[Arquivado]Trojan horse Banker4.AGA

codonauta · Setembro 7, 2007

Esta semana meu pc foi invadido por um trojan, o Trojan Horse PSW.Banker4.AGA

A partir daí, o trojan começou a enviar emails com os links maliciosos para todos os meus endereços, no meu catálogo de endereços. Como tenho o Norton 2006 atualizado, fiz nos dias seguintes uma verificação completa do sistema, 2 vezes, e ele não localizou nada de errado. Hoje eu baixei o AVG free, do site baixaki, fiz outra verificação completa do sistema com este AVG, e aí sim, foi localizado o Trojan acima. O AVG liquidou o vírus facilmente em seguida, fazendo aquela quarentena dos arquivos infectados.

Achei muito estranho o norton nao localizar o trojan; sempre pensei que o norton fosse o melhor antivírus que existe.

Bom, gostaria de perguntar a vocês o que este trojan faz, qual é a sua periculosidade, já que não encontrei nenhuma informação dele on line ainda. Só encontro do Trojan Horse PSW.Banker3.

Tenho que tomar mais alguma providência quanto a este vírus? -, devo deletar aqueles arquivos de quarentena em que ele ficou localizado no AVG? Ou considero o assunto resolvido?

Agradeço a resposta.

Codonauta

Shine · Setembro 7, 2007

Olá!

Será necessário ver um log do HijackThis para ser analisado e ter certeza que o trojan foi removido.

Esse trojan é banker que rouba senhas, e se você entrou em contato com seu banco (caso use online-banking) ou cartao de crédito, recomendo que mude suas senhas veinculadas com a internet.

1. Baixe o programa atualizado do HijackThis.

Salve o programa numa pasta no C:\ (Ex: C:\HijackThis\HijackThis.exe)

- Abra o HijackThis, clique em Do a system scan and save a logfile

- Copie o log salvo na pasta HijackThis e cole-o na sua resposta para prosseguirmos.

Abraços!

codonauta · Setembro 8, 2007

Olá!

Será necessário ver um log do HijackThis para ser analisado e ter certeza que o trojan foi removido.

Esse trojan é banker que rouba senhas, e se você entrou em contato com seu banco (caso use online-banking) ou cartao de crédito, recomendo que mude suas senhas veinculadas com a internet.

1. Baixe o programa atualizado do HijackThis.

Salve o programa numa pasta no C:\ (Ex: C:\HijackThis\HijackThis.exe)

- Abra o HijackThis, clique em Do a system scan and save a logfile

- Copie o log salvo na pasta HijackThis e cole-o na sua resposta para prosseguirmos.

Abraços!

Lidia

Agradeço sua resposta. Fiz o que você sugeriu.

Logfile of HijackThis v1.99.1

Mas eu devo colar todo o log aqui? Não vai ficar exposto todos estes dados do meu computador pra todo mundo ver? Nao tem como enviar isto de modo mais particular?

Fernando

codonauta · Setembro 8, 2007

Olá!

Será necessário ver um log do HijackThis para ser analisado e ter certeza que o trojan foi removido.

Esse trojan é banker que rouba senhas, e se você entrou em contato com seu banco (caso use online-banking) ou cartao de crédito, recomendo que mude suas senhas veinculadas com a internet.

1. Baixe o programa atualizado do HijackThis.

Salve o programa numa pasta no C:\ (Ex: C:\HijackThis\HijackThis.exe)

- Abra o HijackThis, clique em Do a system scan and save a logfile

- Copie o log salvo na pasta HijackThis e cole-o na sua resposta para prosseguirmos.

Abraços!

Lidia

Agradeço sua resposta. Fiz o que você sugeriu.

Logfile of HijackThis v1.99.1

Mas eu devo colar todo o log aqui? Não vai ficar exposto todos estes dados do meu computador pra todo mundo ver? Nao tem como enviar isto de modo mais particular?

Fernando

---------------------------------------------------------------

Shine

Eu acabei enviando o log salvo em email particularmente pra você porque nao sabia se era seguro expor aqui. Depois me informaram que o log não traz problema algum se exposto. Então estou copiando agora aqui. Tenho a impressaõ que o trojan ainda está no meu pc porque estou passando o Kopersky e ele está localizando vírus. Bem, o log salvo então:

Logfile of HijackThis v1.99.1

Scan saved at 21:41:31, on 7/9/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Arquivos de programas\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Arquivos de programas\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Arquivos de programas\APC\APC PowerChute Personal Edition\mainserv.exe

C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Arquivos de programas\Norton AntiVirus\navapsvc.exe

C:\Arquivos de programas\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe

C:\Arquivos de programas\Java\jre1.6.0_01\bin\jusched.exe

C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe

C:\Arquivos de programas\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe

C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Arquivos de programas\QuickTime\qttask.exe

C:\Arquivos de programas\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\devldr32.exe

C:\Arquivos de programas\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\Microsoft ActiveSync\wcescomm.exe

C:\Arquivos de programas\Pando Networks\Pando\pando.exe

C:\ARQUIV~1\MI3AA1~1\rapimgr.exe

C:\Arquivos de programas\Google\Google Updater\GoogleUpdater.exe

C:\Arquivos de programas\WinZip\WZQKPICK.EXE

C:\Arquivos de programas\APC\APC PowerChute Personal Edition\apcsystray.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexStoreSvr.exe

C:\Arquivos de programas\Outlook Express\msimn.exe

C:\Arquivos de programas\iPod\bin\iPodService.exe

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE

C:\Arquivos de programas\BitComet\BitComet.exe

C:\Arquivos de programas\Messenger\msmsgs.exe

C:\Documents and Settings\Fernando\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.globo.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.7.254:3128

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Lexico Toolbar - {11359F4A-B191-42d7-905A-594F8CF0387B} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\lexbar.dll

O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Arquivos de programas\Pando Networks\Pando\PandoIEPlugin.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Arquivos de programas\BitComet\tools\BitCometBHO_1.1.3.28.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Arquivos de programas\Norton AntiVirus\NavShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Arquivos de programas\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\ARQUIV~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\Arquivos de programas\GbPlugin\gbieh.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Arquivos de programas\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

O3 - Toolbar: Dictionary.com - {11359F4A-B191-42D7-905A-594F8CF0387B} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\lexbar.dll

O4 - HKLM\..\Run: [ccApp] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [RaidTool] C:\Arquivos de programas\VIA\RAID\raid_t

O4 - HKLM\..\Run: [soundMAXPnP] C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Arquivos de programas\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Arquivos de programas\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Arquivos de programas\Arquivos comuns\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HP Software Update] C:\Arquivos de programas\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Arquivos de programas\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Arquivos de programas\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Arquivos de programas\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [swg] C:\Arquivos de programas\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sRS Audio Sandbox] "C:\Arquivos de programas\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Arquivos de programas\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [Pando] "C:\Arquivos de programas\Pando Networks\Pando\pando.exe" /Minimized

O4 - Global Startup: APC UPS Status.lnk = ?

O4 - Global Startup: Google Updater.lnk = C:\Arquivos de programas\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Arquivos de programas\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: Download all links using BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Arquivos de programas\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Search &Dictionary - C:\Program files\Lexico\Toolbar\dictionary.htm

O8 - Extra context menu item: Search &Thesaurus - C:\Program files\Lexico\Toolbar\thesaurus.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARQUIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARQUIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Criar Favorito Móvel... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARQUIV~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {DB6BF2CD-4F59-4F1C-AA9C-D08C0B61A931} (GbpDistObj Class) - https://www14.bancobrasil.com.br/plugin/GbpDist.cab

O16 - DPF: {F0E2D69A-DC2F-4E9B-A993-684FB1C21DBC} - http://dictionary.reference.com/tools/toolbar/lexico.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\ARQUIV~1\Google\GO333C~1\GOEC62~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Agendador do LiveUpdate automático - Symantec Corporation - C:\Arquivos de programas\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Arquivos de programas\APC\APC PowerChute Personal Edition\mainserv.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Arquivos de programas\Arquivos comuns\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\ccSetMgr.exe

O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe

O23 - Service: GoogleDesktopManager - Google - C:\Arquivos de programas\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Arquivos de programas\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: iPod Service - Apple Inc. - C:\Arquivos de programas\iPod\bin\iPodService.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARQUIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Arquivos de programas\Arquivos comuns\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: Serviço do Auto-Protect do Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\navapsvc.exe

O23 - Service: NMIndexingService - Nero AG - C:\Arquivos de programas\Arquivos comuns\Ahead\Lib\NMIndexingService.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Arquivos de programas\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Arquivos de programas\Arquivos comuns\Symantec Shared\CCPD-LC\symlcsvc.exe

Estou infectado ainda?

abraço

Codonauta

Shine · Setembro 10, 2007

Olá, Codonauta, boa noite.

Sabe qual arquivo é detectado pelo seu antivirus?

Faça o seguinte:

1 - Baixe o CCleaner

Apos o download, proceda com a instalação, em seguida abra o programa e execute a varredura.

- Clique em Analisar.

- Ao terminar o scan clique em Executar Cleaner para finalizar.

PS: Caso não queira apagar as paginas visitadas pelo seu navegador, desmarque a opção "Historico".

2 - Depois faça o scan online com:

http://www.kaspersky.com/virusscanner

Depois copie o resultado e cole-o na sua resposta para ser verificado o que foi encontrado.

PS: Ao acessar o scan online, talvez seja necessário instalar o activex para dar continuidade.

Abraços!

codonauta · Setembro 13, 2007

Olá, Codonauta, boa noite.

Sabe qual arquivo é detectado pelo seu antivirus?

Faça o seguinte:

1 - Baixe o CCleaner

Apos o download, proceda com a instalação, em seguida abra o programa e execute a varredura.

- Clique em Analisar.

- Ao terminar o scan clique em Executar Cleaner para finalizar.

PS: Caso não queira apagar as paginas visitadas pelo seu navegador, desmarque a opção "Historico".

2 - Depois faça o scan online com:

http://www.kaspersky.com/virusscanner

Depois copie o resultado e cole-o na sua resposta para ser verificado o que foi encontrado.

PS: Ao acessar o scan online, talvez seja necessário instalar o activex para dar continuidade.

Abraços!

Shine

Eu nao havia visto esta tua resposta, só vi agora. Eu acabei passando o kapersky antes do cleaner.

Vou fazer as coisas conforme você escreveu na resposta. Depois anexo aqui.

Codonauta

Shine · Setembro 15, 2007

Olá...Estarei no aguardoAbraços! ;)

codonauta · Setembro 19, 2007

Olá...

Estarei no aguardo

Abraços! ;)

Shine, postei a resposta outro dia, mas não apareceu. Devo ter postado no lugar errado, não sei o que aconteceu. Então, de novo:

Depois de passar o cleanner, o scan que obtive com o Kapersky foi este abaixo. Os itens quue estão " locked and skipped' posso considerar que não sao ameaças?

O que você acha?

Abraço

KASPERSKY ONLINE SCANNER REPORT

Thursday, September 13, 2007 8:09:48 AM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.93.1

Kaspersky Anti-Virus database last update: 13/09/2007

Kaspersky Anti-Virus database records: 412832

Scan Settings

Scan using the following antivirus database extended

Scan Archives true

Scan Mail Bases true

Scan Target My Computer

A:\

C:\

D:\

Scan Statistics

Total number of scanned objects 120516

Number of viruses found 8

Number of infected objects 17

Number of suspicious objects 0

Duration of the scan process 01:45:22

Infected Object Name Virus Name Last Action

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\CCPD-LC\symlcrst.dll Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\EENGINE\EPERSIST.DAT Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDALRT.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDCON.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDDBG.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDFW.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDIDS.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SNDSYS.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\BBConfig.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\BBDebug.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\BBDetect.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\BBNotify.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\BBRefr.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\BBSetCfg.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\BBSetCfg2.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\BBSetDev.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\BBSetLoc.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\BBSetUsr.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\BBSMNot.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\BBSMReg.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\BBSMRSt.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\BBStHash.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\BBStMSI.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\BBValid.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\SPPolicy.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\SPStart.log Object is locked skipped

C:\Arquivos de programas\Arquivos comuns\Symantec Shared\SPBBC\LOGS\SPStop.log Object is locked skipped

C:\Arquivos de programas\Norton AntiVirus\AVApp.log Object is locked skipped

C:\Arquivos de programas\Norton AntiVirus\AVError.log Object is locked skipped

C:\Arquivos de programas\Norton AntiVirus\AVVirus.log Object is locked skipped

C:\Arquivos de programas\Norton AntiVirus\Savrt401NAV~.TMP Object is locked skipped

C:\Documents and Settings\All Users\Dados de aplicativos\avg7\Log\emc.log Object is locked skipped

C:\Documents and Settings\All Users\Dados de aplicativos\Grisoft\Avg7Data\avg7log.log Object is locked skipped

C:\Documents and Settings\All Users\Dados de aplicativos\Grisoft\Avg7Data\avg7log.log.lck Object is locked skipped

C:\Documents and Settings\All Users\Dados de aplicativos\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped

C:\Documents and Settings\All Users\Dados de aplicativos\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped

C:\Documents and Settings\All Users\Dados de aplicativos\Symantec\Common Client\settings.dat Object is locked skipped

C:\Documents and Settings\All Users\Dados de aplicativos\Symantec\HPPAppActivity.log Object is locked skipped

C:\Documents and Settings\All Users\Dados de aplicativos\Symantec\HPPHomePageActivity.log Object is locked skipped

C:\Documents and Settings\All Users\Dados de aplicativos\Symantec\LiveUpdate\2007-09-12_Log.ALUSchedulerSvc.LiveUpdate Object is locked skipped

C:\Documents and Settings\Fernando\Configurações locais\Dados de aplicativos\Ahead\Nero Home\bl.db Object is locked skipped

C:\Documents and Settings\Fernando\Configurações locais\Dados de aplicativos\Ahead\Nero Home\is2.db Object is locked skipped

C:\Documents and Settings\Fernando\Configurações locais\Dados de aplicativos\Identities\{E33C2F77-A299-4224-AE15-97E95376869D}\Microsoft\Outlook Express\Folders.dbx Object is locked skipped

C:\Documents and Settings\Fernando\Configurações locais\Dados de aplicativos\Identities\{E33C2F77-A299-4224-AE15-97E95376869D}\Microsoft\Outlook Express\Offline.dbx Object is locked skipped

C:\Documents and Settings\Fernando\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Fernando\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Fernando\Configurações locais\Dados de aplicativos\Pando\Pando Files\cert\cert8.db Object is locked skipped

C:\Documents and Settings\Fernando\Configurações locais\Dados de aplicativos\Pando\Pando Files\cert\key3.db Object is locked skipped

C:\Documents and Settings\Fernando\Configurações locais\Dados de aplicativos\Pando\Pando Files\pando.log Object is locked skipped

C:\Documents and Settings\Fernando\Configurações locais\Histórico\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Fernando\Configurações locais\Histórico\History.IE5\MSHist012007091220070913\index.dat Object is locked skipped

C:\Documents and Settings\Fernando\Configurações locais\Temp\WCESLog.log Object is locked skipped

C:\Documents and Settings\Fernando\Configurações locais\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Fernando\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Fernando\Dados de aplicativos\$_hpcst$.hpc Object is locked skipped

C:\Documents and Settings\Fernando\Dados de aplicativos\Symantec\PendingAlertsQueue.log Object is locked skipped

C:\Documents and Settings\Fernando\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Fernando\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\Fernando\UserData\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\Configurações locais\Histórico\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Configurações locais\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Configurações locais\Dados de aplicativos\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP139\A0041721.exe Object is locked skipped

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP144\A0044130.dll Infected: not-a-virus:AdWare.Win32.Agent.b skipped

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP144\A0044131.dll Infected: not-a-virus:AdWare.Win32.NewDotNet.i skipped

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP144\A0048147.dll Infected: not-a-virus:AdWare.Win32.Agent.b skipped

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP144\A0048152.exe/file55 Infected: not-a-virus:AdTool.Win32.WhenU.a skipped

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP144\A0048152.exe Inno: infected - 1 skipped

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP144\A0048153.exe Infected: not-a-virus:AdTool.Win32.MyWebSearch skipped

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP147\change.log Object is locked skipped

C:\Velhos\Arquivos de programas\NewDotNet\newdotnet7_22.dll Infected: not-a-virus:AdWare.Win32.NewDotNet.i skipped

C:\Velhos\Arquivos de programas\NewDotNet\uninstall6_38.exe Infected: not-a-virus:AdWare.Win32.NewDotNet skipped

C:\Velhos\Arquivos de programas\NewDotNet\uninstall7_22.exe Infected: not-a-virus:AdWare.Win32.NewDotNet.e skipped

C:\Velhos\Arquivos de programas\Norton AntiVirus\Quarantine\2B5A655D.tmp/lantrocidade.bat Infected: Email-Worm.Win32.NetSky.af skipped

C:\Velhos\Arquivos de programas\Norton AntiVirus\Quarantine\2B5A655D.tmp ZIP: infected - 1 skipped

C:\Velhos\Arquivos de programas\Norton AntiVirus\Quarantine\2B5A655D.tmp CryptFF: infected - 1 skipped

C:\Velhos\Arquivos de programas\Norton AntiVirus\Quarantine\372B356C.tmp Infected: Email-Worm.Win32.Bagle.cy skipped

C:\Velhos\Arquivos de programas\Norton AntiVirus\Quarantine\3FAA7013.tmp Infected: Email-Worm.Win32.Bagle.cy skipped

C:\Velhos\Arquivos de programas\Norton AntiVirus\Quarantine\5CEE3342.tmp/grana!!.doc.pif Infected: Email-Worm.Win32.NetSky.af skipped

C:\Velhos\Arquivos de programas\Norton AntiVirus\Quarantine\5CEE3342.tmp ZIP: infected - 1 skipped

C:\Velhos\Arquivos de programas\Norton AntiVirus\Quarantine\5CEE3342.tmp CryptFF: infected - 1 skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\S7661E793.tmp Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\EventCache\{2BFDC3EE-A777-44CD-9F6F-4A9744DF7EEF}.bin Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

Scan process completed.

Shine · Setembro 21, 2007

Opa!

Os itens quue estão " locked and skipped' não são ameaças, a maioria são arquivos legítimos. O que foi encontrado é a presença do "NewDotNet" que é considerado malicioso.

Vai em Iniciar > Painel de Controle > Adicionar e Remover Programas e verifique se há "New.Net" ou "NewDotNet" para ser desinstalado.

Em seguida localize a pasta em negrito abaixo e delete:

C:\Velhos\Arquivos de programas\NewDotNet

Depois desabilite e reabilite a Restauração do Sistema para finalizar.

Veja se ainda há problemas.

No mais é isso, aguardo respostas. ;)

Abraços!

codonauta · Setembro 24, 2007

Opa!

Os itens quue estão " locked and skipped' não são ameaças, a maioria são arquivos legítimos. O que foi encontrado é a presença do "NewDotNet" que é considerado malicioso.

Vai em Iniciar > Painel de Controle > Adicionar e Remover Programas e verifique se há "New.Net" ou "NewDotNet" para ser desinstalado.

Em seguida localize a pasta em negrito abaixo e delete:

C:\Velhos\Arquivos de programas\NewDotNet

Depois desabilite e reabilite a Restauração do Sistema para finalizar.

Veja se ainda há problemas.

No mais é isso, aguardo respostas. ;)

Abraços!

Shine

Fiz o que você recomendou. O NewDotNet não é um programa que esteja instalado; ele não consta na lista de programas que possam ser desinstalados, não está na lista. Deletei aqueles arquivos em que ele aparecia , no C:\Velhos\Arquivos de programas\NewDotNet

Mas ele ainda apareceu nestes locais, na verificação que fiz hoje com o Kapersky :

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP154\A0064152.dll Infected: not-a-virus:AdWare.Win32.NewDotNet.i skipped

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP154\A0064153.exe Infected: not-a-virus:AdWare.Win32.NewDotNet skipped

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP154\A0064154.exe Infected: not-a-virus:AdWare.Win32.NewDotNet.e skipped

Eu preciso deletar estes arquivos também?. Ali está "skipped". A outra pergunta é se posso deletar estes arquivos, sem prejuízo pro meu pc.

E mais uma só :rolleyes:

Para reabilitar a restauração do sistema é só marcar aquele quadradinho que desmarquei antes quando desabilitei?

Grato

Codonauta

Opa!

Os itens quue estão " locked and skipped' não são ameaças, a maioria são arquivos legítimos. O que foi encontrado é a presença do "NewDotNet" que é considerado malicioso.

Vai em Iniciar > Painel de Controle > Adicionar e Remover Programas e verifique se há "New.Net" ou "NewDotNet" para ser desinstalado.

Em seguida localize a pasta em negrito abaixo e delete:

C:\Velhos\Arquivos de programas\NewDotNet

Depois desabilite e reabilite a Restauração do Sistema para finalizar.

Veja se ainda há problemas.

No mais é isso, aguardo respostas. ;)

Abraços!

Shine

Fiz o que você recomendou. O NewDotNet não é um programa que esteja instalado; ele não consta na lista de programas que possam ser desinstalados, não está na lista. Deletei aqueles arquivos em que ele aparecia , no C:\Velhos\Arquivos de programas\NewDotNet

Mas ele ainda apareceu nestes locais, na verificação que fiz hoje com o Kapersky :

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP154\A0064152.dll Infected: not-a-virus:AdWare.Win32.NewDotNet.i skipped

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP154\A0064153.exe Infected: not-a-virus:AdWare.Win32.NewDotNet skipped

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP154\A0064154.exe Infected: not-a-virus:AdWare.Win32.NewDotNet.e skipped

Eu preciso deletar estes arquivos também?. Ali está "skipped". A outra pergunta é se posso deletar estes arquivos, sem prejuízo pro meu pc.

E mais uma só :rolleyes:

Para reabilitar a restauração do sistema é só marcar aquele quadradinho que desmarquei antes quando desabilitei?

Grato

Codonauta

Shine · Setembro 26, 2007

Opa! Boa noite! :)

Você fez a "restauranção do sistema" como havia pedido?

Execute a ferramenta abaixo e veja se a presença do NewDoNet aparece ainda:

1 - Baixe o CCleaner

Apos o download, proceda com a instalação, em seguida abra o programa e execute a varredura.

- Clique em Analisar.

- Ao terminar o scan clique em Executar Cleaner para finalizar.

PS: Caso não queira apagar as paginas visitadas pelo seu navegador, desmarque a opção "Historico".

Abraços!

codonauta · Outubro 2, 2007

Opa! Boa noite! :)

Você fez a "restauranção do sistema" como havia pedido?

Execute a ferramenta abaixo e veja se a presença do NewDoNet aparece ainda:

1 - Baixe o CCleaner

Apos o download, proceda com a instalação, em seguida abra o programa e execute a varredura.

- Clique em Analisar.

- Ao terminar o scan clique em Executar Cleaner para finalizar.

PS: Caso não queira apagar as paginas visitadas pelo seu navegador, desmarque a opção "Historico".

Abraços!

Boa noite. Sim, eu fiz a desabilitação da restauração do sistema como você recomendou. Depois eu habilitei de novo.

Depois de passar o cleaner e o Kapersky, (fiz isso agora ) o new.dot.net aparece nos mesmo locais.

:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP154\A0064152.dll Infected: not-a-virus:AdWare.Win32.NewDotNet.i skipped

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP154\A0064153.exe Infected: not-a-virus:AdWare.Win32.NewDotNet skipped

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP154\A0064154.exe Infected: not-a-virus:AdWare.Win32.NewDotNet.e skipped

E agora?

Shine · Outubro 9, 2007

Opa!

Desculpe a demora.

Vamos aos procedimentos:

2. Faça o download do Killbox, descompacte-o e execute-o.

- Marque a opção Delete on Reboot.

- Agora copie os arquivos abaixo

(selecione e clique em Editar > Copiar).

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP154\A0064152.dll

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP154\A0064153.exe

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP154\A0064154.exe

- Volte ao KillBox. Clique em File > Paste from clipboard. Clique no botão All Files.

- Clique no botão . Responda Sim à pergunta.

Seu computador irá reiniciar normalmente

2. Localize e delete a pasta em negrito:

C:\Killbox!

3. Depois faça um novo scan com o Kaspersky para verificar se ele detecta algum arquivo malicioso.

PS: Peço também que faça um novo log do Hijackthis para ser analisado mais uma vez.

Um grande abraço! :thumbsup:

juli_ticci · Outubro 9, 2007

Poderia dar uma olhada, pois entro todo dia no banco.

E já troquei 5 vezes a minha senha.

O Avg, reconhece, só que ele volta toda hora.

Trojan horse psw.4

Grata,

Chrys

Logfile of HijackThis v1.99.1

Scan saved at 15:03:38, on 09/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Arquivos de programas\GbPlugin\GbpSv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\Arquivos de programas\Java\jre1.6.0_02\bin\jusched.exe

C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe

C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\bgsmsnd.exe

C:\Arquivos de programas\ATI Technologies\ATI.ACE\CLI.EXE

C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\WinZip\WZQKPICK.EXE

C:\Arquivos de programas\OpenOffice.org 2.0\program\soffice.exe

C:\Arquivos de programas\OpenOffice.org 2.0\program\soffice.BIN

C:\WINDOWS\system32\fxssvc.exe

C:\Arquivos de programas\ATI Technologies\ATI.ACE\cli.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\MSN Messenger\usnsvc.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\Outlook Express\msimn.exe

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\AUTOMACAO\AutomMPA.exe

C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com.br/ig/dell?hl=pt-BR&client=dell-row-rel&channel=br&ibd=6070531

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uol.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.la.dell.com/content/default.as...;l=pt&s=gen

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.la.dell.com/content/default.as...;l=pt&s=gen

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.com.br/ig/dell?hl=pt-BR&client=dell-row-rel&channel=br&ibd=6070531

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: pdfMachine - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\system32\bgstb.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: G-Buster Browser Defense ABN AMRO - {C41A1C0E-EA6C-11D4-B1B8-444553540007} - C:\Arquivos de programas\GbPlugin\gbiehabn.dll

O3 - Toolbar: pdfMachine - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\system32\bgstb.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [soundMAXPnP] C:\Arquivos de programas\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Arquivos de programas\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun

O4 - HKLM\..\Run: [bgsmsnd.exe] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\bgsmsnd.exe

O4 - HKLM\..\Run: [Media Codec Update Service] C:\Arquivos de programas\Essentials Codec Pack\update.exe -silent

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Arquivos de programas\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Arquivos de programas\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399007} (GbPluginObj Class) - https://wwws.realsecureweb.com.br/mpr/plugi...GbPluginABN.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{92BBE7BE-120D-4D2C-929D-BDC0B4CBE544}: NameServer = 222.242.0.3

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARQUIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Gbp Service (GbpSv) - Unknown owner - C:\Arquivos de programas\GbPlugin\GbpSv.exe

codonauta · Outubro 11, 2007

Opa!

Desculpe a demora.

Vamos aos procedimentos:

2. Faça o download do Killbox, descompacte-o e execute-o.

- Marque a opção Delete on Reboot.

- Agora copie os arquivos abaixo

(selecione e clique em Editar > Copiar).

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP154\A0064152.dll

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP154\A0064153.exe

C:\System Volume Information\_restore{691487EC-61A1-4BF1-832F-422E58CFD98C}\RP154\A0064154.exe

- Volte ao KillBox. Clique em File > Paste from clipboard. Clique no botão All Files.

- Clique no botão . Responda Sim à pergunta.

Seu computador irá reiniciar normalmente

2. Localize e delete a pasta em negrito:

C:\Killbox!

3. Depois faça um novo scan com o Kaspersky para verificar se ele detecta algum arquivo malicioso.

PS: Peço também que faça um novo log Hijackthis para ser analisado mais uma vez.

Um grande abraço! :thumbsup:

Olá. Fiz o que você recomendou acima. Instalei o Killbox, etc. Passei o cleanner depois, e o kapersky. Depois o Hijackthis. Os relatórios sao esses abaixo. obrigado.

KASPERSKY ONLINE SCANNER REPORT

Thursday, October 11, 2007 2:18:53 AM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.98.0

Kaspersky Anti-Virus database last update: 11/10/2007

Kaspersky Anti-Virus database records: 430669

Scan Settings

Scan using the following antivirus database extended

Scan Archives true

Scan Mail Bases true

Scan Target My Computer

A:\

C:\

D:\

Scan Statistics

Total number of scanned objects 111310

Number of viruses found 6

Number of infected objects 19

Number of suspicious objects 0

Duration of the scan process 01:23:27