAEMON Tools] "C:\Arquivos de programas\DAEMON Tools\daemon.exe" -lang 1033O4 - HKCU\..\Run: [MessengerPlus3] "C:\Arquivos de programas\MessengerPlus! 3\MsgPlus.exe" /WinStartO4 - Startup: Adobe Gamma.lnk = C:\Arquivos de programas\Arquivos comuns\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Startup: hamachi.lnk = C:\Arquivos de programas\Hamachi\hamachi.exeO4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqtra08.exeO4 - Global Startup: Inicialização rápida do HP Image Zone.lnk = C:\Arquivos de programas\HP\Digital Imaging\bin\hpqthb08.exeO8 - Extra context menu item: Abrir com o GetRight Browser - C:\ARQUIV~1\GetRight\GRbrowse.htmO8 - Extra context menu item: Download all with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlall.htmO8 - Extra context menu item: Download com o GetRight - C:\ARQUIV~1\GetRight\GRdownload.htmO8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlselected.htmO8 - Extra context menu item: Download video with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dlfvideo.htmO8 - Extra context menu item: Download with Free Download Manager - file://C:\Arquivos de programas\Free Download Manager\dllink.htmO8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe (file missing)O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.aspO17 - HKLM\System\CCS\Services\Tcpip\..\{E29B9EEC-A2CC-46E0-BB36-34ED325C2525}: NameServer = 200.165.132.155 200.165.132.148O23 - Service: Adobe LM Service - Adobe Systems - C:\Arquivos de programas\Arquivos comuns\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - ALWIL Software - C:\Arquivos de programas\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Arquivos de programas\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Arquivos de programas\Analog Devices\SoundMAX\SMAgent.exeO23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Arquivos de programas\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exeQuando eu abro o world of warcraft a seguinte msg aparece:The trojan backdoor.win32.bifrose.aef has been found on your computer, ai deve ser isso...se alguem poder solucionar isso seria de grande ajuda!

[albert wolliver 0]

Eu sei q o prazo de espera eh de 5 dias...mas to mto necessitado , parece q cada vez mais o pc vai deixando de funcionar algumas coisas...de repten ele agora fica freeze por uns minutos e dpos volta ao normal...e a net fico mais lenta ( eh de 1 mega )...ela começa rapida e dpos fica lenta mesmo se desconectar e conectar...e a velox meus vizinhos dizem q ta normal...acredito q seja esse possivel virus ou trojan ...

[Sam Spade 2]

Olá albert wolliver! Acesse http://virusscan.jotti.org/

 

No site, na caixa Procurar, cole esta linha abaixo:

 

C:\WINDOWS\system32\dllcache\explorer.exe

 

Clique em Submit, aguarde o resultado da análise aparecer e salve.

 

Faça o mesmo com esse:

 

C:\WINDOWS\msnmsg.exe

 

Poste os resultados das análises.

[albert wolliver 0]

Olá Sam Spade, fiz oq você pediu, fui no site e puz a primeira linha de comando la...sobre o explorer.exe esse foi o resultado:

 

Scan taken on 29 Aug 2007 01:47:36 (GMT)

A-Squared Found nothing

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

Panda Antivirus Found nothing

Rising Antivirus Found nothing

Sophos Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found nothing

 

Agora sobre o msnmsg.exe foi esse : ( nao deu resultado, simplesmente apareceu essa msg, com o msn aberto e com ele fechado tb )

 

-The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file-

 

Disso o arquivo q eu falei que ficava sempre aparecendo mesmo eu deletando, o foto_celular.zip e .scr, eu coloquei tambem nesse site o .scr , para realizar a analise, e esse foi o resultado :

 

Scan taken on 29 Aug 2007 01:52:39 (GMT)

A-Squared Found Trojan-Downloader.Win32.Agent.cdb

AntiVir Found BDS/Celofot.D.5

ArcaVir Found Trojan.Downloader.Agent.Cdb

Avast Found nothing

AVG Antivirus Found Downloader.Agent.QYG

BitDefender Found Backdoor.Celofot.D

ClamAV Found Trojan.Delf-1487

CPsecure Found Troj.Downloader.W32.Agent.cdb

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found Trojan-Downloader.Win32.Agent.cdb

Fortinet Found W32/Agent.CDB!tr.dldr

Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Agent.cdb

NOD32 Found Win32/Pegan.X

Norman Virus Control Found W32/Agent.CBGD

Panda Antivirus Found W32/MSNDiablo.E.worm

Rising Antivirus Found nothing

Sophos Antivirus Found Mal/Generic-A

VirusBuster Found nothing

VBA32 Found Trojan-Downloader.Win32.Agent.cdb

 

 

Conhecidencia que o avast eh o anti virus que uso, e nao detectou nada nele...mas como você pode ver os outros ai detectaram varios...

 

Bom, estao ai os resultados, espero q tenham servido de alguma ajuda , vlw!

[albert wolliver 0]

Tentei baixar algum desses anti virus q no log ai detectou o tal virus, mas nao funcionou, ele diz q deleta e nao deletou =/ , ta dificil ese .

[Sam Spade 2]

Opa, desculpe a demora mas o tempo apertou um pouco. Faça um scan na BitDefender Online e poste o resultado, juntamente com um novo log do HijackThis.

[Sam Spade 2]

Tópico Arquivado

 

Como o autor não respondeu por mais de 20 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.