[Arquivado] CLOWN.DLL em Windows Server 2003

[Carlos Onety 0]

Olá amigos eu pesquisei muito e vi até mesmo aqui sobre o malware "CLOWN.DLL".

 

Gostaria de saber qual é a forma que ele entra.

Já tentei remoção, mas o COMBOFIX não dá suporte à "Windows 2003 Server".

 

De qualquer forma coloco aqui em baixo o log do Hijackthis.

 

Obrigado a todos.

 

 

Logfile of HijackThis v1.99.1

Scan saved at 22:22:58, on 16/6/2008

Platform: Windows 2003 SP2 (WinNT 5.02.3790)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Arena\Services\Mirror2Service.exe

D:\Arena\Services\PostService.exe

C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

C:\ARQUIV~1\AVG\AVG8\avgfws8.exe

C:\Arquivos de programas\Dell\SysMgt\dataeng\bin\dsm_sa_eventmgr32.exe

C:\Arquivos de programas\Dell\SysMgt\dataeng\bin\dsm_sa_datamgr32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Arquivos de programas\Dell\SysMgt\sm\mr2kserv.exe

C:\ARQUIV~1\AVG\AVG8\avgam.exe

C:\ARQUIV~1\AVG\AVG8\avgrsx.exe

C:\Arquivos de programas\Dell\SysMgt\oma\bin\dsm_om_shrsvc32.exe

C:\Arquivos de programas\Dell\SysMgt\iws\bin\win32\dsm_om_connsvc32.exe

C:\Arquivos de programas\Server Nanny\Bin\Server Nanny Watchdog.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\ARQUIV~1\AVG\AVG8\avgemc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\AVG\AVG8\avgtray.exe

C:\Arquivos de programas\Java\jre1.6.0_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Arena\Services\Gateway3Service.exe

D:\MySQL\MySQL Server 5.1\bin\mysqld.exe

C:\Arquivos de programas\Server Nanny\Bin\Server Nanny Engine.exe

C:\ARQUIV~1\AVG\AVG8\avgnsx.exe

C:\WINDOWS\System32\logon.scr

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\rdpclip.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\AVG\AVG8\avgtray.exe

C:\Arquivos de programas\Java\jre1.6.0_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Arquivos de programas\7-Zip\7zFM.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\b\7zO1.tmp\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://java.com/en/download/help/index.xml

O2 - BHO: Facilitador de Leitor de Link Adobe PDF - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Arquivos comuns\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Arquivos de programas\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARQUIV~1\AVG\AVG8\AVGTOO~1.DLL

O3 - Toolbar: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARQUIV~1\AVG\AVG8\AVGTOO~1.DLL

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Arquivos de programas\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARQUIV~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Arquivos de programas\Java\jre1.6.0_06\bin\ssv.dll

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1213191470843

O17 - HKLM\System\CCS\Services\Tcpip\..\{E6EFCB1C-DC32-4412-972B-A949E0CDCB14}: NameServer = 192.168.254.2,192.168.254.254

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Arquivos de programas\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O20 - Winlogon Notify: dimsntfy - C:\WINDOWS\SYSTEM32\dimsntfy.dll

O23 - Service: Arena Gateway3 Service - Maxtrack Industrial Ltda - D:\Arena\Services\Gateway3Service.exe

O23 - Service: Arena Mirror2 Service - Maxtrack Industrial Ltda - D:\Arena\Services\Mirror2Service.exe

O23 - Service: Arena Post Service - Maxtrack Industrial Ltda - D:\Arena\Services\PostService.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: AVG8 Firewall (avgfws8) - AVG Technologies CZ, s.r.o. - C:\ARQUIV~1\AVG\AVG8\avgfws8.exe

O23 - Service: DSM SA Event Manager (dcevt32) - Dell Inc. - C:\Arquivos de programas\Dell\SysMgt\dataeng\bin\dsm_sa_eventmgr32.exe

O23 - Service: DSM SA Data Manager (dcstor32) - Dell Inc. - C:\Arquivos de programas\Dell\SysMgt\dataeng\bin\dsm_sa_datamgr32.exe

O23 - Service: mr2kserv - LSI Logic Corporation - C:\Arquivos de programas\Dell\SysMgt\sm\mr2kserv.exe

O23 - Service: MySQL51 - Unknown owner - D:\MySQL\MySQL.exe (file missing)

O23 - Service: DSM SA Shared Services (omsad) - Dell Inc. - C:\Arquivos de programas\Dell\SysMgt\oma\bin\dsm_om_shrsvc32.exe

O23 - Service: DSM SA Connection Service (Server Administrator) - Unknown owner - C:\Arquivos de programas\Dell\SysMgt\iws\bin\win32\dsm_om_connsvc32.exe

O23 - Service: Server Nanny Engine - Unknown owner - C:\Arquivos de programas\Server Nanny\Bin\Server Nanny Engine.exe

O23 - Service: Server Nanny Watchdog - Unknown owner - C:\Arquivos de programas\Server Nanny\Bin\Server Nanny Watchdog.exe

[Silas Martins 0]

Siga as Instruções:

Baixe o MSNfix.

Salve na área de trabalho, e descompacte ele, após isto, clique duas vezes em MSNFix.bat

Vai se abrir a tela MSN_Fix-menu nela aperte a opçãp R, será dado inicio ao scaneamento.

Caso o scan detecte algo irá aparecer a seguinte informação: Infection Presente, aperte enter, e prossiga.

Caso queira interromper o processo aperte a tecla Q

Na finalização vai se abrir o bloco de notas com um log, selecione todo ele e copie, que se encontra na pasta msnfix.txt.

Poste juntamente um novo log do Hijackthis

 

Aguardo o retorno.

[Mário Monteiro 179]

Tópico Arquivado

 

Como o autor não respondeu por mais de 30 dias, o tópico foi arquivado.

 

Caso você seja o autor do tópico e quer reabrir, envie uma mensagem privada para um moderador da área juntamente com o link para este tópico e explique o motivo da reabertura.